¹ø¿ª : ¼Á¤·æ(dreamsoh@orgio.net)
|
||||||||||||||||||||||||
6¿ùÃÊ¿¡ Ãâ½ÃµÈ Bastille-Linux ¹öÀü 1.1Àº »õ·Î¿î ¸®´ª½º ¹èÆ÷ÆÇÀÌ ¾Æ´Ñ ÀáÀçÀûÀÎ °ø°Ý À§ÇùÀ¸·ÎºÎÅÍ ½Ã½ºÅÛÀ» º¸È£Çϱâ À§ÇÑ ÀÏ·ÃÀÇ ½ºÅ©¸³Æ®·Î º» ¹®¼´Â ±³À°ÀûÀ¸·Î ÀÛ¼ºµÇ¾ú±â ¶§¹®¿¡ ¸®´ª½º ½Ã½ºÅÛ¿¡ ÀÌ·¯ÇÑ ½ºÅ©¸³Æ®¸¦ ¼³Ä¡ÇÔÀ¸·Î½á º¸¾È¿¡ °üÇÑ ¸¹Àº ³ëÇϿ츦 ¹è¿ï ¼ö ÀÖ´Ù.
¼¹® º¸¾È¹®Á¦¿Í °ü·ÃÇؼ ¸®´ª½º´Â ´Ù¸¥ ¿©Å¸ ¿î¿µÃ¼Á¦º¸´Ù ¿ì¼öÇÔ¿¡µµ ºÒ±¸ÇÏ°í °¢°¢ÀÇ ¹èÆ÷ÆÇÀº ÀÌ·¯ÇÑ º¸¾È¹®Á¦¿¡ ´ëÇØ °¢°¢ ´Ù¸£´Ù. Bastille-Linux´Â ¸®´ª½º ½Ã½ºÅÛÀ» º¸È£ÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀ» Á¦°øÇϴµ¥, óÀ½¿¡´Â ·¹µåÇÞ ¸®´ª½º ¹èÆ÷ÆÇÀ» À§ÇØ ¾²¿©Á³À¸³ª ÃֽŠ¹öÀüÀº ´Ù¸¥ ¹èÆ÷ÆÇ¿¡¼µµ ¸¶Âù°¡Áö·Î ¿øÈ°ÇÏ°Ô ÀÛµ¿ÇÑ´Ù. º» ÇÁ·ÎÁ§Æ®´Â ÁÖÃ¥ÀÓÀÚ Jon Lasser¿Í ÁÖ°³¹ßÀÚ Jay Beale¿¡ ÀÇÇØ ÁøÇàµÇ°í ÀÖÀ¸¸ç ¸¹Àº °³¹ßÀÚ, ¼ÒÇÁÆ®¿þ¾î µðÀÚÀÌ³Ê ¹× º£Å¸ Å×½ºÅ͵éÀÌ Âü¿©ÇÏ°í ÀÖ´Ù. ¹«¾ùº¸´Ùµµ Bastille-Linux´Â »õ·Î¿î ¸®´ª½º ¹èÆ÷ÆÇÀÌ ¾Æ´Ï¶ó ¸®´ª½º º¸¾ÈÀ» Çâ»ó½ÃÅ°±â À§ÇØ perl·Î ¾²¿©Áø ÀÏ·ÃÀÇ ½ºÅ©¸³Æ®¶ó´Â °ÍÀ» ¸íÈ®È÷ ÇÏÀÚ. ¹°·Ð º¸¾ÈÀº ÄÄÇ»ÅÍ º¸¾ÈÀ» ÀǹÌÇÑ´Ù(¿øÄ¡¾Ê´Â »ç¶÷ÀÌ ¸®´ª½º ¹Ú½º¿¡ ¿¢¼¼½ºÇÏ´Â °ÍÀ» ¾î¶»°Ô ÇÇÇÒ ¼ö Àְڴ°¡?). Bastille-Linux´Â ¸®´ª½º ¹èÆ÷ÆÇÀÇ Ãʱ⠼³Ä¡¸¦ ¼öÁ¤ÇÔÀ¸·Î½á ÀÏ·ÃÀÇ º¸¾È¹®Á¦¿¡ ´ëÇÑ ´äº¯À» Á¦°øÇÑ´Ù. ¸ðµç ½Ã½ºÅÛ°ü¸®ÀÚÀÇ ±âº» ¾÷¹«´Â »ç¿ëÀÚµéÀÇ ¿ä±¸¸¦ ÆľÇÇÏ¿© ±× ¿ä±¸¿¡ ºÎÀÀÇÒ »Ó¸¸ ¾Æ´Ï¶ó, ³×Æ®¿öÅ©»ó¿¡¼ º¸¾È ±¸¸ÛÀ» °¡Áú ¼ö ÀÖ´Â »ç¿ëµÇÁö ¾Ê´Â ÇÁ·Î±×·¥ÀÌ °è¼ÓÇؼ ÀÛµ¿µÇ´Â °ÍÀ» ¾ïÁ¦ÇÏ´Â °ÍÀÌ´Ù. ¡°¿©·¯ºÐÀÌ °¡Àå Àû°Ô ÇÒ¼ö·Ï º¸¾ÈÀº ´õ¿í Çâ»óµÈ´Ù¡± ¹°·Ð ¾Ë°í¸®Áò º¹À⼺¿¡ °üÇÑ ¿ì½º°³ ¼Ò¸®Áö¸¸ ³×Æ®¿öÅ© °ü¸®¿¡µµ Àû¿ëµÈ´Ù. ¸¹Àº ¼ºñ½º´Â ´õ¿í ¸¹Àº °ø°ÝÀå¼Ò¸¦ Á¦°øÇϱ⠶§¹®¿¡ ÇØ°¡ µÇ´Âµ¥ °ø°Ý À§ÇùÀ» ÁÙÀ̱â À§Çؼ´Â Á¤¸»·Î ÇÊ¿äÇÑ ¼ºñ½º¸¸ ¼³Ä¡ÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù. Bastille-Linux´Â °ø°ÝÀÇ °¡´É¼ºÀ» ÁÙÀÌ·Á°í Çϸç À̸¦ À§ÇØ ¼ÒÇÁÆ®¿þ¾î µðÀÚÀ̳ʴ ¹«¾ùÀ» ÇÏ´Â Áö¸¦ ´Ü°èÀûÀ¸·Î ¼³¸íÇÏ´Â ¸Å¿ì ±³À°ÀûÀÎ Á¢±Ù¹æ¹ýÀ» ÃëÇÏ°í ÀÖ´Ù.
