리눅스 보안 하우투: FAQ

다음 이전 차례

13. FAQ

드라이버 지원을 모듈로 만드는 대신 커널에서 직접 하도록 하는 것이 더 안전한가요?
어떤 사람들은 -- 침입자가 트로이의 목마형 모듈이나 시스템에 영향을 끼칠 수 있는 모듈을 로드할 수 있다고 해서 -- 모듈을 써서 디바이스 드라이버를 로드하도록 하는 기능은 꺼놓는 것이 좋다고 생각하기도 합니다.
하지만 모듈을 로드하기 위해서는 사용자는 반드시 루트가 되어야 합니다. 모듈 오브젝트 파일 또한 루트만이 적을 수 있도록 되어 있습니다. 만약 침입자가 루트 사용권을 이미 얻었다면, 그가 모듈을 로드할 것인가를 걱정하는 것 말고도 중요한 다른 걱정거리가 많겠지요.
모듈은 자주 사용되지 않기도 하는 특정한 디바이스를 지원하기 위해서 로드되게 됩니다. 서버 기계에서나 -- 방화벽 등의 경우-- 자주 일어나지는 않는 일입니다. 이런 이유로 -- 서버로 일하고 있는 기계에는 -- 커널에 직접 지원을 컴파일해 주는 것이 타당합니다. 또한 모듈은 직접 커널에 컴파일된 지원보다 느립니다.
왜 원격 기계에서 루트로 접속하는 것이 항시 안됩니까?
[루트 보안]에 대한 항목을 보십시오. 원격 사용자가 텔넷을 써서 루트로 접속하는 것은 심각한 보안 취약 요건이기에 이런 경우를 막고자 일부러 이렇게 해 놓습니다. 잠재적 침입자에게는 시간이 충분하고, 여러분의 패스워드를 찾아내기 위한 자동 풀그림을 쓸 수도 있다는 것을 언제나 잊지 마십시오.
제가 쓰고 있는 레드 햇 4.2나 5.0 컴퓨터에서 어떻게 쉐도우 패스워드를 씁니까?
쉐도우 패스워드는 일반적으로 사용되는 /etc/passwd 파일이 아닌 다른 장소에 패스워드를 적어놓는 방식입니다. 여러 장점이 있는데, 우선은 /etc/shadow 등의 쉐도우 파일은 -- 아무나 읽을 수 있도록 되어있는 /etc/passwd와는 달리 -- 루트만이 읽을 수 있도록 되어 있다는 것입니다. 다른 장점은 관리자로서 -- 사용자들이 다른 계정의 상태를 아는 일없이 -- 계정을 주거나 꺼버리는 것이 가능하다는 것입니다.
이 경우에 /etc/passwd 파일은 -- /bin/ls 등의 풀그림 등이 디렉토리를 보여줄 때의 경우처럼 사용자 ID와 사용자 이름 (username)을 연결해서 사용할 수 있도록 -- 사용자와 그룹 이름을 기록하는 것에 만 사용됩니다.
그리고 /etc/shadow 파일은 사용자 이름 (username)과 패스워드 -- 그리고 어쩌면 계정이 언제 끝나는지 등의 -- 계정 정보만을 담게 됩니다.
쉐도우 패스워드를 켜두려면 루트 권한으로 pwocnv를 실행하시면 /etc/shadow가 만들어지면서 다른 풀그림들에 사용되게 됩니다. 레드 햇 4.2 이상을 사용하신다 했으므로, 이 경우에는 특별히 무엇을 바꾸지 않아도 PAM 모듈이 보통의 /etc/passwd에서 쉐도우 패스워드로 전환 사용되는 것을 자동으로 인식할 것입니다.
일단 패스워드를 안전하게 만드는 것에 관심을 두셨으니, 아예 처음부터 좋은 패스워드를 만드는 것에 관심을 두는 것도 좋을 것입니다. 이 것을 위해서는 PAM의 일부분인 pam_cracklib을 쓰실 수 있습니다. 이것은 여러분의 패스워드를 크랙 라이브러리를 써서 돌려봄으로서 여러분의 패스워드가 패스워드 크랙 풀그림에 의해서 쉽게 깨질 수 있는 가를 알도록 해줍니다.
어떻게 아파치 SSL 익스텐션을 사용할 수 있지요?
1. 우선 ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL에서 SSLeasy 08.0 이상의 것을 구합니다. 2. 빌드하고, 실험해 본 후에 설치를 합니다. 3. 아파치 1.2.5의 소스를 구합니다. 4. 아파치 SSLeay 익스텐션을 구합니다. ftp://ftp.ox.ac.uk/pub/crypto/SSL/apache_1.2.5+ssl_1.13.tar.gz } [35] 5. 아파치 1.2.5 소스 디렉토리에 압축된 것을 풀어서 README에서 말하는 대로 수정해 줍니다. (README를 먼저 읽고 나서 실시하세요) 6 조정을 하고 빌드하면 끝.
미국의 밖에 소재하고 있는 리플레이 어소시에이츠 (Replay Associates): http://www.replay.com/}에서 미리 만들어진 패키지를 구할 수도 있습니다.
보안 수준을 유지하면서 어떻게 사용자 계정을 바꾸죠?
특히 RH 5.0 등의, 레드 햇 배포본은 사용자 계정의 특성을 바꾸는데 사용할 수 있는 많은 도구를 가지고 있습니다.
- pwconv와 unpwconv 풀그림을 사용하시면 쉐도우 패스워드와 비(非) 쉐도우 패스워드로 원하는 대로 바꾸면서 사용할 수 있습니다.
- pwck과 grpck은 passwd와 그룹 파일간의 적절한 구성을 확인하는 것에 사용될 수 있습니다.
- useradd, usermod, 그리고 userdel는 사용자 계정을 더하고 바꾸고, 지우는 데에 사용됩니다. groupadd, groupmod, 그리고 groupdel은 그룹에 적용되는 명령어입니다.
- 그룹 패스워드는 gpasswd 명령어를 써서 만들 수 있습니다.
여기 적혀있는 모든 풀그림들을 "쉐도우 인지 (認知)"를 합니다. 만약 쉐도우를 켜놓으면, /etc/shadow를 패스워드 정보를 보기 위해서 사용할 것이고 아니라면, 단순히 사용하지 않는다는 것을 뜻합니다. 더 정보를 원하시면 상관되는 메뉴얼 페이지 man을 보십시오.
특정한 HTML 파일을 어떻게 아파치를 써서 보호합니까?
http://www.apacheweek.com/이라는 곳을 아시는지?
사용자 인증에 대해서는 http://www.apacheweek.com/features/userauth를 보고, 다른 웹 서버 보안 팁은 http://www.apache.org/docs/misc/security_tips.html을 보십시오.

다음 이전 차례