기능경기대회 - 1

 

해당 내용을 실습 후 정리하기 📙

기초(지방대회 내용).pdf

1.01MB

1. SSH 접속 시 메시지 출력 설정

/etc/ssh/sshd_config 파일로 들어간 후 파일에서 22번 포트가 열려있는지 확인해야합니다.
참고로 /etc(실행파일)/ssh(포트)/sshd_config(daemon으로 백그라운드 설정파일)로써
위와 같이 생각하시면 쉽게 위치를 찾을 수 있습니다.

주석 제거한 모습

아 근데 우분투가 가장 범용적이고, 대중적이니 거기서 하는게 좋겠네요
그리고 해당 모듈인 ssh와 net-tools는 설치해주세요(앵간해선 있을거예요)

---

2. SSH 접속 시 메시지 출력 설정

How to Fix SSH Failed Permission Denied (publickey,gssapi-keyex,gssapi-with-mic)

 

리눅스 SSH 접속 방법 (SSH 프로토콜 연결 허용 설정하기) - JooTC

SSH와 관련된 모듈을 설치해도 안되는 경우가 종종 있는데 위 링크를 접속하여
해결해보세요(저는 다른 문제로 이상이 있었는데 sudo passwd로 환경인자를 넣어야 됨)

위 그림의 차이점은 배너에 문구를 넣었냐 안 넣었냐 차이인데
이처럼 SSH에 원격접속(저희는 표시를 위해 로컬로)로 들어왔을 때 나오는 문구가 Banner라고 합니다.
그럼 한번 메시지를 추가해봅시다.

먼저 /etc/ssh/sshd_config의 경로에 들어가서 Banner의 주석으로 이동합니다.
여기서 Banner가 none으로 되어 있다면(버전 업데이트로 안되는 거 같으니까)
apt install -y openssh-server 을 하시는 것도 나쁘진 않아요(해도 전 변화가 없긴 하던데)

그러면 해당 주석에 /etc/issue.nat(파일을 원하는 형태로 출력해줌)을 추가하고
해당 경로로 가서 원하는 문구를 입력합니다.

그리고 service ssh(d) restart or systemctl restart ssh를 하면 됩니다.
더 자세히는 추후 더 알아봅시다.

---

3. 비밀번호 정책 설정

일단 리눅스 자체가 지향하는 부분 중 하나는 다중 사용자이다. 그러기에 비번 정책 설정 알아보자

일단 유저를 생성해준다(root 권한이 있어야 생성 가능합니다)
그 후 비번 정책 설정 후 확인해봅시다.

---

/etc/login.defs

login의 default 기본 비번 항목을 지정하는 파일

• PASS_MAX_DAYS
  : 비번 사용할 수 있는 최대 일시
• PASS_MIN_DAYS
  : 비번 바꾸는 사이의 최소 일시
• PASS_MIN_LEN
  : 비번 최소 길이
• PASS_WARN_AGE
  : 비번 만료 전 경고하는 일시

---

etc/pam.d/command-password

login.defs의 파일에선 설정할 수 없었던 세부내용
etc/pam.d/command-* 부분에서 영어 해석 그대로 설정 가능

위와 같이 설정을 하셨다면 나가셔서 비번 설정 환경을 확인하신다면..

위와 같이 설정이 된 모습을 확인 할 수 있습니다.
참고로 실행이 안된다면 아례 모듈을 다운로드 받아주세요

위와 같이 패키지를 다운로드를 받아야 정책 설정이 가능하다고 했는데
저는 안해도 되더라고요. 버전에 따라 성공의 접근 방식이 달라지나봐요

---

알뜰신잡

/var/log/apache2 diretory permission

제 Ubuntu에선 apache2가 이슈가 있는거 같네요

둘의 접근 권한을 다르게 하여 접근하면..(user&root)
위와 같이 apache2의 구성 요소의 파일이 user와 group이 달라진 모습을 확인할 수 있습니다.
그럼 www-data가 대체 뭘까요?

---

www-data란?

www-data not exists in centos, what is the replacement? · Issue #73 · GeoNode/documentation

위에서 어느정도 설명하고 있으나 간략하게 정리하자면..
우분투에 기본적으로 존재하는 User로써, 실제 /etc/passwd 파일에서 확인하면 존재합니다.