Presentation ÀÌ ±â»ç¸¦ ¾²´Â ´ç½Ã Bastille-LinuxÀÇ ¹öÀüÀº 1.1.0À¸·Î 6¿ù Ãʹݿ¡ Ãâ½ÃµÇ¾ú´Ù. ¸í¹éÇÑ À¯¿ë¼º ¿Ü¿¡µµ Bastille-Linux´Â ¸Å¿ì ±³À°ÀûÀε¥ ½ºÅ©¸³Æ®´Â ¼¼ºÎÀûÀÌ°í Á¤È®ÇÑ Áú¹®À» ´øÁö¸ç ÀÌ·¸°Ô ÇÔÀ¸·Î½á °³¹ßÀÚ´Â »ç¿ëÀÚ¸¦ °¡¸£Ä¡·Á°í ÇÑ´Ù. °³¹ßÀÚ´Â Áú¹®ÀÇ ¼¼ºÎ»çÇ× ¹× °¡´ÉÇÑ ÇØ°á¹æ¹ýÀ» ¼³¸íÇÏ¸ç µû¶ó¼ Bastille-Linux¸¦ »ç¿ëÇϱ⠽±°Ô ¸¸µç´Ù. º¸´Ù »ó±Þ »ç¿ëÀÚ¿¡ ´ëÇØ perl·Î ÀÛ¼ºµÈ ¼Ò½º ÄÚµå´Â Åõ¸íÇÔÀÇ ÀüÇüÀ¸·Î °¢°¢ÀÇ ÁÖ¼®Àº ¸í·ÉÀÌ ¾î¶»°Ô ÀÛµ¿ÇÏ´Â °¡¸¦ ¼³¸íÇÏ°í ÀÖ´Ù.
1.1.0 ¹öÀüÀÇ Æ¯Â¡Àº ´ÙÀ½°ú °°´Ù. - ½ºÅ©¸³Æ®´Â ±âÁ¸ »ç¿ëÁßÀÎ ½Ã½ºÅÛ¿¡¼ ÀÛµ¿ÇÑ´Ù. Bastille-Linux´Â ¿©·¯ °¡Áö ¸ðµâÀ» °®°í ÀÖ´Ù. 4°³ÀÇ ÀÏ¹Ý ¸ðµâ°ú Ưº°ÇÑ ¾÷¹«¸¦ À§ÇÑ ¸ðµâ(sendmail, FTP µîÀÇ ¼ÒÇÁÆ®¿þ¾î, ºÎÆ® ¶Ç´Â ¾µ¸ð¾ø´Â µ¥¸ó) ÀÏ¹Ý ¸ðµâÀº ¹æȺ®¼³Ä¡, ½Ã½ºÅÛ ¼ÒÇÁÆ®¿þ¾î ¾÷µ¥ÀÌÆ®, SUID-·çÆ® ÇÁ·Î±×·¥ÀÇ °¨½Ã, ¾µ¸ð¾ø´Â ¼ºñ½ºÀÇ ºñÈ°¼ºÈ¿Í Á¦ÇÑÀ» À§ÇØ »ç¿ëµÈ´Ù. ´Ù¸¥ ¸ðµâÀº ´õ¿í ¸í¹éÇÑ ¹®Á¦¸¦ ´Ù·ç°í ÀÖ´Ù. ±×µé ÁßÀÇ ÀϺδ sendmail ¶Ç´Â ftp µî ¿Ã¹Ù¸£Áö ¾Ê°Ô ±¸¼ºµÈ ¼ÒÇÁÆ®¿þ¾î¿¡ ÀÇÇÑ º¸¾È ±¸¸ÛÀ» À§ÇÑ °ÍÀÌ¸ç ´Ù¸¥ °ÍµéÀº PAM, syslog µîÀÇ ¼ºñ½º ±¸¼ºÀ» º¸´Ù Àû°Ô Çã¿ëµÈ ¹æ½ÄÀ¸·Î ¼öÁ¤ÇÑ´Ù. ¾î¶² º¸¾È ÇÔ¼öµéÀº ¿©·¯ °¡Áö º¸È£ ·¹º§À» ´Ü°èÀûÀ¸·Î Á¦°øÇÑ´Ù. ¸ðµç ¼ºñ½º¿Í ÀáÁ¤Àû º¸¾È ±¸¸ÛÀº ¾î¶² ¹æ¹ýÀ¸·Îµç º¸È£ÇØ¾ß ÇÏ¸ç µû¶ó¼ ÇÑ ¹æ¹ýÀÌ ½ÇÆÐÇßÀ» °æ¿ì ´Ù¸¥ ¹æ¹ýÀÌ ½Ã½ºÅÛÀ» °è¼ÓÇؼ º¸È£ÇÒ °ÍÀÌ´Ù.
