Linux 서버의 보안을 종합적으로 개선합니다.

저자：Eve Cole 업데이트 시간：2009-06-04 17:16:50

우리 모두 알고 있듯이 Linux는 보안 측면에서 Windows에 비해 더 많은 이점을 가지고 있습니다. 그러나 어떤 Linux 배포판을 선택하든 보안을 강화하려면 설치가 완료된 후 몇 가지 필요한 구성을 수행해야 합니다. 다음은 Linux 서버를 강화하는 몇 가지 단계입니다. 현재 많은 중소 규모의 사용자는 비즈니스 개발로 인해 네트워크를 지속적으로 업데이트하거나 업그레이드하므로 전체 네트워크 시스템 플랫폼이 고르지 않으며 대부분 서버 측에서 사용됩니다. PC 쪽은 Windows와 Mac입니다. 따라서 엔터프라이즈 애플리케이션에서는 Linux, Unix 및 Windows 운영 체제가 공존하여 이기종 네트워크를 형성하는 경우가 많습니다.

1. 방화벽 설치 및 구성

적절하게 구성된 방화벽은 시스템이 외부 공격에 효과적으로 대응하기 위한 첫 번째 방어선일 뿐만 아니라 가장 중요한 방어선이기도 합니다. 새 시스템이 처음으로 인터넷에 연결되기 전에 방화벽을 설치하고 구성해야 합니다. 모든 데이터 패킷 수신을 거부하고 데이터 패킷 수신을 활성화하도록 방화벽을 구성하면 시스템 보안에 도움이 됩니다. Linux는 netfilter/iptables(http://www.netfilter.org/)라는 매우 뛰어난 방화벽 도구를 제공합니다. 완전히 무료이며 사양이 낮은 오래된 컴퓨터에서도 잘 실행됩니다. 구체적인 방화벽 설정 방법은 iptables 사용법을 참고하시기 바랍니다.

2. 쓸모없는 서비스 및 포트를 닫습니다.

모든 네트워크 연결은 열린 애플리케이션 포트를 통해 이루어집니다. 가능한 한 적은 수의 포트를 열면 네트워크 공격을 수동적으로 만들어 공격자의 성공 가능성을 크게 줄입니다. Linux를 전용 서버로 사용하는 것은 현명한 선택입니다. 예를 들어, Linux를 웹 서버로 사용하려면 시스템에서 필수적이지 않은 서비스를 모두 취소하고 필수 서비스만 활성화하면 됩니다. 이를 통해 백도어를 최소화하고 숨겨진 위험을 줄이며 시스템 리소스를 합리적으로 할당하여 전반적인 시스템 성능을 향상시킬 수 있습니다. 다음은 덜 일반적으로 사용되는 몇 가지 서비스입니다.

1. Fingerd(핑거 서버)는 사용자 이름, 실명, 셸, 디렉터리 및 연락처 정보를 포함하여 지정된 사용자의 개인 정보를 보고합니다. 이 서비스를 시작하면 시스템이 원하지 않는 정보 수집 활동에 노출되지 않습니다.

2. R 서비스(rshd, rlogin, rwhod, rexec)는 다양한 수준의 명령을 제공하며 원격 호스트에서 실행하거나 상호 작용할 수 있으며 사용자 이름과 비밀번호가 필요 없이 폐쇄된 네트워크 환경에 로그인할 수 있어 매우 편리합니다. 그러나 공용 서버에서는 문제가 노출되어 보안 위협이 발생합니다.

3. 사용하지 않는 소프트웨어 패키지 삭제

시스템을 계획할 때 일반적인 원칙은 불필요한 서비스를 모두 제거하는 것입니다. 기본 Linux는 많은 서비스를 실행하는 강력한 시스템입니다. 그러나 필요하지 않고 쉽게 보안 위험을 초래할 수 있는 서비스가 많이 있습니다. 이 파일은 /usr/sbin/xinetd가 모니터링할 서비스를 지정하는 /etc/xinetd.conf입니다. ftp와 telnet, shell, login, exec, talk, ntalk 중 하나만 필요할 수도 있습니다. , imap, Finger, auth 등은 실제로 사용하고 싶지 않다면 끄십시오.

4. 기본 경로를 설정하지 마세요

호스트에서는 기본 경로, 즉 기본 경로를 설정하는 것을 엄격히 금지해야 합니다. 각 서브넷 또는 네트워크 세그먼트에 대한 경로를 설정하는 것이 좋습니다. 그렇지 않으면 다른 컴퓨터가 특정 방법을 통해 호스트에 액세스할 수 있습니다.