솔직히 www-data를 사용하지 않고 파일 권한을 root로 해도 실행에는 지장 X
그럼 왜 www-data로 계정을 변경한 상태를 지향하며 왜 만들어졌을까요?
다 쓰임이 있겠죠?

---

apache2는 웹 서비스를 구동할 때 사용하므로 WAS(Node.js, Nginx, Django)와 같은 서버에
구동했다고 해도 무방합니다(기능이 유사합니다) 그러기에 공격 취약점이 발생한다면
예를 들면 Zero-day → RCE 공격으로 이어진다면 root권한이라면 피해 ↑

그러기에 www-data라는 소유주 권한이 만들어진것이며 해당 권한으로만 apache2가 구동
그러기에 hacker가 Exploit를 해도 해당 권한으론 한정적으로 동작되겠죠
결국 보안상의 이유로 존재합니다(미러사이트는..?, 방화벽의 존재 이유가 유사하죠)

해당 명령어는 기초라서 정리 안할려고 했는데 혹시 몰라서.. 그대로 올려봅니다 ㅠ
chmod는 익숙하실거고 chown(er)라는 의미로 소유자 변경입니다.
쉘 스크립트에서도 중요한 -R이 핵심이라는 점!!

---

4. apache2 파일 업로드 권한 설정

/var/www(default front)/apache2/uploads에 아무 파일이나 만듭시다.
touch a.txt를 실행하고 Index of /uploads 로 향하는 경로를 확인한다면..

Ubuntu Apache2 DefaultRuntimeDir must be a valid directory, absolute or relative to ServerRoot

근데.. 저는 apache2의 파일 경로가 아무리해도 동작은 되지만 경로에 없기에.. 난감하네

localhost/upload를 들어갈때 왼쪽을 오른쪽으로 보이게 만들어야합니다. 그러면..

/etc/apache2/apache2.conf

granted → denied 로 변경하면 됩니다.
여기서 <Directory /var/www>의 의미는 /var/www 디렉토리에 대한 권한을 의미합니다.

• Require all granted : 무조건 허용
• Require all denied : 무조건 금지
• Require ip 192.168 11 : 특정 IP만 접근 허용(Ex. 192.168과 11로 시작되는 대역대만 허용)

---

5. sudo 특정 명령 제한

sudoers 파일이란?

root는 서버의 모든 작업을 수행하지만, 일반 유저는 모든 작업을 할 수 없게 권한을 제한합니다.
근데 서버를 운용하면 일반 유저를 생성할 경우가 많이 생깁니다.

그런데 만약 일반 유저가 관리자만 사용할 수 있는 명령을 실행한다면..
(관리자 계정이 있어야하고 권한 부여해 모든 명령어를 부여 즉, SetUID같은 경우를 최소화 ㄱ)

sudoers 파일은 일반 유저가 관리자만 사용할 수 있는 명령을 사용할 수 있게 하거나 제한이 가능

/etc/sudoers 파일에 대하여 그럼 알아봅시다.

sudoers 파일은 기본적으로 r(읽기 권한)만 존재하기 때문에 파일 수정 X

위와 같이 chmod +w /etc/sudoers 파일의 쓰기 권한을 부여합니다.
크게 두가지 방법으로 수정할 수 있습니다.

첫번째는 chmod로 파일 권한 변경 후 수정하는 것이고,
두번째는 visudo 명령어를 통해 파일을 수정하는 것입니다.
특히 visudo는 좀 생소하네요

update-alternatives --config editor로 visudo는 기본적으로 nano라서
자신이 변한 에디터로 바꾸면 됩니다.(저는 vim이 편해서)
그후 파일을 수정해봅시다.

/etc/sudoers

Cmnd_Alias SHUTDOWN=/sbin/... 라는 위에 이미지대로 넣는다.
여기선 /sbin/ 디렉토리에 있는 명령어들을 허용 X 라는 의미이다.

그리고 %sudo 가 있는 라인에서 !SHUTDOWN을 통해 해당에 있는 모든 것을 False 처리를 합니다.

위에를 확인하면 sudo update는 잘 실행되지만, reboot&halt 등 SHUTDOWN으로 지정한
명령어는 실행이 안되는 모습입니다.