Installation or "let's go for a walk into the scripts while the wolf is not there" Bastille-LinuxÀÇ ÀÌÀü ¹öÀüÀº »õ·Î¿î ½Ã½ºÅÛ¿¡¼¸¸ ÀÛµ¿µÇ¾úÁö¸¸ ÃֽŠ¹öÀüÀº ±×·¸Áö ¾Ê´Ù. ±×·¯³ª ½Ã½ºÅÛÀÌ ÀÌ¹Ì (º¸¾È°ü·Ã ÆÐÅ°Áö¸¦ ¼³Ä¡Çؼ) °¡µ¿ÁßÀ̶ó¸é BastilleÀÌ ÇÏ´Â ÀÏÀÌ ¾µ¸ð¾øÀ» ¼ö ÀÖÀ½À» ¹àÈù´Ù. µû¶ó¼, ¼ÒÇÁÆ®¿þ¾î¶§¹®ÀÌ ¾Æ´Ï¶ó º¸¾ÈÀ» À§ÇØ »õ·Î¿î ½Ã½ºÅÛ(freshly installed)¿¡ Bastille-LinuxÀ» ¼³Ä¡ÇÏ´Â °ÍÀ» ±ÇÀåÇÑ´Ù. Bastille-Linux´Â bastille-linux.source.net¿¡¼ .tgz tarball ÇüÅ·Π±¸ÇÒ ¼ö Àִµ¥ ¾ÆÄ«À̺êÀÇ Å©±â´Â ´ÜÁö 134 KoÀÌ´Ù. ÆÄÀÏÀ» Àü¼Û¹Þ¾Ò´Ù¸é tar xzf Bastille-1.1.0.tgz ÀÇ ¸í·É¾î¸¦ »ç¿ëÇÏ¿© ¾ÐÃàÀ» Ǭ´Ù.
³× °³ÀÇ ½ºÅ©¸³Æ®°¡ Bastille-Linux¸¦ ´Ù·é´Ù. - InteractiveBastille.pl : ½Ã½ºÅÛ¿¡¼ ¹«¾ùÀ» ÇÒÁö¸¦ °áÁ¤Çϱâ À§ÇØ »ç¿ëÀÚ¿¡°Ô Bastille-Linux¸¦ ¼³Ä¡Çϱâ À§Çؼ´Â ½ºÅ©¸³Æ®°¡ ¼³Á¤ ÆÄÀÏÀ» ¼öÁ¤ÇÒ ¼ö ÀÖ°Ô root »ç¿ëÀÚ¿©¾ß ÇÑ´Ù. ±×ÈÄ ¼³Ä¡¸¦ À§ÇØ ¿ì¼± InteractiveBastille.pl À» ½ÇÇà½ÃÅ°¸ç, ´ÙÀ½(¾Æ·¡¼ ´õ¿í ÀÚ¼¼È÷ ¼³¸íµÉ) ÀÏ·ÃÀÇ Áú¹®µé¿¡ ´äÀ» ÇÑ ÈÄ ÃÖÁ¾ÀûÀ¸·Î BackEnd.plÀ» ½ÇÇà½ÃÅ°¸é µÈ´Ù. ¼³Ä¡ÈÄ º¯°æ»çÇ×Àº /root/Bastille/undo µð·ºÅ丮¿¡¼ ãÀ» ¼ö ÀÖ´Ù.
¼³Ä¡¿¡ ¾Õ¼ 1. /root/Bastille µð·ºÅ丮¿¡¼ ½ºÅ©¸³Æ®¸¦
½ÇÇàÇÑ´Ù°í °¡Á¤ÇÑ´Ù. 2. µÎ ¸ðµâÀº ½Ã½ºÅÛ¿¡ ¼¨µµ¿ì Æнº¿öµå¸¦ ¼³Ä¡ÇÏÀÚ¸¶ÀÚ
°èÁ¤ »ý¼ºÀ» Çã¿ëÇϴµ¥ 3. Bastille-Linux´Â ¾ÆÁ÷±îÁö (ÃßÈÄ ¹öÀü¿¡¼
°¡´ÉÇØÁú) Ä¿³Î ¼³Á¤¿¡¼¿Í °°ÀÌ ¸ðµâ »çÀÌÀÇ
´Ü°èº° Step by step ¿©·¯°¡Áö ´Ü°èµéÀ» ÀÌÇØÇϱâ À§ÇØ Bastille-Linux°¡ Á¦±âÇÏ´Â Áú¹®µéÀ» º¸ÀÚ. [ ] »çÀÌÀÇ ¹®ÀÚ´Â µðÆúÆ® ´äº¯À» ³ªÅ¸³½´Ù ( N -> No, Y -> Yes ).
IPChains º» ¸ðµâÀº ¹æȺ® ¼³Á¤¿¡ »ç¿ëµÇ´Âµ¥ ½Ã½ºÅÛ
º¸È£¸¦ À§ÇØ ÇʼöÀûÀÌÁö´Â ¾ÊÀ» Áö¶óµµ ¸Ó½Å°£ÀÇ ³×Æ®¿öÅ© Æ®·¡ÇÈ
Á¦¾î¸¦ Çã¿ëÇÑ´Ù. ¹æȺ® Æ®·¡ÇÈ Á¦¾î´Â ½ÇÁ¦ º¸¾ÈÀ» À§ÇØ ÃæºÐÇÏÁö
¾ÊÀºµ¥ µ¥¸óÀÇ Àç¼³Á¤ÀÌ ÇÊ¿äÇÏ´Ù (¿©·¯°¡Áö º¸¾È ·¹º§ÀÌ ¾µ¸ð¾ø´Â
°ÍÀº ¾Æ´Ï´Ù). ½ºÅ©¸³Æ®´Â TCP, UDP ¿Í ICMPÇÁ·ÎÅäÄÝÀ» ´Ù·ç´Âµ¥ °¢ ÇÁ·ÎÅäÄÝ¿¡ ´ëÇØ °¨½Ã ¶Ç´Â ȸÇÇÇØ¾ß ÇÒ ¼ºñ½º ¸ñ·ÏÀ» Á¦°øÇÑ´Ù. ¹æȺ® ¼³Ä¡¸¦ À§ÇÑ Bastille-LinuxÀÇ Á¢±Ù¹æ¹ýÀ» ¼¼ºÎÀûÀ¸·Î ¼³¸íÇÏ´Â °ÍÀº ¹«Ã´À̳ª ÀåȲÇÒ °ÍÀÌÁö¸¸ ½ºÅ©¸³Æ®¿Í ±× ÁÖ¼®ÀÌ ¸¹Àº µµ¿òÀÌ µÉ °ÍÀÌ´Ù. ±×·¯³ª º» ¸ðµâÀ» »ç¿ëÇϱâ À§Çؼ´Â ÃÖ¼ÒÇÑÀÇ Áö½ÄÀÌ ÇÊ¿äÇÏ´Ù.
