불필요한 서비스 제거를 위한 단계별 명령어 순서

불필요한 서비스 제거를 위한 단계별 명령어 순서

① 가능하다면 소유자 만이 읽고 쓸 수 있도록 퍼미션을 변경한다.

② 해당 서비스 파일의 소유자가 root 인지 확인한다.

만약 수정할 일이 생긴다면 “chattr –i 파일명” 명령어를 실행하여 서비스 추가 수정 삭제가 가능하도록 한 후 수정을 한 이후 다시 “chattr +i 파일명” 명령어를 실행하여 수정할 수 없는 상태로 변경한다.

부팅 후 얼마나 많은 서비스가 실행되어 있는지 얼마나 많은 프로세스가 실행되어 있는지 알려면 다음과 같이 명령어를 실행하면 된다.

불필요한 서비스를 닫은 이후 다음과 같이 확인한다.

logging

사용하지 않는 불필요한 데몬은 가능한 많이 제거하며 실행되는 서비스들에 대해서는 로깅을 해야한다.

대부분의 로그들은 /var/log/ 디렉토리의 특정 파일에남는다.

서버 접속

원격지에서 서버를 관리하려면 안전하고 통제가 가능한 접속 방법을 찾는 것이 중요하다.

원격에서 서버 접속을 할 경우나 파일 업로드 및 데이터 전송시 서버에 접속할 필요가 있는데 이 접속들은 안전해야한다.

① SSH

사용자와 시스템과의 모든 통신을 암호화하여 안전하게 통신하는 것이 ssh이다.

iptables나 tcp_wrapper는 스니핑으로부터 즉 네트워크 트래픽은 보호하지 못하고 패스워드 등의 키 스트로크등이 탐지되기도 한다.

ssh는 pki방식으로 통신패킷을 암호화하여 전송하기 때문에 스니핑을 당하더라도 키 스트로크를 쉽게 유출 되지 않는다.

ssh의 서브루틴으로 sftp를 지원한다.

ftp를 ssh를 이용한 sftp를 이용한다면 보다 안전하게 ftp를 이용할 수 있다.

만약에 전송되는 파일은 유출이 되어도 무방하거나 중요하지 않다면 일반 ftp 데몬들이 제공하는 암호화방법인 ftps를 이용하는 것도 한 가지 방법이다.

② TCP_wrapper

TCP_wrapper는 서버의 접근제어를 하는 방화벽의 한 종류이다.

TCP_warpper를 이용하여 서버에 대한 접근 제어를 하기 위해서는 libwrapper를 지원하는 인터넷 수퍼 데몬인 xinetd를 이용하여 서비스를 제공하거나 , 독립적으로 구동되는 서비스 데몬이라도 libwrapper를 지원하면 tcp_wrapper에서 접근제어가 가능하다.

해당 내용은 다른 파트에서 보다 자세하게 다루어 진다.

iptables

커널 내부 모듈형태로 ipv4 packet의 필터링을 하기 위해 만들어 진 것이다.

iptables의 기본기능은 router, switch 의 acl 과 비슷하며, iptbles의 extension modules를 이용하여 다양한 필터방식을 추가할 수 있다.

그리고 TCP_wrapper처럼 libwrapper에 의존하지 않고 libwrapper를 지원하지 않고 xinetd로 구동되지 않더라도 패킷필터를 통하여 접근제어가 가능하다.

해당 내용은 다른 파트에서 보다 자세하게 다루어 진다.