5. 비밀번호 관리

비밀번호의 길이는 일반적으로 8자 이상이어야 하며, 비밀번호의 구성은 불규칙한 대문자, 소문자, 숫자, 기호를 조합하여 설정해야 하며, 비밀번호 설정 시에는 반드시 영문 단어나 문구를 사용하지 않아야 합니다. 습관을 바꾸십시오. 또한 비밀번호 보호에는 /etc/passwd 및 /etc/shadow 파일 보호도 포함됩니다. 시스템 관리자만 이 두 파일에 액세스할 수 있습니다. 비밀번호 필터링 도구를 설치하고 npasswd를 추가하면 비밀번호가 공격을 견딜 수 있는지 확인하는 데 도움이 될 수 있습니다. 이전에 이러한 도구를 설치한 적이 없다면 지금 설치하는 것이 좋습니다. 귀하가 시스템 관리자이고 시스템에 비밀번호 필터링 도구가 설치되어 있지 않은 경우 즉시 모든 사용자의 비밀번호를 철저하게 검색할 수 있는지, 즉 /ect/passwd 파일에 대해 철저한 검색 공격을 수행할 수 있는지 확인하십시오. 단어를 비밀번호로 사용하는 것은 무차별 대입 공격을 견딜 수 없습니다. 해커는 비밀번호를 해독하기 위해 흔히 사용하는 단어를 사용합니다. 미국의 한 해커는 "비밀번호"라는 단어만 사용하면 미국에 있는 대부분의 컴퓨터를 열 수 있다고 말했습니다. 기타 일반적으로 사용되는 단어로는 account, ald, alpha, beta, 컴퓨터, dead, 데모, 달러, 게임, bod, hello, help, intro, kill, love, no, ok, ok, please, sex, secret, superuser , 시스템, 테스트, 작업, 예 등 비밀번호 설정 및 원칙:

1. 손가락을 움직여 비밀번호에 숫자 하나를 추가하면 공격자의 노력이 10배 증가할 수 있습니다.

2. 완전한 단어를 사용하지 말고, 숫자, 구두점, 특수문자 등을 최대한 포함합니다.

3. 대문자와 소문자를 혼합하세요.

4. 자주 수정하세요.

6.파티션 관리

[컷 페이지]

잠재적인 공격은 먼저 버퍼 오버플로를 시도합니다. 지난 몇 년 동안 버퍼 오버플로 유형의 보안 취약점이 가장 일반적인 형태가 되었습니다. 더 심각한 것은 버퍼 오버플로 취약점이 원격 네트워크 공격의 대부분을 차지한다는 점입니다. 이러한 유형의 공격은 익명의 인터넷 사용자에게 호스트를 부분적으로 또는 완전히 제어할 수 있는 기회를 쉽게 제공할 수 있습니다.

이러한 공격을 방지하기 위해서는 시스템을 설치할 때 주의를 기울여야 합니다. 루트 파티션을 사용하여 로그 파일 등의 데이터를 기록하는 경우 서비스 거부로 인해 대량의 로그나 스팸이 생성되어 시스템이 충돌할 수 있습니다. 따라서 루트 파티션이 오버플로되는 것을 방지하기 위해 로그와 이메일을 저장할 /var에 별도의 파티션을 생성하는 것이 좋습니다. 특별한 애플리케이션, 특히 대량의 로그를 생성할 수 있는 프로그램에 대해서는 별도의 파티션을 생성하는 것이 가장 좋습니다. 또한 / 파티션을 채울 수 없도록 /home에 대해 별도의 파티션을 생성하여 일부 Linux 파티션을 피하는 것이 좋습니다. 악의적인 공격이 발생합니다.