ÆÐÄ¡ ´Ù¿î·Îµå(PatchDownload) ½Ã½ºÅÛÀÇ ¹«°á¼ºÀ» À¯ÁöÇϱâ À§Çؼ ½Ã½ºÅÛ °»½ÅÀº ¸Å¿ì Áß¿äÇÏ´Ù. Áö³ ¸î°³¿ù µ¿¾È ¿¹¸¦µé¾î bind¿Í piranha´Â Áß¿äÇÑ º¸¾È¹®Á¦¸¦ °®°í ÀÖ¾úÁö¸¸ ¼Ò½ºÄڵ尡 °ø°³µÇ¾î ¸¹Àº »ç¶÷µéÀÌ Áï°¢ÀûÀ¸·Î ÆÐÄ¡¸¦ ÀÛ¼ºÇÏ¿´±â ¶§¹®¿¡ ºü¸£°Ô ¼öÁ¤µÇ¾ú´Ù. ºÒÇàÈ÷µµ º» ½ºÅ©¸³Æ®°¡ ÈǸ¢ÇÏ°Ô ÀÛµ¿ÇÏÁö´Â ¾Ê´Âµ¥, Á÷Á¢ ¼³Ä¡µÇ´Â ÆÐÅ°Áö ¹× ±× Áß °»½ÅµÇ¾î¾ß ÇÏ´Â ÆÐÅ°Áö¸¦ °áÁ¤ÇØ¾ß Çϱ⠶§¹®¿¡ ¾à°£Àº º¹ÀâÇÏ´Ù. ±× ´ÙÀ½ ÆÐÄ¡¸¦ Àü¼Û¹Þ¾Æ ¼³Ä¡Àü¿¡ ÇØÄ¿¿¡ ÀÇÇØ ¶Ç´Â Àü¼ÛÁß¿¡ º¯°æµÇÁö ¾Ê¾Ò´ÂÁö¸¦ È®ÀÎÇØ¾ß ÇÑ´Ù. ¹°·Ð »ç¿ëÇÏ´Â ¸®´ª½º ¹èÆ÷ÆÇ¿¡ µû¶ó ´Ù¸¦ °ÍÀÌ´Ù. ÇöÀç Jay BealeÀº º» ½ºÅ©¸³Æ®¸¦ ¹«½ÃÇϱ⠺¸´Ù´Â ¼öÀÛ¾÷À¸·Î ½ÇÇàÇÏ´Â °ÍÀ» ÃßõÇÏ°í ÀÖ´Ù. ÇöÀç º¸´Ù ±â´ÉÀÌ Çâ»óµÈ ¸ðµâ ¹öÀüÀÌ °³¹ßÁßÀ̸ç Á¶¸¸°£ ÀÌ¿ë°¡´ÉÇÒ °ÍÀÌ´Ù.
ÆÄÀÏ Çã°¡±Ç(FilePermissions) º» ¸ðµâÀº SANS ÆÀÀÇ ¹®¼¿¡ ±âÃÊÇϴµ¥ ´ÜÁö
·çÆ®(¶Ç´Â ·çÆ® ±×·ì ¸â¹ö)¿¡ Çã¿ë°¡´ÉÇÑ ÇÁ·Î±×·¥, SUID ºñÆ®¸¦
À¯ÁöÇÒ ÇÊ¿ä°¡ ÀÖ´Â ÇÁ·Î±×·¥ µîÀ» °áÁ¤Çϱâ À§ÇÑ °ÍÀÌ´Ù. - ´ÙÀ½Àº SUID ºñÆ®¿¡ °üÇÑ °ÍÀ¸·Î ÀÌ ºñÆ®´Â
·çÆ® Çã°¡±ÇÀ» °®´Â »ç¿ëÀÚ°¡ ÇÁ·Î±×·¥À» ÀÌ ºñÆ®´Â Æí¸®ÇÑ ¹Ý¸é º¸¾È¹®Á¦¸¦ ¾ß±âÇÑ´Ù. Áï, ¸¸¾à ¾î¶² »ç¿ëÀÚ°¡ ¹öÆÛ ¿À¹öÇ÷οì(buffer overflow)¿Í °°Àº ¾àÁ¡À» ¹ß°ßÇÑ´Ù¸é ±×´Â °ð ·çÆ® ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖÀ» °ÍÀÌ´Ù. Bastille-Linux´Â mount/umount, ping, dump/restore,
cardctl µéÀÇ ÇÁ·Î±×·¥µé Áß¿¡¼ ÀÌ ºñÆ®¸¦ Á¦°ÅÇϵµ·Ï Á¦¾ÈÇϴµ¥,
À̵éÁß¿¡´Â ¼¹ö »óÅ ȮÀο¡ ÀÌ¿ëµÉ ¼ö ÀÖ´Â ping°ú traceroute
À¯Æ¿¸®Æ¼°¡ Æ÷ÇԵǾî ÀÖ´Ù. À̵éÀÇ SUID ºñÆ® Á¦°Å´Â paranoiac
¸ðµå¿¡ ÇØ´çÇÏÁö¸¸ ¸®´ª½º ¸Ó½®À» ÀϹÝÀûÀ¸·Î »ç¿ëÇÒ ¼ö ÀÖ´Ù.
