KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ SOLARIS, LINUX, AIX, HP-UX 1) vi 편집기를 이용하여 “/etc/passwd” 파일 열기 2) 로그인 쉘 부분인 계정 맨 마지막에 /bin/false(/sbin/nologin) 부여 및 변경 (수정 전) daemon:x:1:1::/:/sbin/ksh (수정 후) daemon:x:1:1::/:/bin/false 또는, daemon:x:1:1::/:/sbin/nologin 일반적으로 로그인이 불필요한 계정 (※ 계정 설명: 부록 참조) daemon, bin, sys, adm, listen, nobody, nobody4, noaccess, diag, listen, operator, ga..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ SOLARIS, LINUX, HP-UX usermod 명령으로 동일한 UID로 설정된 사용자 계정의 UID 변경 usermod –u ■ AIX chuser 명령으로 동일한 UID로 설정된 사용자 계정의 UID 변경 chuser id=

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ SOLARIS, LINUX, AIX, HP-UX groupdel ※ 해당 그룹 삭제시 그룹권한으로 존재하는 파일이 존재하는지 확인이 필요하며 사용자가 없는 그룹이라 하더라도 추후 권한 할당을 위해 그룹을 먼저 생성하였을 가능성도 존재하므로 무분별한 삭제는 권장하지 않으며 신규 생성된 그룹(GID 500 이상)을 중점적으로 점검 권고 [CentOS] Linux Group 생성 / 삭제 / 수정 [groupadd / groupmod / groupdel] [CentOS] Linux Group 생성 / 삭제 / 수정 [groupadd / groupmod / groupdel] Linux의 Group 구성 - 기본..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ SOLARIS, LINUX, HP-UX 1) vi 편집기를 이용하여 “/etc/group” 파일 열기 2) root 그룹에 등록된 불필요한 계정 삭제 (예) root 그룹에 등록된 불필요한 test 계정 삭제 (수정 전) root:x:0:root,test (수정 후) root:x:0:root ■ AIX 1) vi 편집기를 이용하여 “/etc/group” 파일 열기 2) system 그룹에 등록된 불필요한 계정 삭제 (예) system 그룹에 등록된 불필요한 test 계정 삭제 (수정 전) system:!:0:root,test (수정 후) system:!:0:root

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ SOLARIS, LINUX, HP-UX 1) 서버에 등록된 불필요한 사용자 계정 확인 2) userdel 명령으로 불필요한 사용자 계정 삭제 userdel ※ /etc/passwd 파일에서 계정 앞에 #을 삽입하여도 주석처리가 되지 않으므로 조치 시에는 반드시 계정을 삭제하도록 권고함 [CentOS] 점검 명령어 정리 [df / top / free / netstat / Log File 보기] [CentOS] 점검 명령어 정리 [df / top / free / netstat / Log File 보기] 명령어 df df -hT = 'h'uman이 알아보기 쉬운 Size 표기 및 Type 표기 사용률 90% ..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ SOLARIS 1) vi 편집기를 이용하여 “/etc/default/passwd” 파일 열기 2) 아래와 같이 수정 또는, 신규 삽입 (수정 전) MINWEEKS= (수정 후) MINWEEKS=1 (단위: 주) ■ LINUX 1) vi 편집기를 이용하여 “/etc/login.defs” 파일 열기 2) 아래와 같이 수정 또는, 신규 삽입 (수정 전) PASS_MIN_DAYS (수정 후) PASS_MIN_DAYS 1 (단위: 일) ■ AIX 1) vi 편집기를 이용하여 “/etc/security/user” 파일 열기 2) default: 부분을 아래와 같이 수정 또는, 신규 삽입 (수정 전) minage= ..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ SOLARIS 1) vi 편집기를 이용하여 “/etc/default/passwd” 파일 열기 2) 아래와 같이 수정 또는, 신규 삽입 (수정 전) MAXWEEKS= (수정 후) MAXWEEKS=12 (단위: 주) ■ LINUX 1) vi 편집기를 이용하여 “/etc/login.defs” 파일 열기 2) 아래와 같이 수정 또는, 신규 삽입 (수정 전) PASS_MAX_DAYS 99999 (수정 후) PASS_MAX_DAYS 90 (단위: 일) ■ AIX 1) vi 편집기를 이용하여 “/etc/security/user” 파일 열기 2) default: 부분을 아래와 같이 수정 또는, 신규 삽입 (수정 전) ..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ SOLARIS 1) vi 편집기를 이용하여 “/etc/default/passwd” 파일 열기 2) 아래와 같이 수정 또는, 신규 삽입 (수정 전) PASSLENGTH=6 (수정 후) PASSLENGTH=8( 8 이상권장) ■ LINUX 1) vi 편집기를 이용하여 “/etc/login.defs” 파일 열기 2) 아래와 같이 수정 또는, 신규 삽입 (수정 전) PASS_MIN_LEN 6 (수정 후) PASS_MIN_LEN 8( 8 이상권장) ■ AIX 1) vi 편집기를 이용하여 “/etc/security/user” 파일 열기 2) default: 부분을 아래와 같이 수정 또는, 신규 삽입 (수정 전) m..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr OS별 점검 파일 위치 및 점검 방법 SOLARIS, LINUX, AIX, HP-UX 1) “wheel” 그룹 (su 명령어 사용 그룹) 및 그룹 내 구성원 존재 여부 확인 cat /etc/group (※ “group” 파일 구조: 부록 참조) wheel:x:10:root,admin 2) wheel 그룹이 su 명령어를 사용할 수 있는지 설정 여부 확인 [SOLARIS] #ls –al /usr/bin/su chgrp security su chmod 4750 su [AIX] #cat /etc/security/user ---> default의 “sugroup=staff” 설정 확인 [HP-UX] #vi /etc..

