Linux 운영 및 유지 관리 예제에 대한 시스템 보안을 보장하는 방법

---

머리말

시스템 보안은 시스템의 주요 요소로, 리눅스는 윈도우 시스템에 비해 계정 보안 및 권한에있어 보안 성이 높아 보안 사고를 어느 정도 예방할 수 있습니다.

1. 계정 보안 조치

시스템 계정 정리

자주 사용하지 않는 계정을 정리하여 계정 취약성을 줄입니다.
로그인하지 않은 사용자의 셸을 / sbin / nologin으로 설정합니다. 이때 계정은

로그인 할 수 없습니다 . 현재 1-1 계정은 로그인 할 수 없습니다. 로그인 할 수 있습니다.

자주 사용 하지 않는 계정 잠금 usermod -L 사용자 이름
passwd -S 사용자 이름보기 상태
passwd -l 사용자 이름 잠금
passwd -u 사용자 이름 잠금 해제

쓸모없는 계정 삭제
userdel -r 사용자 이름

계정 파일 잠금
Linux 시스템에서는 비밀번호 파일이 섀도우에 저장되고 암호화 된 문자열로 나타납니다. passwd에는 비밀번호 자리 표시자가 하나만 있습니다.
chattr + i / etc / passwd / etc를 사용할 수 있습니다 . / shadow 사용자의 암호를 잠그기 위해 사용자는

암호가 잠긴 후에는 암호를 수정할 수 없습니다 . 이제 암호 파일이 잠겨 있습니다.

chattr -i / etc / passwd / etc / shadow는

보기 명령으로 lsattr + i / etc / passed / etc / shadow 파일의 잠금을 해제 할 수 있습니다 .

계정 보안 설정

암호 보안 제어는
암호 유효 기간을 설정하는 데 사용되며
, 설정이 완료된 후 사용자는 다음에 로그인 할 때 암호를 변경해야합니다.
비밀번호 구성 파일을 수정하여 새 사용자의 비밀번호 유효 기간을 지정하십시오. 파일은 /etc/login.defs에

있습니다. 최대 일 수를 수정할 일 수로 수정하십시오. 예를 들어 15 일 99999는 무기한 기간을 의미합니다.
기존 사용자의 경우 chage -M 일 사용자 이름을 직접 사용할

수 있습니다. 다음에 로그인 할 때 chage -d 사용자 이름을 변경하기 위해 암호를 설정하십시오.

명령 이력 기록이 가끔 사용되므로 보안 기록을 제한해야합니다. 기록 된 명령 수를 줄이고 로그인시 명령을 자동으로 로그 아웃합니다.
목적을 달성하기 위해 명령의 구성 파일을 수정합니다. 파일은 / etc /에 있습니다. 프로파일.

변수 녹음 1000 1000 과거 명령 값으로 수정 될 수있는 기본이다.

200 개의 기록 명령을 200 개로 수정했습니다.

실행 및

보기이 히스토리 명령은 bash_history 파일에도 저장되므로 경로 재 지정 방법을 사용하여 히스토리 명령을 덮어 쓰거나 지울 수 있습니다. bashrc 폴더에 쓴 후에는 다시 시작한 후 이전 명령을 볼 수 없습니다.
명령은 echo ""> ~ / .bash_history입니다.

터미널 로그 아웃은 다른 사용자의 로그인을 방지하기 위해 유휴 상태 일 때 터미널에서 로그 아웃 할 수 있습니다.
방법은 명령 내역과 동일합니다. 동일한 구성 파일 / etc / profile에서이를

편집하십시오. 이것은 직접 찾을 수 없습니다. 예를 들어, 단말기는 300 초 300 초 후 자동으로 로그 아웃되며, 그림과 같이

유효 파일 이 설정되어 있습니다.

둘째, SU 명령 및 권한 상승 작업 사용

1. 사용자 전환

su의 기본 기능은 사용자를 전환하는 것입니다. 형식은 su-target 사용자입니다. 즉, 대상 사용자의 환경 로그인 셸을 사용

하여 비밀번호를 확인하지 않고 루트 사용자를 다른 사용자로 전환합니다. 일반 사용자는 다른 사용자로 전환됩니다. 대상 사용자의 암호를 확인해야합니다.

su 명령 사용을 제한하면 특정 사용자가 계정을 전환하지 못하도록 제한하여 보안을 강화할 수 있습니다.
두 가지 방법이 있는데 하나는 휠 그룹에 가입하는 것이고 다른 하나는 PAM 인증 모듈을 활성화하는 것입니다.
su 명령을 사용할 수있는 사용자를 wheel 그룹에 추가하는 것이 더 쉽습니다.
명령 형식은 gpasswd-a user name wheel grous for view입니다.


/etv/pam.d/su 폴더를 입력하고 그림에서이 줄의 주석 처리를 제거하십시오.

첫 번째 줄에는 주석을 달 수 없으며 루트 계정에 주석을 달면 Su 명령을 사용할 수 없습니다.

pam.whell 인증이 활성화 된 후 wheel 그룹에 가입하지 않은 사용자는 su 명령을 사용할 수 없습니다.

sudo 메커니즘은 다른 사용자 (루트)로 인증 된 명령을 실행하는 데 사용됩니다.
Su 인증 된 명령이지만 사용하기 전에 구성해야합니다.
visudo 또는 vim / etc / sudoers에서 구성합니다.
형식은 사용자 호스트 이름 = 명령 프로그램 목록입니다.
vim / etc / sudoers는 구성 파일을 직접 수정하는 것입니다.