°èÁ¤ º¸¾È(AccountSecurity) ÇØÅ·Àº »ç¿ëÀÚ °èÁ¤ ¶Ç´Â ½Ã½ºÅÛ °èÁ¤ ȹµæ¿¡¼ ½ÃÀÛÇϴµ¥, ÀÌ·¯ÇÑ ÇØÅ·À» ¾î·Æ°Ô ÇÏ°í ħÀÔÀ» ŽÁöÇÒ ¼ö ÀÖ´Â °£´ÜÇÑ ¹æ¹ýµéÀÌ ÀÖ´Ù. - Would you like to set up a second UID 0
account [N]? - May we take strong steps to disallow the
dangerous r-protocols [N]? - Would you like to enforce password aging
[Y]? - Would you like to create a non-root user
account [N]? - Would you like to restrict the use of cron
to administrative accounts [Y]?
ºÎÆ® º¸¾È(BootSecurity) º» ¸ðµâ¿¡¼ Á¦°øµÇ´Â ¿É¼ÇµéÀº ¸Ó½®ÀÇ ¹°¸®Àû º¸¾È°ú °ü·ÃÀÌ Àִµ¥ ÀÌÀü ¹öÀüÀÇ º¸¾È ±¸¸ÛÀ» ¼öÁ¤ÇÏ·Á´Â °ÍÀÌ´Ù. ÄÁ¼Ö¿¡ ¹°¸®ÀûÀ¸·Î ¾ï¼¼½ºÇÒ ¼ö ÀÖ´Â »ç¿ëÀÚ´Â ·çÆ® ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖ¾ú´Ù. LILO : linux single °°ÀÌ single ¸ðµå·Î LILO¸¦ ±¸µ¿ÇÏ´Â °ÍÀº ·çÆ®¿¡ ¼ÓÇÏ´Â »õ·Î¿î ¼¿À» »ç¿ëÇÒ ¼ö ÀÖµµ·Ï ÇÑ´Ù. ¸í¹éÈ÷ ÀÌ°ÍÀº ÃæºÐÄ¡ ¾Ê´Ù. ¹°¸®ÀûÀ¸·Î ÄÄÇ»Å͸¦ º¸È£Çϱâ À§ÇØ BIOS´Â Æнº¿öµå·Î º¸È£µÇ¾î¾ß Çϸç Çϵåµð½ºÅ©¸¸À¸·Î ºÎÆÃÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù. ¶ÇÇÑ ¸®´ª½º ¹Ú½º´Â ¾î¶² »ç¿ëÀÚ°¡ »õ·Î¿î Çϵåµð½ºÅ©¸¦ ³¢¿ìÁö ¸øÇϵµ·Ï º¸È£µÇ¾î¾ß ÇÑ´Ù. ¹°·Ð ÀÌ°ÍÀº ÆíÁý±¤µéÀÇ ÇൿÀ¸·Î Àû´çÇÑ ÀÌÀ¯¾øÀÌ ±×·¸°Ô±îÁö ÇÒ ÇÊ¿ä´Â ¾ø´Ù. ¼ÒÇÁÆ®¿þ¾îÀû °üÁ¡À¸·Î ¾ó¸¶°£ÀÇ Á¦ÇѵéÀº À§¿¡ ¾ð±Þ³»¿ëµé°ú ºñ±³ÇØ ÁÁÀº ŸÇùÁ¡À» Á¦°øÇÑ´Ù. - Would you like to password-protect the LILO
prompt [N]? - Would you like to reduce the LILO delay
time to zero [N]? - Do you ever boot Linux from the hard drive
[Y]? - Would you like to write the LILO changes
to a boot floppy [N]? - Would you like to diable CTRL-ALT-DELETE
rebooting [N]? - Would you like to password protect single-user
mode [N]?
Inetd º¸¾ÈÈ(SecureInetd) º» ¸ðµâÀº ºÒÇÊ¿äÇÑ ¼ºñ½º Á¦ÇÑ ¹× ºñÈ°¼ºÈ¸¦ Çϱâ À§ÇÑ °ÍÀ¸·Î ÇØÄ¿´Â ¼Õ½±°Ô ¾î¶² Ư±ÇÀ» °®´Â ¼ºñ½º¿¡¼ º¸¾È±¸¸ÛÀ» ãÀ» ¼ö Àֱ⠶§¹®¿¡ ÀÌ·¯ÇÑ ¼ºñ½º¿Í Ư±ÇÀ» Á¦ÇÑÇØ´Â °ÍÀÌ ÇÊ¿äÇÏ´Ù. ¿¹¸¦ µé¸é RedHat 6.0¿¡¼ DNS ¼³Á¤ÀÇ ½Ç¼ö´Â ¿ø°ÝÀûÀ¸·Î ·çÆ®°¡ µÇ´Â °ÍÀ» Çã¿ëÇϴµ¥ ÀÌ·¯ÇÑ ¼ºñ½º¸¦ ºñÈ°¼ºÈÇϰųª ±ÇÇÑÀ» Ãà¼ÒÇÏ´Â °ÍÀÌ º¸¾È¿¡ µµ¿òÀÌ µÈ´Ù. ÀÌ¹Ì ¾ð±ÞÇÑ r-¸í·É¾î¿Í °°Àº ÇÁ·ÎÅäÄÝ ¹× ftp ¶Ç´Â telnetÀº Á¾Á¾ °ø°Ý¹Þ±â ½¬¿ì¸ç ¿¹¸¦ µé¾î finger ¶Ç´Â identdµéÀº ¸Ó½Å °èÁ¤ µî¿¡ ´ëÇÑ Á¤º¸¸¦ ½±°Ô ¾òÀ» ¼ö ÀÖµµ·Ï ÇÑ´Ù. ÀÌ·¯ÇÑ ´Ù¼öÀÇ ¼ºñ½ºµéÀº ÁÖ¾îÁø ¼ºñ½º¿¡ ´©°¡ ¾ï¼¼½º ÇÏ´Â Áö¸¦ Á¦¾îÇÏ´Â(ÁÖ·Î /etc/host.{allow, deny} ¿¡ ÀÇÇØ) tcp_wrapper¿¡ ÀÇÇØ ´Ù·ç¾îÁø´Ù. µû¶ó¼ wrapper°¡ Ŭ¶óÀ̾ðÆ®ÀÇ ¼ºñ½º ¾ï¼¼½º¸¦ Çã¿ëÇß´Ù¸é ÇØ´ç ¼¹ö¿¡ ¼ºñ½º ¿äûÀ» º¸³½´Ù. º» ºÎºÐÀº ¾ÆÁ÷±îÁö´Â ¾ö°ÝÇϸç ÃßÈÄ ¹öÀü¿¡¼ º¯°æµÉ °ÍÀÌ´Ù. - Would you like to modify inetd.conf and
/etc/host.allow to optimize use of Wrappers - Would you like to set sshd to accept connections
only from a small list of IP addresses - Would you like to make ¡°Authorized Use¡±
banners [Y]? °è¼ÓÇϱâ Àü¿¡ ³×Æ®¿öÅ©´Â Ŭ¶óÀ̾ðÆ®-¼¹ö ¸ðµ¨¿¡ ÀÔ°¢ÇÔÀ» ±â¾ïÇÏÀÚ. µû¶ó¼ °¢ ¼ºñ½º¿¡ ´ëÇØ Å¬¶óÀ̾ðÆ® ÂÊÀÎÁö ¶Ç´Â ¼¹ö ÂÊÀÎÁö¸¦ ¾Ë¾Æ¾ß ÇÑ´Ù. ¿¹¸¦ µé¾î À¥¼¹ö Á¤Áö´Â ºê¶ó¿ìÀú°¡ Ŭ¶óÀ̾ðÆ®À̱⠶§¹®¿¡ À¥ ºê¶ó¿ì¡À» ¹æÇØÇÏÁö´Â ¾Ê´Â´Ù.
»ç¿ëÀÚ µµ±¸ ºÒ°¡(DisableUserTools) º» ¸ðµâÀº °£°áÇÏ¸ç ¼¹ö¿¡ ÇʼöÀûÀÌ´Ù. ´ë°³ ÇØÄ¿´Â Á¤»óÀûÀÎ »ç¿ëÀÚ °èÁ¤À» ÀÌ¿ëÇÏ¿© ¸Ó½Å¿¡ ¾ï¼¼½ºÇÑ ÈÄ ½Ã½ºÅÛÀÇ ¾àÁ¡À» È°¿ëÇϱâ À§ÇØ ¸Ó½Å¿¡ Á¸ÀçÇÏ´Â ¼Ò¼öÀÇ ÇÁ·Î±×·¥µéÀ» ´Ù½Ã ÄÄÆÄÀÏÇÑ´Ù. º» ¸ðµâÀº ·çÆ®¸¦ Á¦¿ÜÇÑ ¸ðµç »ç¿ëÀÚ¿¡ ´ëÇØ C ÄÄÆÄÀÏ·¯¸¦ ºñÈ°¼ºÈ½ÃŲ´Ù. µû¶ó¼, ¸®´ª½º ¸Ó½ÅÀÌ ¾î¶² ÇÁ·Î±×·¥µµ ÄÄÆÄÀÏÇÒ ÇÊ¿ä°¡ ¾ø´Â ¼¹ö¶ó¸é ÄÄÆÄÀÏ·¯´Â Á¦°ÅÇضó.
PAM ¼³Á¤(ConfigureMiscPAM) º» ¸ðµâÀº ÆÄƼ¼ÇÀ» ÄÚ¾î ÆÄÀϷΠä¿ì±â, Á×À½ÀÇ ÇÎ µî ½Ã½ºÅÛÀ» °úºÎÇÏ»óÅ·ΠÀ¯ÁöµÇµµ·Ï ÇÏ´Â ¼ºñ½º ºÒ´É °ø°Ý(Deny of service : DOS)ÀÇ À§ÇùÀ» Á¦ÇÑÇÏ´Â °ÍÀÌ´Ù. PAMÀº ÀåÂø½Ä ÀÎÁõ ¸ðµâ, pluggable authentication moduleÀÇ ¾àÀÚ·Î ½Ã½ºÅÛ °ü¸®ÀÚ¿¡°Ô °¢ ¾îÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ »ç¿ëÀÚ ÀÎÁõ ÇüÅÂ, »ç¿ëÀÚ ±ÇÇÑ, »ç¿ëÀÚ ¾ï¼¼½º ÀÚ¿ø µîÀ» ¼±ÅÃÇÒ ¼ö ÀÖµµ·Ï Çã¿ëÇÏ´Â ¶óÀ̺귯¸®ÀÌ´Ù. - Would you like to put limits on system resource
usage [Y]? - Should we restrict console access to a small
group of user accounts [N]?