많은 Linux 데스크톱 사용자는 Windows 및 Linux 이중 시스템을 사용하는 경우가 많습니다. 듀얼 하드 드라이브를 사용하는 것이 가장 좋습니다. 방법은 다음과 같습니다. 먼저 메인 하드 디스크의 데이터 케이블을 제거하고 10GB 정도의 하드 디스크를 찾아 컴퓨터에 걸어 놓은 다음 작은 하드 디스크를 슬레이브 디스크로 설정하고 Linux 서버 버전을 설치합니다. 시작 부팅 프로그램이 MBR에 배치된다는 점을 제외하면 일반적인 작업에는 다른 차이점이 없습니다. 설치가 완료되고 디버깅이 데스크탑에서 나오면 컴퓨터를 종료합니다. 소형 하드디스크의 데이터 케이블을 제거하고 기존 하드디스크를 장착한 후 메인 디스크로 설정합니다. (원래 하드디스크와 소형 하드디스크가 동일한 데이터 케이블에 동시에 연결되도록 하기 위함입니다.) 그런 다음 Windows 소프트웨어를 설치합니다. IDE 0 인터페이스인 데이터 케이블에 두 하드 디스크를 모두 걸어 놓습니다. 원래 하드 디스크를 마스터 디스크로 설정하고 소형 하드 디스크를 슬레이브 디스크로 설정합니다. 원래 하드 디스크에서 부팅하려면 CMOS의 부팅 순서를 "C, D, CDROM" 또는 "IDE0(HDD-0)"으로 설정하세요. 이런 방식으로 컴퓨터가 시작되면 Windows 인터페이스로 들어갑니다. 소형 하드 디스크에서 부팅하려면 부팅 순서를 "D, C, CDROM" 또는 "IDE1(HDD-1)"로 변경하면 부팅 후 Linux 인터페이스로 들어갑니다. 일반적으로 두 운영 체제는 서로 액세스할 수 없습니다.

7. 네트워크 스니핑 방지:

스니퍼 기술은 네트워크 유지 관리에 널리 사용되며, 네트워크에서 다양한 정보를 자동으로 수신하는 방식으로 네트워크 관리자는 네트워크의 현재 상태를 심층적으로 이해할 수 있습니다. 네트워크의 취약점을 식별합니다. 오늘날 네트워크 보안이 점점 더 주목받고 있는 지금, 우리는 스니퍼를 올바르게 사용해야 할 뿐만 아니라 스니퍼의 피해를 합리적으로 방지해야 합니다. 스니퍼는 발견하기 쉽지 않기 때문에 큰 보안 위험을 초래할 수 있습니다. 보안 요구 사항이 엄격한 기업의 경우 보안 토폴로지, 세션 암호화 및 정적 ARP 주소를 사용해야 합니다.

8. 완벽한 로그 관리

로그 파일은 항상 시스템의 실행 상태를 기록합니다. 해커가 오면 통나무의 눈에서 벗어날 수 없습니다. 따라서 해커는 공격 중에 흔적을 숨기기 위해 로그 파일을 수정하는 경우가 많습니다. 따라서 /var/log 파일에 대한 접근을 제한하고 일반 권한을 가진 사용자가 로그 파일을 보는 것을 금지해야 합니다.

또한 로그 서버를 사용하십시오. 클라이언트의 로그 정보 사본을 보관하고, 로그 파일을 저장할 전용 서버를 만들고, 로그를 확인하여 문제를 찾는 것이 좋습니다. 원격 로깅을 허용하도록 /etc/sysconfig/syslog 파일을 수정합니다.

/etc/sysconfig/syslog

SYSLOGD_OPTIONS="-mr 0"

또한 로그의 원격 저장소도 설정해야 합니다. /etc/syslog.conf 파일을 수정하여 로그 서버 설정을 추가하면 syslog가 로그 서버에 복사본을 저장합니다.

/etc/syslog.conf

*.* @log_server_IP

컬러 로그 필터를 사용할 수 있습니다. 컬러 로그 로코 필터, 현재 버전은 0.32입니다. 컬러 로그를 표시하려면 loco /var/log/messages | more를 사용하여 로그에 루트 및 비정상적인 명령의 위치를 명확하게 표시하세요. 이를 통해 로그를 분석할 때 사람이 누락하는 일을 줄일 수 있습니다. 정기적인 로그 확인도 필요합니다. Red Hat Linux는 자동으로 정기적으로 로그를 확인하고 관리자의 메일함으로 이메일을 보내는 logwatch 도구를 제공합니다. /etc/log.d/conf/logwatch.conf 파일을 수정하고 MailTo = root 매개변수 뒤에 관리자의 이메일 주소를 추가해야 합니다. Logwatch는 루트, sudo, telnet, ftp 등을 사용하여 로그인과 관련된 로그 및 필터 정보를 정기적으로 확인하여 관리자가 일상적인 보안을 분석하는 데 도움을 줍니다. 완전한 로그 관리에는 네트워크 데이터의 정확성, 유효성 및 적법성이 포함되어야 합니다. 로그 파일을 분석하면 침입을 예방할 수도 있습니다. 예를 들어, 사용자가 몇 시간 내에 20개의 등록 실패 기록을 가지고 있다면 침입자가 사용자의 비밀번호를 시도하고 있을 가능성이 높습니다.