예를 들어, wheel 그룹에서 1-2 명의 사용자에게 저장할 때 ifconfig 명령을 사용하도록 허용하십시오! 이것은 읽기 전용 파일이기 때문입니다.


사용 visudo를가 user_Alies의 Host_Alies의 Cmnd_Alies은 (별칭은 대문자 여야합니다) 권한 높이기 위해 편집에 별칭을 템플릿을 사용하는

그림은 편집 된 템플릿입니다
. 먼저 사용자 이름을 정의하는 것입니다의
두 번째는 호스트 이름을 정의하고,
세 번째는 프로그램 목록입니다
별명입니다. 사용자의 호스트 이름 = 명령 형식의 목록으로 별칭 형식을 사용,

완전 다음과 같이

다시 시작 및 종료에 대한 명령 권한이 그림에서 비활성화되어 있습니다.

허가 없이는 실행할 수 없습니다.
sudo는 여전히 로그 기능을 가지고 있거나 visudo에서 편집

합니다 . 사용자를 전환 한 후 작업을 수행하면 / var / log / sudo 파일에 기록됩니다.

sudo 명령을 처음 사용하려면 5 분의 암호 만료 시간이 필요합니다. 비밀번호를 확인하지 않고 5 분 이내에 사용하세요.
su -l은 현재 사용자가 획득 한 권한을 확인할 수 있습니다.

2. PAM 검증 모듈

기본적으로 누구나 su 명령을 사용하여 루트 사용자의 암호를 쉽게 알아낼 수있어 보안 위험이 있습니다.
PAM 모듈은 su 명령을 강화하는 데 사용됩니다. PAM 인증 모듈을 사용하면 극소수의 사용자 만 사용할 수 있습니다. 전환 할 su 명령.
PAM 플러그 형 인증 모듈
은 효율적이고 유연하며 편리한 사용자
인증 방법이며 Linux 서버에서 일반적으로 사용되는 인증 방법이기도합니다.

PAM 인증 시퀀스






PAM 다이어그램

세 개의 스위치 기계 보안 및 암호 보안

Blos 부팅

물리적 수준에서 첫 번째 부팅 장치를 현재 시스템이있는 하드 디스크로 설정하는 것이 CD-ROM U 디스크에서 시스템을 네트워크로 부팅하는 것을 방지하고 보안 수준을 설정으로 설정하고 관리자 암호를 설정하는 가장 안전합니다.

GRUB 제한

시스템에 들어갈 때 e 키를 눌러 grub 파일을 수정할 수 있습니다. 서버 보안에 큰 숨겨진 위험이 있습니다. 암호를 설정하여 보호 할 수 있습니다.
grub2-mkpasswd-pbkdf2를 사용하여 키를 생성합니다.
/etc/grub.d/00_header 파일을 수정하고 암호 레코드를 추가
하여 새 grub.cfg 구성 파일 을 생성합니다.
암호 파일을 잃어 버리지 않도록 먼저 백업하십시오.

구성 파일을 수정하고 사용자 이름을 루트로, 암호를 암호화 된 문자열로 수정합니다.

새 grub2.cfg 파일을 생성합니다. 이때 메뉴에 들어가서 설정을 수정하려면 비밀번호를 입력해야합니다.

시스템 로그인 제어 권한

루트 사용자가 보안 터미널에만 로그인하도록 제한하고 / etc / securetty 파일에서 터미널을 주석 처리 할 수 ​​있습니다.
구성 파일을 입력합니다.

예를 들어 tty5 및 tty6을 주석 처리하면 로그인 할 때 두 터미널에서 로그인 할 수 없습니다.

일반 사용자의 로그인을 금지하려면 nologin 파일 만 생성하면됩니다.

로그인 재개 및이 파일 삭제는 다시 시작할 수 있으며 파일을 삭제하거나 수동으로 삭제할 수 있습니다.

시스템 암호 크래킹

시스템 암호 (암호)는 타사 소프트웨어에 의해 해독 될 수 있습니다. 일반적으로 사용되는
아이콘 은 JR JOTH THE Ripper 입니다.

이것은 사전 스타일의 무차별 암호 대입 크래킹을 지원하는 암호 분석 도구입니다. 암호 강도는 다음의 암호 문자열을 통해 감지 할 수 있습니다. 그림자 폴더.
먼저 파일을 시스템에 넣고 소프트웨어의 압축을 풉니 다. 소프트웨어는 C 언어로 컴파일 및 설치해야합니다. 컴파일 및 설치

후 크래킹 할 비밀번호 파일을 디렉토리에 넣습니다. 무차별 대입 크래킹이 완료되면 결과가 자동으로 공개됩니다.
이 도구는 사전 파일을 기반으로합니다. 함께 제공되는 사전 파일은 특별히 강력하지 않습니다. 해독 할 사전 파일을 지정할 수 있습니다
./john --wordlist =. / password.lst / opt / shadow.txt 여기서 password.lst는 기본 제공 사전이며보다 강력한 사전 파일을 지정할 수 있습니다.
포트 스캐닝은 포트 탐지를 통해 네트워크 보안 성능을 평가할 수 있으며

설치 방법은 비교적 간단하며 Yum 설치는 소스 코드없이 설치할 수 있습니다.

이 도구를 사용하여 컴퓨터의 열린 tcp 포트 및 udp 포트를 스캔합니다.