리 눅 스 보안 관리 조치

리 눅 스 운영 체 제 는 뚜렷 한 기능 과 신뢰성 있 는 안정성 을 가지 기 때문에 현재 점점 더 많은 사용자 들 이 리 눅 스 를 배우 고 사용 하기 시작 했다.리 눅 스 를 공부 하고 사용 하 는 과정 에서 필 자 는 리 눅 스 를 안전하게 관리 하 는 작은 노 하 우 를 수집 하고 정 리 했 습 니 다.지금 은 이 를 기여 하고 있 습 니 다.네티즌 여러분 들 이 계속 보충 하고 보완 해 주시 기 를 바 랍 니 다.    1.시스템 에 대한 완전한 백업 은 시스템 이 사용 하 는 과정 에서 발생 하 는 이외 의 상황 을 방지 하기 위해 정상적으로 작 동 하기 어렵 습 니 다.우 리 는 리 눅 스 의 완전한 시스템 을 백업 해 야 합 니 다.리 눅 스 시스템 의 설치 임 무 를 완성 한 후에 전체 시스템 을 백업 하 는 것 이 좋 습 니 다.나중에 이 백업 에 따라 시스템 의 완전 성 을 검증 할 수 있 습 니 다.이렇게 하면 시스템 파일 이 불법 으로 수정 되 었 는 지 아 닌 지 를 발견 할 수 있다.시스템 파일 이 파 괴 된 경우 시스템 백업 을 통 해 정상 상태 로 회복 할 수도 있다.정 보 를 백업 할 때,우 리 는 완전한 시스템 정 보 를 CD-ROM CD 에 백업 할 수 있 으 며,이후 에 정기 적 으로 시스템 과 CD 내용 을 비교 하여 시스템 의 완전 성 이 파괴 되 었 는 지 검증 할 수 있다.보안 수준 에 대한 요구 가 매우 높 으 면 CD 를 시작 가능 한 것 으로 설정 하고 검증 작업 을 시스템 시작 과정의 일부분 으로 할 수 있 습 니 다.이렇게 하면 CD 를 통 해 작 동 할 수만 있다 면 시스템 이 아직 파괴 되 지 않 았 다 는 것 을 설명 할 수 있다.    2.로그 인 서버 를 개선 하여 시스템 의 로그 인 서버 를 하나의 단독 기계 로 옮 기 면 시스템 의 안전 등급 이 증가 하고 더욱 안전 한 로그 인 서버 를 사용 하여 리 눅 스 자체 의 로그 인 도 구 를 대체 하 는 것 도 안전 을 한층 높 일 수 있 습 니 다.큰 Linux 네트워크 에 서 는 syslog 서비스 에 단독 로그 인 서버 를 사용 하 는 것 이 좋 습 니 다.모든 시스템 로그 인 수 요 를 만족 시 키 고 디스크 공간 이 충분 한 서버 시스템 이 어야 합 니 다.이 시스템 에 서 는 다른 서비스 가 실행 되 지 않 을 것 입 니 다.더 안전 한 로그 인 서버 는 침입 자가 로그 인 시스템 을 통 해 로그 파일 을 조작 하 는 능력 을 크게 약화 시 킬 것 이다.    3.관건 적 인 파 티 션 을 위해 읽 기 전용 속성 Linux 파일 시스템 을 구축 하면 몇 개의 주요 파 티 션 으로 나 눌 수 있 고 각 파 티 션 은 각각 다른 설정 과 설 치 를 할 수 있 습 니 다.일반적인 상황 에서 적어도/usr/local,/var 와/home 등 파 티 션 을 구축 해 야 합 니 다.usr 는 읽 기 전용 으로 설치 할 수 있 으 며 수정 할 수 없 는 것 으로 여 겨 질 수 있 습 니 다.만약/usr 에 어떤 파일 이 바 뀌 었 다 면 시스템 은 즉시 안전 경 보 를 보 낼 것 입 니 다.물론 사용자 가 변경/usr 의 내용 은 포함 되 지 않 습 니 다./lib,/boot,/sbin 의 설치 와 설정 도 같 습 니 다.설치 할 때 가능 한 한 읽 기 전용 으로 설정 하고 파일,디 렉 터 리,속성 에 대한 모든 수정 은 시스템 경 보 를 초래 할 수 있 습 니 다.