[컷 페이지]

9. 진행 중인 공격 종료

로그 파일을 확인하다가 모르는 호스트에서 로그인하는 사용자를 발견했는데 이 사용자가 이 호스트에 계정을 가지고 있지 않은 것이 확실하다면 공격을 받을 수 있습니다. 먼저 이 계정을 즉시 잠가야 합니다(비밀번호 파일이나 섀도우 파일에서 사용자 비밀번호 앞에 Ib 또는 기타 문자를 추가하세요). 공격자가 이미 시스템에 연결되어 있는 경우 즉시 네트워크에서 호스트를 물리적으로 연결 해제해야 합니다. 가능하다면 이 사용자의 기록을 추가로 확인하여 다른 사용자도 가장되었는지, 공격자가 루트 권한을 가지고 있는지 확인해야 합니다. 이 사용자의 모든 프로세스를 종료하고 이 호스트의 IP 주소 마스크를 호스트.거부 파일에 추가합니다.

10. 보안 도구 및 소프트웨어를 사용하십시오.

Linux에는 이미 서버 보안을 보장하는 몇 가지 도구가 있습니다. 바스티유 리눅스, Selinux 등이 대표적이다.

Bastille Linux는 Linux 보안 설정에 익숙하지 않은 사용자에게 매우 편리한 소프트웨어입니다. Bastille linux의 목적은 기존 Linux 시스템에 보안 환경을 구축하는 것입니다.

SELinux(Security Enhanced Linux)는 미국 보안부의 연구 개발 프로젝트입니다. 그 목적은 개발된 코드의 Linux 커널을 강화하여 일부 보안 관련 응용 프로그램이 우회하고 악성 코드를 완화하는 것을 방지하는 것입니다. 재해. 일반 Linux 시스템의 보안은 커널에 따라 다르며 이러한 종속성은 setuid/setgid를 통해 생성됩니다. 기존 보안 메커니즘에서는 일부 애플리케이션 인증 문제, 구성 문제 또는 프로세스 실행 문제가 노출되어 전체 시스템에 보안 문제가 발생합니다. 이러한 문제는 복잡성과 다른 프로그램과의 상호 운용성으로 인해 오늘날의 운영 체제에 존재합니다. SELinux는 시스템의 커널 및 보안 구성 정책에만 의존합니다. 시스템을 올바르게 구성한 후에는 부적절한 응용 프로그램 구성이나 오류로 인해 사용자 프로그램과 해당 시스템 데몬에만 오류가 반환됩니다. 다른 사용자 프로그램과 해당 백그라운드 프로그램의 보안은 여전히 정상적으로 실행되고 보안 시스템 구조를 유지할 수 있습니다. 간단히 말해서, 프로그램 구성 오류로 인해 전체 시스템이 충돌할 수는 없습니다. SELinux 설치 SELinux 커널, 도구, 프로그램/툴킷 및 문서는 Enhanced Security Linux 웹 사이트에서 다운로드할 수 있습니다. 변경되지 않은 시스템 패치 패키지에 액세스하려면 새 커널을 컴파일하려면 기존 Linux 시스템이 있어야 합니다.

11. 예약된 IP 주소를 사용합니다.

---- 네트워크 보안을 유지하는 가장 간단한 방법은 네트워크의 호스트가 외부 세계에 노출되지 않도록 하는 것입니다. 가장 기본적인 방법은 공용 네트워크로부터 자신을 격리하는 것입니다. 그러나 격리를 통한 이러한 보안 전략은 많은 상황에서 허용되지 않습니다. 현재 예약된 IP 주소를 사용하는 것은 사용자가 어느 정도 보안을 보장하면서 인터넷에 접속할 수 있는 간단하고 실행 가능한 방법입니다. - RFC 1918은 로컬 TCP/IP 네트워크에서 사용할 수 있는 IP 주소 범위를 지정합니다. 이러한 IP 주소는 인터넷에서 라우팅되지 않으므로 이러한 주소를 등록할 필요가 없습니다. 이 범위의 IP 주소를 할당하면 네트워크 트래픽이 로컬 네트워크로 효과적으로 제한됩니다. 이는 내부 컴퓨터의 상호 연결을 허용하면서 외부 컴퓨터에 대한 액세스를 거부하는 빠르고 효과적인 방법입니다. IP 주소 범위 예약:

---- 10.0.0 .0 - 10.255.255.255

---- 172.16.0.0 - 172.31.255.255

--- 192.168.0.0 - 192.168.255.255

예약된 IP 주소의 네트워크 트래픽은 인터넷 라우터를 통과하지 않으므로 예약된 IP 주소가 할당된 컴퓨터는 네트워크 외부에서 액세스할 수 없습니다. 그러나 이 접근 방식에서는 사용자가 외부 네트워크에 액세스하는 것도 허용되지 않습니다. IP 마스커레이딩을 사용하면 이 문제를 해결할 수 있습니다.