HTML 삽입 미리보기할 수 없는 소스 - 지금까지 VPN Server를 구축하고 연결하는 방법까지 알아보았다. 이번에는 PPP를 사용하여 접속하는 것이 아닌, L2TP/IPSec 방식으로 접속하는 방법을 정리해보았다. 또한, VPN을 연결하면, Internet이 끊어지는데, 이를 막아주는 설정까지 같이 정리하였으니 확인해보길 바란다. 목차 1. VPN Server에서 설정 2. VPN Client에서 설정 3. 외부 인터넷 사용하기 1. VPN Server 에서 설정 1.1) L2TP/IKEv2 키 설정 - [SVR1(로컬)] 의 속성의 [보안] 탭에서 [L2TP/IKEv2 연결에 사용자 지정 IPSec 정책 허용]에 체크를 한다. [미리 공유한 키]라는 공란에 키 값을 입력한다. cisco라고 넣고 ..

HTML 삽입 미리보기할 수 없는 소스 - 이전에는 Windows VPN Server를 설치하고 관련 내용을 살펴보았다. 이제는 설치한 VPN Server를 이용해볼 차례다. VPN을 사용할 때의 Tunnling Protocol을 알아보고, 정리하는 시간을 가져보려고한다. 목차 1. VPN 접속하기 2. VPN 통신 확인하기 3. 정리하기 [구성도] 1. VPN 접속하기 1.1) VPN Interface 생성 - [네트워크 공유 센터]로 이동하면 [새 연결 또는 네트워크 설정]이 있다. 해당 설정으로 진입하면, 두 가지 선택 중 VPN 연결을 설정하기 위해 [회사에 연결를 선택한다. 그 다음 [내 인터넷 연결 사용] 를 선택한다. - [나중에 인터넷 연결 설정]를 선택하고 인터넷 주소에 VPN Serve..

HTML 삽입 미리보기할 수 없는 소스 목차 0. VPN Server 구축 전 살펴보기 1. 원격 액세스 구성 2. VPN Server 살펴보기 [구성도] 0. VPN Server 구축 전 살펴보기 0.1) DC1에서 내부망까지 상황 - VPN를 사용하기 전, DC1의 IP와 통신 상태를 먼저 살펴보려고 한다. IP와 DNS Server까지 정상적으로 설정되어 있으며, DNS까지 통신도 가능한 상태이다. 0.2) 사용자 계정 생성 - VPN Server를 이용할 사용자 계정을 생성한다. 생성한 뒤에 사용자 계정 속성의 [전화 접속 로그인] 탭에서 [네트워크 액세스 권한]의 설정이 필요하다. 접속을 위하여 [액세스 허용]으로 변경하고 마무리한다. 1. 원격 액세스 구성 1.1) 원격 액세스 설치 - SVR..

HTML 삽입 미리보기할 수 없는 소스 - 조직구성단위(Organizational Unit) 는 각종 자원들(사용자 계정, 이메일, 리소스, 컴퓨터) 등을 관리할 수 있는 컨테이너 박스이자 그룹정책을 적용할 수 있는 최소 단위다. 이러한 단위를 관리하는 최상위 계정은 Administrator가 있다. 최상위 계정이라고 모든 것을 관리 / 감독할 수 없다. 마치, 대기업의 회장님이 영업 3팀의 장그래 사원을 관리할 수 없고 그 부서의 장인 오상식 차장이 그 조직을 관리하는 것이 효율적이다. 이처럼 조직 구성 단위를 제어할 수 있는 기능인 '제어위임' 기능을 살펴보고 조직구성단위에 포함된 자원들을 관리해보자 1. 기본 설정 1.1) 조직구성단위 생성 및 사용자 생성 - Marketing 이라는 조직구성단위를..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ SOLARIS, LINUX, HP-UX 1) usermod 명령으로 UID가 0인 일반 계정의 UID를 100 이상으로 수정 * SOLARIS, HP-UX의 경우 100 이상 * LINUX의 경우 500 이상 (예) test 계정의 UID를 100 로 바꿀 경우 usermod –u 100 test usermod –u 500 test ※ 각 OS별로 사용자 UID 체계가 상이하여 시스템 계정 및 일반 사용자 계정이 부여받는 값의 범위에 차이가 있으며, 공통적으로 관리자는 "UID=0"을 부여받음 ■ AIX 1) chuser 명령으로 UID가 0인 일반 계정의 UID를 100 이상으로 수정 (예) test ..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ SOLARIS, LINUX, AIX, HP-UX 정기적인 로그 분석을 위하여 아래와 같은 절차 수립 1) 정기적인 로그 검토 및 분석 주기 수립 1. utmp, wtmp ,btmp 등의 로그를 확인하여 마지막 로그인 시간, 접속 IP, 실패한 이력 등을 확인하여 계정 탈취 공격 및 시스템 해킹 여부를 검토 2. sulog를 확인하여 허용된 계정 외에 su 명령어를 통해 권한상승을 시도하였는지 검토 3. xferlog를 확인하여 비인가자의 ftp 접근 여부를 검토 2) 로그 분석에 대한 결과 보고서 작성 3) 로그 분석 결과보고서 보고 체계 수립 [CentOS] 점검 명령어 정리 [df / top / fr..