[정보보안기사] PART 01 . 시스템 보안

 

윈도우 인증 

LSA(식별) SAM(인증) SRM(인가) SAM파일 - 암호화된 패스워드 정보를 저장  

윈도우 보안 식별자 ( SID ) : 사용자나 그룹 고유 식별번호 /  SAM 파일에 SID 정보 저장 

500 : 관리자(Administrator) , 501 : 게스트(Guest) , 1000이상 : 일반 사용자   

윈도우 인증구조 : Challenge & Response 구조  

단순히 아이디와 패스워드를 전달하여 인증하는 방식은 취약하기 때문 

1. 인증요청 

2. challenge 값 전송 

3. Response 값 ( 패스워드 + challenge값) 전송 

4. 값 확인 및 인증 성공 

 

레인보우 테이블 공격  

자주 쓰이는 패스워드에 대한 해시값 사전 , 솔트를 통해 대응  

솔트 : 암호화 강도를 높이기위한 임의의 값 , 패스워드에 추가  

해시 연산 수행시 솔트 값을 추가 입력값으로 사용하는 경우,  

동일한 패스워드에 대하여 해시값이 달라지므로 해시 목록을 이용한 레인보우테이블 공격에 대응 가능 

 

/etc/passwd 파일 

계정:pw:UID:GID:comment:H_dir:login_shell 

로그인이 불필요한 계정 “ /sbin/nologin ” , “ /bin/false “ 리눅스 패스워드 정책 설정파일 : /etc/login.defs 

  

/etc/shadodw 파일  

계정:encryted_pw:last_change:MIN:MAX:WARN:inactive:expire 

minlife : 패스워드 최소 사용기간 , 패스워드를 변경할 수 없는 일 수  

최근 암호기억을 무력화하여 익숙한 패스워드를 재사용할 문제점  ,1일(1주) 권장 

maxlife : 패스워드 최대 사용기간 ,  유출 시 공격자의 계속적인 접근 가능 90일(12주) 

 

해시값 (사용자 패스워드에 솔트를 조합하여 해시한 값) 

 

리눅스 로그 파일  

utmp : 현재 로그인한 사용자의 상태정보  “w”, “who” , “finger” 

wtmp: 사용자의 성공한 로그인,로그아웃,시스템 부팅 정보  “last”   

last reboot | head -5 

lastlog: 가장 최근에 성공한 로그인 기록 “lastlog” , “finger” 

lastlog -u kiwi99 , lastlog -t 5 : 해당 일수이내 접속한 기록 

btmp: 실패한 로그인 시도 기록 

리눅스 : /var/log/btmp “lastb 계정명” 

유닉스 : /var/adm/loginlog 5회이상 실패시 

History :  명령어에 대한 기록 , 계정별 홈디렉터리에 존재    

message : 가장 기본적인 시스템 로그 파일  

 

파일 권한 관리 

chmod : 기존 파일 또는 디렉터리에 대한 접근 권한을 변경    /  chmod 664 demon.c 

umask : 새로 만들어질 파일에서 제거 될 권한을 명시 / umask 022 

chown/chgrp : 소유주나 소유그룹 변경   /  chown root demon.c 

프로세스 실행권한 ( SUID , SGID )  

프로세스가 실행중인 동안에 일시적으로 권한상승 

 해당 실행파일의 소유자,소유그룹의 권한으로 자원에 접근할 수 있도록 하는 권한설정 

root 권한이 필요 없는 프로그램에 소유주가 root 로 되어 있으면서 setUID 가 설정된 경우 보안상으로 매우 취약 

관리자는 주기적으로 SUID,SGID가 설정된 프로그램을 확인할 필요 

소유자가 root이고 파일유형이 일반파일(실행파일) 

Suid or Sgid 설정된 파일 정보 상세 출력  

find / -user root -type f \(-perm -4000 -o -perm -2000\) -exec ls -al {}\; 

 

디렉터리 접근권한 ( sticky-bit ) 

모든 사용자가 이용할 수 있도록 rwx 권한 부여 -> 파일을 누구나 삭제 또는 파일명 변경 가능 문제점 

자유롭게 파일/디렉터리 생성가능 , 파일삭제 및 파일명 변경은 소유자만 가능하도록 특수권한비트 

 

 

Context Switching ( 문맥 교환 ) 

CPU를 차지하던 프로세스가 자원을 반환하고 새로운 CPU를 차지 하는것 

 

Init Process 

모든 프로세스는 부모 프로세스를 가진다. 