[컷 페이지]

12. 합리적으로 Linux 배포판을 선택하십시오.

서버에서 사용하는 Linux 버전의 경우 최신 릴리스 버전을 사용하거나 너무 오래된 버전을 선택하지 마십시오. 보다 성숙한 버전(RHEL 3.0 등 이전 제품의 마지막 릴리스 버전)을 사용해야 합니다. 결국 서버는 보안과 안정성이 최우선입니다.

13. Linux 바이러스 백신 소프트웨어 배포

Linux 운영 체제는 안전하고 안정적이며 저렴할 뿐만 아니라 바이러스 확산이 거의 발견되지 않기 때문에 항상 Windows 시스템의 강력한 경쟁자로 간주되어 왔습니다. 그러나 점점 더 많은 서버, 워크스테이션 및 PC에서 Linux 소프트웨어를 사용함에 따라 컴퓨터 바이러스 제작자도 시스템을 공격하기 시작했습니다. 서버에서든 워크스테이션에서든 Linux 시스템의 보안 및 권한 제어는 상대적으로 강력합니다. 이는 주로 운영 체제가 충돌하기 어려울 뿐만 아니라 남용되기 어렵게 만드는 뛰어난 기술 설계 때문입니다. 20년이 넘는 개발과 개선 끝에 Unix는 매우 견고해졌고 Linux는 기본적으로 그 장점을 물려받았습니다. 리눅스에서는 슈퍼유저가 아니면 시스템 파일을 악의적으로 감염시키는 프로그램이 성공하기 어려울 것이다. Slammer, Blast, Sobig, Mimail 및 Win32.Xorala 바이러스와 같은 악성 프로그램은 Linux 서버를 손상시키지 않지만 Windows 시스템 플랫폼 컴퓨터에 액세스하는 사람들에게 확산됩니다.

[컷 페이지]

Linux 플랫폼에서의 바이러스 분류:

1. 실행파일 바이러스: 실행파일 바이러스는 파일에 기생하여 파일을 주요 감염 대상으로 삼는 바이러스를 말한다. 바이러스 제작자가 어떤 무기를 사용하든, 조립하든, C하든 ELF 파일을 감염시키기 쉽습니다. 이 영역의 바이러스에는 Lindose가 포함됩니다.

2. 웜(웜) 바이러스: 1988년 모리스 웜이 발생한 후 유진 H. 스패포드(Eugene H. Spafford)는 웜을 바이러스와 구별하기 위해 웜에 대한 기술적 정의를 내렸습니다. “컴퓨터 웜은 독립적으로 실행될 수 있으며 자체적으로 모든 바이러스를 포함할 수 있습니다. "기능 버전은 다른 컴퓨터로 확산됩니다. "리눅스 플랫폼에는 시스템 취약점을 악용하는 라면, 라이온, 슬래퍼 등의 웜이 매우 기승을 부리고 있습니다. 이러한 바이러스는 다수의 리눅스 시스템을 감염시켰습니다. 엄청난 손실을 입혔습니다.

3. 스크립트 바이러스: 현재 쉘 스크립트 언어로 작성된 바이러스가 더 많습니다. 이러한 유형의 바이러스는 작성하기가 상대적으로 간단하지만 파괴력도 마찬가지로 놀랍습니다. 우리는 Linux 시스템에는 .sh로 끝나는 스크립트 파일이 많이 있다는 것을 알고 있으며, 단 10줄 정도의 쉘 스크립트는 전체 하드 디스크의 모든 스크립트 파일을 순회하여 짧은 시간에 감염시킬 수 있습니다.

4. 백도어 프로그램: 바이러스의 넓은 정의에서 백도어도 바이러스의 범주에 포함되어 왔습니다. 침입자를 위한 무기인 Windows 시스템에서 활동하는 백도어는 Linux 플랫폼에서도 매우 활동적입니다. 시스템 수퍼유저 계정을 추가하는 간단한 백도어부터 시스템 서비스 로딩, 공유 라이브러리 파일 주입, 루트킷 툴킷, 심지어 로드 가능한 커널 모듈(LKM)까지 Linux 플랫폼의 백도어 기술은 매우 성숙하고 은폐성이 높으며 제거하기 어렵습니다. 이는 Linux 시스템 관리자에게 매우 골치 아픈 문제입니다.

