보안기사 실기 공부 1 일차

/etc/passwd

[user account]:[user_passwd]:[UID]:[GID]:[comment]:[home_dir]:[login_shell]

root : x : 0:0: : /root: /bin/bash

-> x= /etc/shadow 사용

불필요한 계정 사용 시 login shell을 /bin/false, /sbin/nologin으로 설정

/etc/shadow

[user account]:[encrypted password]:[last_change]:[min_life]:[max_life]:[warn]:[inactive]:[expires]

root : $1$fjkoweisdf:$dslkfjasiojeoirjoisjdfoijsoidjf:19888:1:90:7: :

-> $1 = hash 방법(1 = MD5, 2 = Blow_fish, 5 = SHA-256, 6: SHA-512)

    $fjkoweisdf = salt 값

    $dslkfjasiojeoirjoisjdfoijsoidjf = salt랑 hash한 encrypted 값

salt 사용 시 같은 패스워드를 사용해도 salt 값으로 인해 encrypted 값이 변경 되므로 rainbow_table attack으로 부터 방어 가능

pwunconv = /etc/passwd 사용

pwconv = /etc/shadow 사용

SUID, SGID

SUID = process 실행중일 때만 소유자 권한으로 자원에 접근

SGID = process 실행중일 때만 소유 그룹 권한으로 자원에 접근

Sticky-bit = 일반 사용자가 자유롭게 file을 쓸수 있지만 자신이 생성한 파일이 아니면 수정, 삭제 불가

SUID, SGID, Sticky-bit 제거 = chmod -s

DOS 공격에 취약한 서비스 비활성화

echo(7), discard(9), daytime(13), chargen(19), NTP(23), DNS(53), SNMP(161/162), SMTP(25)

-> /etc/xinetd.d 파일에서 해당 서비스 부분에서 'disable = yes'로 설정

시스템 로그

utmp : 현재 로그인한 사용자 상세 정보 확인 -> who

wtmp : 사용자 login, logout 정보 -> last

btmp = 5번이상 로그인 실패 시 정보 기록 -> lastb

pacct = 사용자별, 시간대별 명령어 기록 -> lastcomm

lastlog = 사용자 가장 최근 login 기록

sulog = 사용자 su 사용 기록

login.defs

/etc 아래에 있으며 pw 사용기간 만료, pw 최대, 최소 변경 시간 등 pw 정책 설정 file

logrotate

log가 쌓여 사용률 100%가 되어 장애가 발생하는 것을 막음

1. daily, weekly, monthly = 일 / 주 / 월 단위로 로그 순환

2. rotate [개수] = rotate 개수 지정

3. size [크기] = [크기]정도로 log가 쌓이면 rotate

4. create = 오래된 로그부터 순환하여 사용자 logfile 생성

5. compress / uncompress = 로그 file 압축 / 압축 x

 

lsattr = 파일 속성 확인

chattr -i =  root 권한으로 삭제 불가능한 파일 속성 변경

mtime = 수정(변경)된 파일 찾기

-mtime -1 = 수정기간이 1일 이내

-mtime 1 = 수정기간이 1일

-mtime +1 = 수정기간이 1일 초과