물론 모든 주요 파 티 션 을 읽 기 전용 으로 설정 하 는 것 은 불가능 합 니 다.어떤 파 티 션 은/var 등 자신의 성질 에 따라 읽 기 전용 으로 설정 할 수 없 지만 실행 권한 을 가 지 는 것 을 허락 하지 않 아야 합 니 다.    4.시스템 내부 안전 체 제 를 개선 하면 우 리 는 리 눅 스 운영 체제 의 내부 기능 을 개선 함으로써 버퍼 가 넘 치 는 것 을 방지 하고 리 눅 스 시스템 내부 안전 체 제 를 강화 하 는 목적 을 달성 하여 전체 시스템 의 안전성 을 크게 향상 시 킬 수 있다.그러나 버퍼 넘 침 은 상당히 어렵 습 니 다.침입 자 는 잠재 적 인 버퍼 넘 침 이 언제 나타 날 지,메모리 에 있 는 위 치 를 판단 할 수 있어 야 하기 때 문 입 니 다.버퍼 넘 침 예방 도 어렵 습 니 다.시스템 관리 자 는 버퍼 넘 침 이 존재 하 는 조건 을 완전히 제거 해 야 이런 방식 의 공격 을 방지 할 수 있 습 니 다.그 렇 기 때문에 많은 사람들 이 Linux Torvalds 본인 도 이 안전 한 Linux 패 치 를 사용 하 는 것 이 매우 중요 하 다 고 생각 합 니 다.버퍼 를 사용 하 는 모든 공격 을 막 기 때 문 입 니 다.그러나 주의해 야 할 것 은 이 패 치 들 도 스 택 을 실행 하 는 일부 프로그램 과 라 이브 러 리 에 대한 의존 문 제 를 초래 할 수 있 고 이런 문제 들 은 시스템 관리자 에 게 새로운 도전 을 가 져 다 줄 수 있다 는 점 이다.    5.함정 과 꿀 통 을 설치 하 는 이른바 함정 은 활성화 할 때 경보 사건 을 촉발 할 수 있 는 소프트웨어 이 고 꿀통(honey pot)프로그램 은 침입 시도 자 를 유혹 하여 전문 적 인 경 보 를 촉발 하도록 설계 한 함정 프로그램 을 말한다.함정 과 꿀단지 설치 절 차 를 통 해 침입 사건 시스템 이 발생 하면 곧 경 보 를 보 낼 수 있다.많은 큰 네트워크 에서 일반적으로 전문 적 인 함정 프로그램 을 설계 하고 있다.함정 절 차 는 일반적으로 두 가지 로 나 뉜 다.하 나 는 침입 자 만 발견 하고 보복 조 치 를 취하 지 않 는 것 이 고,다른 하 나 는 동시에 보복 조 치 를 취 하 는 것 이다.    6.침입 을 맹아 상태 에서 침입 자 를 없 애고 공격 하기 전에 가장 자주 하 는 일 은 바로 단 호 스 캔 이다.만약 에 침입 자의 단 호 스 캔 행 위 를 신속하게 발견 하고 막 을 수 있다 면 침입 사건 의 발생 률 을 크게 줄 일 수 있다.반응 시스템 은 간단 한 상태 검사 패키지 필터 일 수도 있 고 복잡 한 침입 검색 시스템 이나 설정 가능 한 방화벽 일 수도 있다.우 리 는 Abacus Port Sentry 와 같은 전문 적 인 도 구 를 사용 하여 네트워크 인 터 페 이 스 를 감시 하고 방화벽 과 상호작용 을 하여 최종 적 으로 포트 스 캔 공격 을 닫 는 목적 을 달성 할 수 있다.현재 진행 중인 포트 스 캔 이 발생 했 을 때,Abacus Sentry 는 그것 이 계속 실행 되 는 것 을 신속하게 막 을 수 있다.그러나 설정 이 잘못 되면 적대 적 인 외부 자 들 이 시스템 에 서비스 거부 공격 을 설치 할 수 있 습 니 다.이 소프트웨어 를 정확하게 사용 하면 엔 드 번호 에 대한 대량의 병행 스 캔 을 효과적으로 방지 하고 모든 침입 자 를 막 을 수 있 을 것 이다.