일반적으로 컴퓨터 바이러스는 Linux 시스템에 거의 위험을 주지 않습니다. 그러나 여러 가지 이유로 인해 Linux와 Windows 운영 체제는 엔터프라이즈 애플리케이션에 공존하여 이기종 네트워크를 형성하는 경우가 많습니다. 따라서 Linux의 바이러스 백신 전략은 두 부분으로 나뉩니다.

1. Linux 자체(데스크톱으로 사용하는 서버 및 컴퓨터)에 대한 예방 전략.

실행파일 바이러스, 웜바이러스, 스크립트 바이러스 등의 예방은 기본적으로 GPL 바이러스 검사 및 종료 소프트웨어를 설치하여 예방할 수 있습니다. 서버 측에서는 명령줄에서 작동하고 실행 시 시스템 리소스를 덜 차지하는 AntiVir(http://www.hbedv.com/)을 사용할 수 있습니다.

백도어 프로그램 방지를 위해 LIDS(http://www.lids.org/) 및 Chkrootkit(http://www.chkrootkit.org/)을 사용할 수 있습니다. LIDS는 Linux 커널 패치 및 시스템 관리자 도구(lidsadm)입니다. Linus 커널을 강화합니다. dev/ 디렉터리의 중요한 파일을 보호할 수 있습니다. Chkrootkit은 시스템 로그와 파일을 감지하여 악성 프로그램이 시스템에 침입했는지 확인하고 다양한 악성 프로그램과 관련된 신호를 찾을 수 있습니다. Chkrootkit0.45의 최신 버전은 스니퍼, 트로이 목마, 웜, 루트킷 등 59가지 유형을 탐지할 수 있습니다.

2. Linux 서버 백엔드를 사용하는 Windows 시스템의 바이러스 예방 전략.

많은 회사에서는 인터넷에 접속하기 위해 프록시 서버를 사용합니다. 많은 Windows 사용자가 HTTP 웹 페이지를 탐색하고 파일을 다운로드할 때 바이러스에 감염됩니다. 따라서 사용자가 탐색하는 HTTP 웹 페이지에서 바이러스를 탐지하기 위해 프록시 서버에 바이러스 필터를 추가할 수 있습니다. 사용자가 웹 검색 중 바이러스에 감염된 것으로 확인되면 프록시 서버는 이를 차단하고 바이러스가 포함된 요청을 삭제하며 프록시 서버에서 안전하지 않은 프로세스를 차단하고 바이러스가 포함된 데이터가 클라이언트 컴퓨터로 확산되는 것을 방지합니다. . Squid는 매우 뛰어난 프록시 서버 소프트웨어이지만 전용 바이러스 필터링 기능이 없습니다. 독일 오픈 소스 애호가들이 개발한 Linux 기반 바이러스 필터링 프록시 서버인 HAVP(http://www.server-side.de/) 사용을 고려할 수 있습니다. HAVP 바이러스 필터링 프록시 서버 소프트웨어는 독립적으로 또는 Squid와 직렬로 사용하여 Squid 프록시 서버의 바이러스 필터링 기능을 향상시킬 수 있습니다.

이메일 서비스 제공은 Linux 서버에서 중요한 애플리케이션입니다. ClamAV(http://www.clamwin.com/)를 사용할 수 있습니다. ClamAV의 전체 이름은 Clam AntiVirus입니다. Liunx와 마찬가지로 ClamAV는 현재 40,000개 이상의 바이러스를 탐지할 수 있으며 무료 라이센스라는 개념을 강조합니다. 웜, 트로이 목마 프로그램을 탐지하고 언제든지 데이터베이스를 업데이트합니다. 의심스러운 바이러스를 발견한 사람은 누구나 언제든지 바이러스 데이터베이스를 업데이트하고 유지 관리하는 바이러스 전문가 그룹이 있습니다. 매우 짧은 시간 내에 네트워크에서 ClamAV를 사용하는 메일 서버가 최신 보호 조치를 완료했습니다.

[컷 페이지]

14. 로그인 보안 강화

/etc/login.defs 파일을 수정하면 로그인 오류 지연, 로깅, 로그인 비밀번호 길이 제한, 만료 제한 등의 설정을 추가할 수 있습니다.

/etc/login.defs #로그인 비밀번호는 90일 동안 유효합니다.