자식 프로세스가 살아있는 상태에서 부모 프로세스가 종료하게 되면  

자식 프로세스는 고아 프로세스가 되며 , 이 경우 대리모 프로세스가 부모 역할  

Init Process - 대리모 역할 수행  

UID ( User ID ) : 프로세스의 EUID ( Effective User ID )  

PID(Process ID): 프로세스 식별 ID   

PPID ( Parent Process ID ) : 부모 프로세스 식별ID  

좀비 프로세스 

좀비 프로세스 : 프로세스 수행을  종료했지만 부모 프로세스가 종료상태정보를 확인하지 않아서 

소멸하지 않고 남아있는 상태의 프로세스 

프로세스는 제한된 자원이므로 좀비 프로세스가 과도하게 많아지면 더 이상 프로세스를 생성하지 못하는 문제가 발생 ( 시스템 가용성 문제 )  좀비 프로세스는 Kill 시그널을 통해서도 소멸 되지 않는다. 

시스템 리부팅을 통해 커널 정보를 초기화하는 방법으로 제거  

근본적인 해결책은 문제의 원인( 부모 프로세스) 를 해결하는 것  

 

프로세스 스케줄 관리 ( cron ) , 일시적 ( at )  

crontab 파일 : 정기적으로 처리해야 하는 작업  

( 분 /  시  /  일  / 월  / 요일(0:일요일)  / 작업 )  

20 6 * * 1-5 /work/batch_job param1  

매월 매일 월~금요일 오전 6시20분에 /work/batch_job 명령 param1 인수 

10 3 * * * /usr/sbin/logadm 

매일 새벽 3시 10분에 /usr/sbin/logadm 명령어를 실행  

 

crontab 명령 접근제어 

허용하지 않는 사용자가 임의로 crontab 명령을 통한 작업 등록을 못하도록 설정 

/etc/cron.allow 파일에 등록되어 있는 사용자만이 명령 실행 ( white list 방식 )  

악의적인 침입자가 시스템 해킹시에 root 권한을 탈취하여 악성프로그램을 등록하고 cron 을 이용하여  

주기적으로 “C&C”서버에  전송할수있기에 관리자는 cron파일의 주기적인 관리가 필요하다  

/etc/cron.allow , /etc/cron.deny 파일 접근제어가 필요하다  

 

슈퍼 서버 ( 슈퍼 데몬 ) 

Stand-Alone  : 개별 서비스 , 자주 사용되는 서비스(httpd,sendmail) 

inetd(xinetd) : 필요할 때 수행 , 서버에 계속 올려놓을 필요없는 서비스 

불필요하고 보안상 취약한 서비스들은 비활성화 

inetd.conf 파일에서 지워버리기(#주석처리) 후 inetd 재가동 

serive inetd restart 

 

접근통제(TCP Wrapper) 

관리자가 접근을 허용한 호스트에 대해서만 서비스를 허용  

접근 순서 /etc/hosts.allow -> /etc/hosts/deny -> default ( 모든 접근 허용 )  

TCP Wrapper를 사용할 경우 해당 서비스의 실행경로에 “usr/sbin/tcpd”를 명시 

PAM(장착형 인증 모듈) 

인증을 위해 제공되는 라이브러리들 , 필요에 따라 선택적 사용 

/etc/pam.d : PAM 라이브러리를 이용하는 서비스의 설정파일 

/lib/security : PAM 라이브러리가 제공하는 다양한 인증 모듈 ( .so )  