---

6. 백업 스크립트 작성

서버 관리 시에는 백업이 중요하고 셸 스크립트를 활용하면 백업을 효율적으로 하므로
한번 배울 김에 공부해봅시다.

해당 유저 계정에 backup 디렉토리를 만들고 해당 파일에
/var/log/* 파일과 /etc/* 파일을 .tar.gz 파일로 압축해 백업하는 스크립트를 작성해봅시다.

알들신잡 - 압축 형식을 알아봅시다.

 압축 포멧의 확장자는 .zip .tar .gz(gzip) .7z 등 무지 많습니다.
여기선 .tar.gz 중점으로 알아봅시다.

 .tar 는 여러파일을 묶는 방법이고 .gz는 묶은 파일을 작게 압축
그러기에 두개를 동시에 사용하여 자원 절약 및 효율성을 늘림

> tar 명령어 옵션

---

백업 스크립트 작성

위와 같이 백업 스크립트를 작성할 수 있습니다.
참고로 Shell_Script는 C언어와 리눅스 명령어와 비슷하므로 직관적으로 보일 겁니다.
다만 문법 활용 부분에서 익숙하지 않을 수 있을 듯 싶네요(저도 약간 그래요 ㅠ)

---

Tip. 서버 관리

서버를 관리하면 자동화에 대하여 많은 부분을 고민해야합니다.
특히 백업 스크립트는 자동화를 위해 만들었지만 단점도 명확하게 보입니다.
매번 백업을 하기 위해선 backup.sh 파일을 실행해야하니까요

그러기에 Cron이라는 자동화를 위한 도구를 소개합니다.
Crontab(Windows의 스케쥴러 같은 계념) 알람 같은 계념입니다.
이 Crontab을 이용하여 backup Script의 동작의 단점을 해결합시다.

crontab 명령

상세한 내용은 위에 링크를 통해 학습 후 홀용하시길 바랍니다.
그럼 Crontab + Shell Script를 통해 특정 주기마다 명령어를 실행
즉, 자동 백업도 가능하다는 점이 보이겠죠?

---

7. SSH 인증 최대 횟수 제한

SSH 인증 최대 횟수 제한과 메시지 띄우기 해봅시다.

/ect/ssh/sshd_conf

해당 경로에서 편집을 MaxAuthTries 주석을 해제한 후 지정하면..

저는 SSH 설정에서 뭔 문제 생겨서 안됬는데
실제로는 Too many auth.. failures 머라머라 나옵니다.

이건 진짜 간단한 문제네여;;

---

Vi 편집기 자동화 해결책

sed라는 키워드가 핵심입니다.
sed를 이용한 명령을 적고 쉘 스크립트를 실행하면 저절로 파일이 수정됩니다.

sed란?

수정, 치환, 삭제, 글 추가 등 편집기에 사용할 웬만한 기능 사용가능

그리고 명령어로 쓸 수 있다면 쉘 스크립트로 사용할 수 있다는 뜻이 됩니다!!

---

-s : 치환

Ex) sed 's/AAAAA/BBBBB/' ./Hello.txt

위와 같이 입력하면 AAA..가 BBB..로 바뀌어 출력되지만,
파일은 변경되지 않습니다.

---

-i : 입력

Ex) sed -i 's/AAAAA/BBBBB/' ./Hello.txt

위 키워드에 -i를 삽입했을 뿐인데, 파일 내용도 변경된 모습

---

sed의 장점?

• 파일의 내용을 일괄적으로 수정&작성 가능
  - awk, grep 명령어 등과 연동 가능
• regex와 같은 정규 표현식으로 정밀하고 세말한 작업 가능
• 다양한 파일을 수정하는 것을 자동화 할 때 정말 유용

[리눅스/유닉스] 유용 명령어 sed를 살펴보자! sed 명령어 사용법과 예시, 패턴 스페이스와 홀드 스

더욱 자세한 내용은 아례 링크에서 참고 바랍니다.
저도 공부할 때 도움이 많이 된 자료입니다.

---

참고 자료

[CentOS] 패스워드 정책 설정

 

[리눅스(Linux)] 비밀번호(패스워드) 정책 설정

 

리눅스 크론탭(Linux Crontab) 사용법 :: JDM's Blog

 

참고 이미지