전형적인 백도어 디렉토리는...

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

말씀하신 바와 같이 공격자들이 사용하는 전형적인 백도어 디렉토리는 아래의 3가지입니다.

/tmp
/var/tmp
/dev/shm

위 3개 디렉토리 모두 리눅스에서 존재하는 1777의 sticky bit가 설정된 디렉토리로서 이 디렉토리에서는 어떤 누구든 권한의 문제없이 파일이나 디렉토리를 생성할 수 있기 때문입니다.  따라서 위 3개 디렉토리에서 noexec 옵션을 주시면 스크립트 키드의 공격을 무력화시키는 효과가 있습니다.

이를 위해 /tmp는 별도의 파티션으로 분리하고, /var/tmp는 삭제후 /tmp로 링크를 하시면 됩니다.

그리고, 공격기법등은 그대로 소개하는 것은 그다지 좋은 방법은 아니며 꼭 해야한다면 중요한 부분은 적당히 xxxx 등으로 처리하시는 것이 좋을 것 같습니다.

감사합니다.