 

root계정의 원격 접속 제한 

root 계정의 경우 중요한 계정이므로 원격 터미널 접속을 차단하는 것이 필요 

1. etc/pam.d 에 있는 remote 서비스 설정파일에 pam_securetty.so 모듈 추가 /etc/pam.d/remote 

2. etc/securetty 파일에 “pts/~” 터미널 모두 제거  

 

SSH를 이용한 root 계정의 원격 접속 제한 

1. SSH데몬 설정 파일 /etc/ssh/sshd_config  

2. PermitRootLogin 항목을 no로 설정  

3. 설정파일 저장후 SSH 데몬 재시작 , service sshd restart 

 

계정 잠금 임계값 설정 

무작위 대입 공격, 사전 대입 공격, 패스워드 크랙공격에 대응 

etc/pam.d 에 있는 sysmtem-auth 서비스 설정파일에 pam_tally2.so 모듈 추가 

pam_tally2.so 모듈 옵션 

deny=5 : 5회 입력 실패 시 패스워드를 잠근다. 

unlock_time=120 : 계정 잠김 후 마지막 계정 실패 시간부터 설정된 시간이 지나면 자동 계정 잠금 해제 ( 단위:초)  

pam_tally.so 모듈 옵션 

no_magic_root : root 계정은 패스워드 잠금 설정을 적용하지 않는다. 

reset : 접속 시도 성공 시 실패한 횟수 초기화 

pam_tally2 명령  

pam_tally2 -u kiwi99 : 로그인 실패 횟수 확인  

pam_tally2 -u kiwi99 -r : 해당 계정의 실패 횟수 초기화  

 

 

/etc/pam.d/system-auth  

deny=5 

root계정 su 제한 

1. wheel 그룹에 사용자 추가 : usermod -G wheel algisa 

2. /etc/pam.d 에 있는 su 서비스 설정파일에 pam_wheel.so 모듈 추가 

 

sudo 

su : switch user , 다른계정으로 전환 , root의 비밀번호를 알려줘야 하는 부담  

sudo  : 현재 계정에서 다른 계정 권한으로 명령어를 실행  

( 설정파일 : sudoers )  

algisa 192.168.56.100=(ALL) NOPASSWD: ALL 

sudoers파일에 algisa 계정 등록 , algisa 계정은 sudo 명령을 통해 192.168.56.100 호스트에서 모든 계정 권한으로  

모든 명령을 algisa 계정의 비밀번호 확인 없이 실행 가능  

 

syslog 설정 및 관리 

syslog.conf(rsyslog.conf)  설정 파일을 참조하여 로그를 체계적 생성,관리 / BEEP 

*.info;mail.none;authpriv.non;cron.none /var/log/message 

모든 서비스에 대한 info 수준 이상의 로그를 /var/log/message 에 기록  

 

로그순환 파일 

/etc/logrotate.conf : 설정파일 /etc/logrotate.d : 서비스를 적용할 프로세스 설정파일  

   

버퍼 오버플로우  

할당된 메모리의 범위를 넘어 오버플로우를 발생 -> 복귀 주소를 변경 -> 임의코드 실행  

입력값 사전 검증을 통한 방지  

대응기술  

- 스택 가드 : 복귀 주소와 변수 사이에 특정 값 ( 카나리아 ) 을 저장 , 변경되었을 경우 오버플로우 

-스택 쉴드 : Global RET 특수 스택에 저장 , 함수종료시 비교  

-ASLR( Address Space Layout Randomization ) : 주소 공간 배치를 난수화 , 실행시 마다 메모리 주소 변경  

 

레이스 컨디션 공격 

 

 

PATH 환경 변수 ( $PATH ) 

명령어를 실행시킬 때 경로를 찾는데 이용  

환경변수에  . 이 맨 앞에 있으면 다른 경로보다 현재 디렉터리를 우선해서 파일을 실행한다  

의도하지 않은 명령이 실행될 수 있으므로   .  을 PATH환경변수의 마지막으로 이동 , 불필요할경우 삭제