불필요한 계정(user,group) 삭제 및 퍼미션 설정
---------------------------------------------
http://cafe.naver.com/edcxswqaz
기초적인 보안을 위해 불필요한 계정의 삭제 및 퍼미션의 설정에 관한 내용 입니다.
1. 불필요한 계정은 삭제 한다.
: ftp, xfs, adm, lp, newes, gopher를 /etc/passwd와 /etc/group에서 주석처리 또는
userdel uid, groupdel gid를 해서 삭제 한다.
1)
#userdel adm
#userdel lp
#userdel sync
#userdel shutdown
#userdel halt
#userdel news ( 뉴스그룹으로 위장하여 표적이 되기 쉽다. )
#userdel uucp
#userdel operator
#userdel games
#userdel gopher
#userdel ftp (anymous FTP server를 운영하지 않으면 삭제 한다.)
2)
#groupdel adm
#groupdel lp
#groupdel news
#groupdel uucp
#groupdel games
#groupdel dip
#groupdel pppusers
#gropudel slipusers
2. 퍼미션 설정변경
: 중요한 설정 파일의 퍼미션을 변경하여 일반 유저들의 접근을 제한한다.
1) /etc/
chmod 700 /etc/exports
" /etc/fstab
" /etc/hosts
" /etc/hosts.deny
" /etc/hosts.allow
2) /bin/
chmod 700 /bin/mount
chmod 700 /bin/umonut
3) /sbin/
chmod 700 /sbin/netreport
4) /usr/bin/
chmod 700 /usr/bin/top
" /usr/bin/find
" /usr/bin/lynx lynx,wget 명령어는 일반적으로 해커들이 해킹툴을 가져올때 자주쓰는 명령어
" /usr/bin/wget
" /usr/bin/chage
" /usr/bin/finger 서버 이용자 파악을 하지 못하게 함
" /usr/bin/wall
" /usr/bin/man
" /usr/bin/chfn
" /usr/bin/write
" /usr/bin/finger
" /usr/bin/nslookup
" /usr/bin/suidperl suid 걸린 파일
" /usr/bin/sperl5.6.0 perl중에 suid걸린 파일(버젼에따라 틀림)
" /usr/bin/whereis
" /usr/bin/cc 소스 컴파일은 루트이외에 못하도록 조치
" /usr/bin/c++
" /usr/bin/gcc
" /usr/bin/make
" /usr/bin/pstree
" /usr/bin/rlog
" /usr/bin/rlogin 필요없는 경우에는 삭제
" /usr/bin/which
" /usr/bin/who
" /usr/bin/w
" /bin/mail 계정상에서 텔넷으로 메일을 확인하지 못하게
5) /usr/sbin
chmod 700 /usr/sbin/usernetctl
6) chattr +i /etc/fstab와 같이 속성에 Lock을 걸어 파일을 수정 할 수 없게 한다.
3. 시스템 관련 명령어를 특정 사용자그룹에서만 사용가능 하도록 설정 한다.
- /etc/group을 열어 wheel:x:10:root,kim 와 같이 kim 이라는 계정을 wheel 그룹에 추가 한다.
그러면, root를 포함하여 wheel 그룹에 속한 tt라는 계정만이 위 명령어를 수행할 수 있다
chmod 750 /bin/ps
/bin/su root로 전환할 유저를 제한
/bin/netstat
/bin/dmesg
/bin/df
/usr/bin/who
/usr/bin/finger
/usr/bin/last
/usr/bin/top
/usr/bin/w
chgrp wheel /bin/ps
/bin/su
/bin/netstat
/bin/dmesg
/bin/df
/usr/bin/w
/usr/bin/who
/usr/bin/finger
/usr/bin/last
/usr/bin/top
--------------------------------------
su 사용 제한 하기
Linux 2008/10/01 15:37
http://blog.nice2seeyou.com/mike/211
/etc/pam.d/su 에 보시면 새로운 라인 2개를 보실 수 있습니다.
# Uncomment the following line to implicitly trust users in the "wheel" group.
auth sufficient /lib/security/pam_wheel.so trust use_uid
이 부분은 wheel 그룹에 포함되어 있는 그룹들은 패스워드 인증 없이 바로 root 의 권한을 가질수 있게 해 줍니다.
# Uncomment the following line to require a user to be in the "wheel" group.
auth required /lib/security/pam_wheel.so use_uid
이 부분은 wheel 그룹에 포함되어 있는 그룹들만이 root 로의 su 를 허락하게 합니다.
--------------------------------------------------------------------------------
/etc/pam.d/su 에 첫줄에 다음을 추가
auth required /lib/security/pam_wheel.so debug group=wheel
/etc/group 의 wheel 그룹에 su - 허용하고자 하는 사용자 그룹 등록
wheel:x:10:root,someone
만약 허용되지 않은 그룹의 사용자가 su - 를 시도하면
/var/log/message 에 PAM-Wheel[25873]: Access denied for \'babo\' to \'root\'
와 같이 로그가 남습니다.
'Compute™ > Linux ' 카테고리의 다른 글
| [Linux] Console Login 실패 (Xwindow 에서) (0) | 2012.01.06 |
|---|---|
| [Linux] Linux 32Bit, 64Bit 확인 (0) | 2012.01.05 |
| [Linux] HBA 카드 정보 확인 (0) | 2012.01.04 |
| [Linux] Redhat Linux 에서 xmanager 사용하기 (XDMCP) (0) | 2012.01.02 |
| [Linux] rpm 삭제 하기 ex)오류: %preun(httpd-2.0.40-21) scriptlet failed, exit status 1 (0) | 2011.12.31 |