PASS_MAX_DAYS 90 #불법 사용자가 단시간에 여러 번 비밀번호를 변경하는 것을 방지하기 위한 로그인 비밀번호의 최소 수정 시간

PASS_MIN_DAYS 0 #로그인 비밀번호의 최소 길이는 8자입니다.

PASS_MIN_LEN 8 #로그인 비밀번호가 만료되면 7일 전에 비밀번호를 변경하라는 메시지 표시

PASS_WARN_AGE 7 #로그인 오류 발생시 대기시간 10초

FAIL_DELAY 10 #로그인 오류가 로그에 기록되었습니다.

FAILLOG_ENAB yes #슈퍼유저가 로그를 관리하도록 제한하는 경우 사용

SYSLOG_SU_ENAB yes #슈퍼유저 그룹 관리 로그를 제한할 때 사용

SYSLOG_SG_ENAB yes #암호 암호화 방법으로 md5를 사용할 때 사용

15. FTP와 Telnet 대신 OPENSSH를 사용하세요

FTP, Telnet 등 우리가 일반적으로 사용하는 네트워크 전송 프로그램은 네트워크에서 비밀번호와 데이터를 일반 텍스트로 전송하기 때문에 본질적으로 안전하지 않습니다. 해커가 스니퍼를 사용하여 이러한 비밀번호와 데이터를 가로채는 것은 매우 쉽습니다. SSH의 정식 영어 이름은 Secure SHell입니다. SSH를 사용하면 사용자는 전송되는 모든 데이터를 암호화할 수 있으므로, 네트워크의 해커가 사용자가 전송한 데이터를 가로채더라도 이를 해독할 수 없다면 데이터 전송에 실질적인 위협이 되지 않습니다. 또한, 전송되는 데이터를 압축하여 전송 속도를 높일 수 있습니다. SSH는 Telnet을 대체할 수 있을 뿐만 아니라 FTP에 대한 보안 "전송 채널"을 제공하는 많은 기능을 가지고 있습니다. 불안전한 네트워크 통신 환경에서 강력한 인증 메커니즘과 매우 안전한 통신 환경을 제공합니다. SSH(Secure Shell)는 원래 핀란드의 한 회사에서 개발되었지만 저작권 및 암호화 알고리즘의 제한으로 인해 많은 사람들이 무료 대체 소프트웨어인 OpenSSH로 눈을 돌렸습니다. 명령줄에서 OPENSSH를 사용하는 것은 번거로운 작업입니다. 여기서는 그래픽 암호화 전송 솔루션을 제공하기 위해 함께 통합된 gFTP와 OPENSSH를 소개합니다. gFTP는 Windows의 CuteFtp처럼 사용하기 매우 쉽고 거의 모든 Linux 배포판에는 설치 없이 사용할 수 있는 gFTP가 포함되어 있습니다. Windows에서는 SSH를 지원하는 클라이언트 소프트웨어가 많이 있으며 Putty와 Filezilla를 권장합니다.

16. 중요한 파일을 백업하세요

많은 트로이 목마, 웜, 백도어는 중요한 파일을 교체하여 자신을 숨깁니다. 가장 중요하고 일반적으로 사용되는 명령을 백업하는 것이 좋습니다. 읽기 전용 미디어, CD 또는 USB 플래시 드라이브 세트를 준비하거나 온라인으로 다운로드할 수도 있습니다. 즉, 시스템에 감염될 수 있는 명령보다는 필요할 때 원래의 명령을 사용하는 것이 좋습니다. 백업 시 주의할 점은 다음과 같습니다.

