IT엔지니어로 살아남기

<확인 방법>

#echo $PATH

결과에 "." 또는 "::" 있는지 확인

<조치>

"." 또는 "::"있으면 삭제

- vi /etc/profile 또는 vi ~/.profile 을 열어

(수정전)PATH=.:$PATH:$HOME/bin

(수정후)PATH=:PATH:%HOME/bin

1)/etc/shadow 파일  확인

2) /etc/passwd 파일 확인

3) /etc/passwd 내용 확인

- /etc/passwd 파일 내의 두번째 필드가 "X"표시로 되어 있는지 확인

※파일 확인시 파일  권한 확인 ( 구버전일 경우 권한이 더 높게 된경우 있음)

<조치방법>

#콘솔

[root@localhost ~]# vim /etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
# 로그인 시 5번 실패 할 경우 60초 동안 로그인이 제한 된다.
auth        required      pam_tally2.so deny=5 unlock_time=60
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     required      pam_tally2.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

#SSH

[root@localhost ~]# vim /etc/pam.d/password-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
# 로그인 시 5번 실패 할 경우 60초 동안 로그인이 제한 된다.
auth        required      pam_tally2.so deny=5 unlock_time=60
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     required      pam_tally2.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

<조치방법>

1. 기준 

최소 9자리 이상 되어야 하며  숫자,대문자,소문자,특수문자 최소 1개 포함해야됨

2. 방법

1) 

#vim /etc/security/pwquality.conf

minlen: 패스워드 최소 길이를 자로 제한
minclass: 최소 포함갯수
maxrepeat: 연속되 문자 허용 길이
maxclassrepeat: 이것도 정확한 뜻을 모르겠음
lcredit=1: 소문자 적어도 한개 포함
ucredit=1: 대문자 적어도 한개 포함
dcredit=1: 숫자 적어도 한개 포함
ocredit=1: 특수문자 적어도 한개 포함

주석 제거 및  값 수정 

2)

수정한 pwquality.conf 적용되도록  수정 및 확인

vi /etc/pam.d/system-auth-ac
password    required      pam_pwquality.so enforce_for_root

vi /etc/pam.d/password-auth-ac
password    required      pam_pwquality.so enforce_for_root

두개 파일을 열어 pwquality.so가 등록 되어 있는지 확인

<조치 방법>

1. root 계정 바로 접속을 막기전 접속을 위한 새로운 계정 생성

#PermitRootLogin yes  == > PermitRootLogin no

1) SSH 설정 파일 수정vi /etc/ssh/sshd_config

※ /PermitRootLogin로 검색해도 된다. 

# :wq

3. 서비스 재시작

# systemctl restart sshd

################################################################################

<조치방법>

1.  vi /etc/pam.d/sshd

최상단에 추가

# auth       required    pam_securetty.so

#:wq

root 로그인시 차단되는것을 확인할수 있다 저장 즉시 적용되며 사전에 접석용 계정을 생성하는것을 추천한다. 

################################################################################

<조치방법>

1. vi /etc/pam.d/sshd

#auth required pam_access.so 추가

2. vi /etc/security/access.conf

1)

#-:root:ALL

-> - : root : ALL 는 root계정에 대해서는 모든 IP로 부거 거부한다.

-> + : user1 : 1.0.0.130 는 user1계정에 대해서는 1.0.0.130 IP만 허용한다.

-> - : ALL except root user1 : ALL 는 root와 user1을 제외하곤 모든 IP에서 막는다 

Linux 서버 취약점 조치를 하나씩 정리를 목표로 정리할 생각입니다. 

서버 취약점 기준은 KISA 가이드라인을 기준으로 조치한 내용을 하나씩 정리

기록할 예정입니다. 

OS는 CentOS 7 기준으로 작성할 예정이며 추후 시간이 된다면 Centos 8 버전가지 갈생각입니다. 

OS 업데이트는 되는데 실질적으로 취약점 진단에 대한 가이드는 업데이트가 안되는 부분이 답답하네요