서버관리자를 위한 보안 지침

1. remote에서 root로 바로 로그인하지 않는다.

2. 반드시 shadow패스워드정책을 사용하도록 한다.

3. root로 작업한 후에는 반드시 로그아웃을 한다.

해킹이 있게 되면 해커는 반드시 시스템관리자(root)의 동태를 감시한다. 따라서 root로 작업한 후에 로그아웃을 하지 않으면 idle time이 크게 늘어나므로 해커는 w등의 명령으로 root가 놀고 있다고 판단하고 안심하고 해킹을 할 수 있다. 따라서 의도적인 잠수(로그인후 로그아웃하지 않는것)가 아니라면 작업후엔 반드시 로그아웃을 한다.

4. root그룹사용자의 계정을 최소화한다.

5. 정기적으로 파일과디렉토리의 퍼미션을 점검하도록 한다.

6. 특별한 경우가 아니면 가급적 일반 사용자에게는 제한적인 쉘을 사용하도록 한다.

즉, -r옵션을 줌으로 해서 사용자의 홈디렉토리외에는 다른 디렉토리로의 이동이 제한되게할 수 있으며 PATH변수의 수정이 불가능하게된다.

7. .rhosts와 /etc/hosts.equiv등의 파일은 다음과 같이 /dev/null로 링크시켜두도록 한다.

•    $ln -s /dev/null /.rhosts
•    $ln -s /dev/null /etc/hosts.equiv

8. root의 PATH의 맨앞에 "."을 넣어서는 안된다.

시스템관리자의 실수를 유도하는 위험한 덫이 있을 수 있다. 만약 root의 PATH에 "."(현재디렉토리에서 명령어를 찾는다.)이 맨 앞에 들어가 있다면 root가 어떤명령어를 실행할 때 현재디렉토리에서 명령어를 먼저 찾아서 있다면 그 명령어를 실행시키게 된다. 예를들어 보자. /user1/sspark 이라는 디렉토리에 다음과 같은 파일을 만들어 두었고 이 파일의 이름을 ls라고 주었다고 가정하자.

#!/bin/sh

/bin/rm -rf /

만약 root가 어떤 사유로 인하여(가입자의 요청일 수도 있음) 이 디렉토리에 와서 ls 라는 명령어를 사용했다면 실로  엄청난 결과를 가지고 올 것이다.  이런류와 같이 시스템관리자의 실수를 유도하는 것에는 얼마든지 유사한형태가 가능하기 때문에 반드시 root의 PATH에 "."를 맨 앞에 두어서는 안된다.  그리고 일반 계정에 있는 실행파일은 함부로 실행시켜서는 안된다.

9. CGI 프로그램은 가급적 컴파일버전을 사용토록한다.

10. CGI 프로그램파일의 퍼미션은 711로 한다.

11. 가급적이면 쉘명령어를 실행할때는 절대경로를 지정하여 실행한다.

12. CGI 프로그램의 설치를 일반사용자에게 허가하지 않는 것이 좋다.(권고안)

13. 웹서버에서 생성되는 프로세스는 root 권한으로 실행되지 않도록 한다.

14. CGIWrapper를 사용할때는 주의를 기울인다.

15. 반드시  TCP_Wrapper를 설치하여 접속제한을 하도록 한다.

16. 가급적이면 chroot를 사용하여 웹서버를 설치사용토록 한다.

17. 숨겨진 파일과 디렉토리를 자세히 살펴본다. 즉 .(점)으로 시작하는 파일과디렉토리를 일일이 체크해보도록 한다. 해커들은 침입한 후에 숨겨진 파일과 디렉토리를 만들어서 사용하는 경향이 있다. 심할 경우에는 .... 와 같이 몇 개의 ..을 사용하여 파일과 디렉토리를 만들어사용하는 경우가 있다.

18. 서버에서 기록되는 로그파일(예, messages, maillog, secure등)은 가급적이면 다른디렉토리에서 남기도록하며, 이들 로그파일은 정기적으로 관리자에게 메일로 보내지도록 cron으로 작업해 둔다.