/빈/수

/bin/ps

/bin/rpm

/usr/bin/top

/sbin/ifconfig

/빈/마운트

17. 패치 문제

최신 패치를 찾으려면 항상 설치 중인 시스템 게시자의 홈 페이지로 이동해야 합니다. 운영 체제는 컴퓨터 시스템의 영혼으로, 시스템의 최하위 계층을 유지하고 메모리 및 프로세스와 같은 하위 시스템을 관리하고 예약합니다. 운영체제 자체에 취약점이 있을 경우 그 영향은 치명적이다. 운영 체제의 커널은 네트워크 보안에 매우 중요합니다. 현재 커널 유지보수는 크게 두 가지 모드로 나누어진다. 윈도우/솔라리스 등 개인 운영체제의 경우 개인 사용자가 소스코드에 직접 접근할 수 없기 때문에 해당 코드는 회사 내부 개발자가 유지관리하며 보안이 보장된다. 같은 팀에서 커널 수정 사항을 다른 응용 프로그램과 마찬가지로 패치/SP 패키지로 출시합니다. Linux와 같은 개방형 시스템의 경우 개방형 구조입니다. 오픈형 모델은 양날의 검이라고 할 수 있다. 기계적으로 말하면 전 세계의 개발자는 소스 코드를 얻고 그 안에 있는 허점을 찾아낼 수 있습니다. 보안이 더 좋아져야 하지만 동시에 네트워크 관리자가 제때에 커널을 업데이트하지 못하면 보안 위험도 커질 것입니다. 왼쪽. 또한 운영 체제 보안에 영향을 미치는 요소는 많습니다. 컴파일 수준부터 사용자의 사용 수준까지 모두 시스템 보안에 영향을 미칩니다. 단순히 소스코드를 열거나 닫는 것만으로는 보안 문제를 근본적으로 해결할 수 없습니다. 리눅스 네트워크 관리자라면 해당 웹사이트에 가서 패치가 있는지, 버그 수정이 있는지, 업그레이드가 필요한지 확인해야 하는 경우가 많다. 위험을 감수하지 마십시오. 그렇지 않으면 쉘 스크립트가 귀하의 웹사이트를 다운시킬 수 있습니다. 유명한 속담을 의역하면 다음 날 해커가 서버를 언제든지 탈취할 수 있습니다.

Linux 서버에서 실행되는 소프트웨어에는 주로 Samba, Ftp, Telnet, Ssh, Mysql, Php, Apache, Mozilla 등이 포함됩니다. 이러한 소프트웨어의 대부분은 오픈 소스 소프트웨어이며 지속적으로 업그레이드되며 안정적인 버전과 베타 버전이 나타납니다. 번갈아. www.samba.org 및 www.apache.org의 최신 ChangeLog에는 버그 수정, 보안 버그 수정이라고 나와 있습니다. 따라서 Linux 네트워크 관리자는 관련 웹사이트의 버그 수정 및 업그레이드에 항상 주의를 기울여야 하며 적시에 패치를 업그레이드하거나 추가해야 합니다.

요약:

깨지지 않는 방패가 없듯이, 어떤 시스템도 완벽하게 안전할 수는 없습니다. 마찬가지로 보안 분야에서도 누구도 자신이 주인이라고 말할 수 없습니다. 시스템의 보안은 수많은 선배들의 땀과 지혜를 통해 이루어졌습니다.

[컷 페이지]

7. 네트워크 스니핑 방지:

8. 완벽한 로그 관리

로그 파일은 항상 시스템의 실행 상태를 기록합니다. 해커가 오면 로그의 눈에서 벗어날 수 없습니다. 따라서 해커는 공격 중에 흔적을 숨기기 위해 로그 파일을 수정하는 경우가 많습니다. 따라서 /var/log 파일에 대한 접근을 제한하고 일반 권한을 가진 사용자가 로그 파일을 보는 것을 금지해야 합니다.

/etc/sysconfig/syslog

SYSLOGD_OPTIONS="-mr 0"

또한 로그의 원격 저장소도 설정해야 합니다. /etc/syslog.conf 파일을 수정하여 로그 서버 설정을 추가하면 syslog가 로그 서버에 복사본을 저장합니다.

/etc/syslog.conf

*.* @log_server_IP

컬러 로그 필터를 사용할 수 있습니다. 컬러 로그 로코 필터, 현재 버전은 0.32입니다. 컬러 로그를 표시하려면 loco /var/log/messages | more를 사용하여 로그에 루트 및 비정상적인 명령의 위치를 명확하게 표시하세요. 이를 통해 로그를 분석할 때 사람이 누락하는 일을 줄일 수 있습니다. 정기적인 로그 확인도 필요합니다. Red Hat Linux는 자동으로 정기적으로 로그를 확인하고 관리자의 메일함으로 이메일을 보내는 logwatch 도구를 제공합니다. /etc/log.d/conf/logwatch.conf 파일을 수정하고 MailTo = root 매개변수 뒤에 관리자의 이메일 주소를 추가해야 합니다. Logwatch는 루트, sudo, telnet, ftp 등을 사용하여 로그인과 관련된 로그 및 필터 정보를 정기적으로 확인하여 관리자가 일상적인 보안을 분석하는 데 도움을 줍니다. 완전한 로그 관리에는 네트워크 데이터의 정확성, 유효성 및 적법성이 포함되어야 합니다. 로그 파일을 분석하면 침입을 예방할 수도 있습니다. 예를 들어, 사용자가 몇 시간 내에 20 개의 등록 레코드가 실패한 경우 침입자가 사용자의 비밀번호를 시도 할 가능성이 높습니다.