Logging syslog´Â ¸Ó½ÅÀÌ ¼Õ»óµÇ¾ú´ÂÁö¸¦ ¾Ë¾Æ³»±â À§ÇØ
¼öÇàµÇ´Â °¡Àå Áß¿äÇÑ ¼ºñ½º ÁßÀÇ ÇϳªÀÌ´Ù. ÀÌ µ¥¸óÀº ½Ã½ºÅÛ
»ç°ÇÀ» ±â·ÏÇϴµ¥ ±â·ÏµÈ Á¤º¸ÀÇ ·¹º§À» ¼±ÅÃÀûÀ¸·Î º¯°æÇÒ ¼ö
ÀÖ´Ù. º» ¸ðµâÀº /etc/syslog.conf ÆÄÀÏ¿¡ ´ÙÀ½ÀÇ »õ·Î¿î »çÇ×À» ÷°¡ÇÑ´Ù. - Would you like to add addintional logging
[Y]? - Would you have a remote logging host [N]? - Would you like to set up process accounting
[N]?
±âŸ µ¥¸óµé(MiscellaneousDaemons) º» ¸ðµâÀº Ç×»ó ÃÖ¼ÒÈ¿Í °ü·ÃÇÏ¿© ´ÜÁö ºÎÆýÃ
½ÇÁ¦·Î ÇÊ¿ä·Î ÇÏ´Â ¼¹öµé ¸¸À» È°¼ºÈÇÑ´Ù. µðÆúÆ®·Î °ÅÀÇ ¸ðµç
¼ºñ½º´Â ÇÊ¿ä¾øÀ¸¸ç µû¶ó¼ ºñÈ°¼ºÈµÈ´Ù. chkconfig ¸í·É¾î¸¦
»ç¿ëÇÏ¿© ¼ºñ½º¸¦ ÀçÈ°¼ºÈ½Ãų ¼ö ÀÖ´Ù.
Sendmail ¾Õ¿¡¼ ¾ð±ÞÇßµíÀÌ sendmailÀº ¸ÞÀÏÀ» ´Ù·ç´Â
¼ºñ½º·Î ±× ¿ª»ç´Â ¸ÞÀÏ ¼¹ö°¡ Ãë±ÞÇØ¾ß ÇÏ´Â ¸¹Àº ¾÷¹«¿Í ³×ÀÓ
Çؼ®(name resolution), syslog Á¤º¸ µîÀ» ¼öÇàÇϱâ À§ÇØ ÇÊ¿äÇÑ
±ÇÇÑ¿¡ ÀÇÇØ ¾ß±âµÈ º¸¾È ±¸¸ÛÀ¸·Î Á¡Ã¶µÇ¾î ÀÖ´Ù. ¾àÁ¡°ú´Â
´Þ¸® sendmailÀº ÁÖ¾îÁø ¼¹öÀÇ Æ¯Á¤ »ç¿ëÀÚ¿¡ ´ëÇÑ Á¤º¸ ȹµæÀ»
Çã¿ëÇÑ´Ù. ¿¡¸¦ µé¸é sendmail EXPN°ú VRFY ¸í·É¾î´Â ƯÁ¤ »ç¿ëÀÚ
°èÁ¤ÀÇ Á¸ÀçÀ¯¹«¸¦ ¾Ë ¼ö ÀÖµµ·Ï ÇÑ´Ù. - Do you want to leave sendmail running in
daemon mode [Y]? - Would you like to run sendmail via cron
to process the queue [N]? - Would you like to disable the VRFY and EXPN
sendmail commands [Y]?
¿ø°Ý Á¢¼Ó(RemoteAcces) ¿ø°Ý ¸Ó½Å¿¡ ¿¬°áÇÒ ¼ö ÀÖ´Â °ÍÀÌ Á¾Á¾ À¯¿ëÇѵ¥, r-¸í·É¾îµéÀº ºñº¸¾ÈÀûÀÎ ¹æ¹ýÀ¸·Î À̸¦ Çã¿ëÇÑ´Ù. Bastille-Linux´Â ¿¬°áÀ» ÅëÇØ Àü¼ÛµÇ´Â ÀÚ·á(¿Í Æнº¿öµå)¸¦ ¾ÏÈ£ÈÇÏ´Â ¼ÒÇÁÆ®¿þ¾îÀÎ ssh¸¦ Àü¼Û¹Þ¾Æ ¼³Ä¡Çϱ⸦ ±ÇÇÑ´Ù. ¼¼¼ÇÅ° ±æÀÌ°¡ 128 ºñÆ®¸¦ ÃÊ°úÇÏÁö ¾Ê´Â ¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÇÒ ¼ö Àִµ¥ ¼¼¼ÇÅ°´Â ÀڷḦ ¾ÏÈ£ÈÇϴµ¥ »ç¿ëµÇ´Â Å°ÀÌ´Ù. ¼¼¼ÇÅ°´Â Ŭ¶óÀ̾ðÆ®¿Í ¼¹ö¿¡ ÀÇÇØ ´Ü°èÀûÀ¸·Î ¸¸µé¾îÁø´Ù.: ¼¼¼ÇÅ°´Â Å° ±³È¯ ÇÁ·ÎÅäÄÝ(´ëºÎºÐÀÇ °æ¿ì Diffie-Hellman)¿¡¼ »ý±ä °ÍÀ¸·Î ¸ðµç ±¸¼º¿øµéÀÇ Å°·ÎºÎÅÍ Å°¸¦ »ý¼ºÇϴµ¥ ±× ¸ñÀûÀÌ ÀÖ´Ù. ±× ÈÄ ¼¼¼ÇÅ°´Â ´ëĪ ¾Ë°í¸®µë¿¡ µû¶ó ÀڷḦ ¾ÏÈ£ÈÇϴµ¥ »ç¿ëµÈ´Ù(ÀÚ·áÀÇ ¾ÏÈ£È¿Í º¹È£È¿¡ °°Àº Å°°¡ »ç¿ëµÈ´Ù). µû¶ó¼ À¯´Ð½º Æнº¿öµå¸¦ ¾ÏÈ£ÈÇϴµ¥ »ç¿ëµÇ´Â DES(Data Encryption System, ÀÚ·á ¾ÏÈ£ ½Ã½ºÅÛ)´Â 56 ºñÆ® Å°¸¦ °®´Â ´ëĪ ¾Ë°í¸®µëÀÌ´Ù. ÇöÀç 128ºñÆ® Å°´Â °Å·¡ ±â¹Ð°ú º¸¾ÈÀ» º¸ÀåÇÒ¼ö ÀÖÀ» ¸¸Å ÃæºÐÈ÷ Å©´Ù. ¿À´Ã³¯ DES°¡ ±×·¸°Ô ¾ÈÀüÇÏÁö ¾Ê´Ù°í ¾Ë·ÁÁ® À־ ÃÖ¼±ÀÇ °ø°ÝÀº ´ëºÎºÐ »ç¶÷µéÀÌ °®°í ÀÖ´Â CPU ÆÄ¿öÀÇ ¹üÀ§³»¿¡ ÀÖÁö ¾Ê´Ù. ¹Ý¸é 2k ±æÀÌÀÇ Å°°¡ k ±æÀÌ Å°º¸´Ù µÎ¹è ÀÌ»ó ¾Ë¾Æ³»±â ¾î·Æ´Ù°í ¹Ï´Â °ÍÀº ½Ç¼öÀÌ´Ù. »ç½Ç ±× ¾î·Á¿òÀº Áö¼ö ÇÔ¼öÀûÀ¸·Î Å° Å©±âº¸´Ù ´õ¿í »¡¸® Áõ°¡ÇÑ´Ù. k ±æÀÌ Å°¿¡ ´ëÇØ 2k °³ÀÇ °¡´ÉÇÑ Å°°¡ Á¸ÀçÇϸç 2k ±æÀÌ Å°¿¡ ´ëÇؼ´Â 22k °³ÀÇ °¡´ÉÇÑ Å°°¡ Á¸ÀçÇÑ´Ù. µû¶ó¼ Å° Å©±â¸¦ 2¹è Áõ°¡½ÃÅ°¸é ¿ì¸®´Â 2k °³ÀÇ °¡´ÉÇÑ Å°¸¦ ´õÇÏ´Â °ÍÀÌ´Ù. 56ºñÆ® DES¸¦ ±ú´Â °ÍÀÌ ¾î·Æ´Ù´Â °ÍÀ» ¾Ë¾ÆÂ÷¸± ¶§ ¾ÏÈ£È/º¹È£È ¾Ë°í¸®µëÀÌ º¸¾È ±¸¸ÛÀ» °®°í ÀÖÁö ¾Ê´Ù¸é 128ºñÆ® Å°´Â ħ¹üÇÒ ¼ö ¾ø´Ù°í ¿¹»óÇÒ ¼ö ÀÖ´Ù. °ø°ÝÀÇ °üÁ¡¿¡¼ ÀÌ·¯ÇÑ Å°Å©±â Á¦ÇÑÀ» Áõ°¡½ÃÅ°´Â °ÍÀº ±× ¾î·Á¿òÀ» ºÒ°¡´É ¼öÁØ¿¡¼ ´õ¿í ºÒ°¡´É ¼öÁØÀ¸·Î ¸¸µç´Ù. ´ÙÀ½ 4°¡Áö ¼ÒÇÁÆ®¿þ¾î ÆÐÅ°Áöµµ ºñ½ÁÇÑ ¼ºñ½º¸¦
Á¦°øÇÑ´Ù. ´ÙÀ½ÀÇ ¸ðµâµµ ¼ºñ½º¿Í ¿¬°üÀÌ Àִµ¥ À̵鿡 ´ëÇÑ º¸¾È Á¤Ã¥Àº ³î¶ö ¸¸ÇÑ °ÍÀÌ´Ù: ¼ºñ½º ±ÇÇÑ Á¦ÇÑ°ú ¼ºñ½º ÁßÁö. µÎ Á¤Ã¥ÀÌ ´Ù¸£°Ô º¸ÀÏÁö¶óµµ ÀÌ·¯ÇÑ µÎ Á¶Ä¡°¡ »ó¹ÝµÇÁö´Â ¾Ê´Â´Ù. ÀÌ·¯ÇÑ ¼ºñ½ºµéÀº ¿ì¿¬È÷ ¶Ç´Â ŽŹġ ¾ÊÀº »ç¿ëÀڵ鿡 ÀÇÇØ ÀçÈ°¼ºµÉ ¼ö Àִµ¥, µû¶ó¼ ¼ºñ½º¿¡ ´ëÇÑ ±ÇÇÑ Á¦ÇѺ¸´Ù´Â ¼ºñ½ºµéÀ» Á¦ÇÑÇÏ´Â °ÍÀÌ ´õ¿í ÁÁÀ» µíÇÏ´Ù.
µµ¸ÞÀÎ ³×ÀÓ¼¹ö(DNS) DNS´Â IP ÁÖ¼Ò¿Í ¸Ó½Å ³×ÀÓÀÇ ¿¬°èµÉ ¼ö ÀÖµµ·Ï Çϴµ¥ ¿¹¸¦ µé¾î 198.186.203.36Àº www.bastille-linux.org¿¡ ÇØ´çÇÑ´Ù. º» ¼¹öÀÇ ÁÖ±â´ÉÀº BIND·Î ºÒ¸®´Âµ¥ ÃÖ±Ù BIND¿¡ ´ëÇÑ DoS(¼ºñ½º °ÅºÎ°ø°Ý) ÇüÅÂÀÇ °ø°ÝÀÌ ¹ß°ßµÇ¾ú´Ù. DoS °ø°ÝÀº ¼Ò¼öÀÇ µð·ºÅ丮 ±×·ì¿¡ DNS ¾ï¼¼½º¸¦ ÁÜÀ¸·Î½á ¿¹¹æÇÒ ¼ö ÀÖ´Ù(chroot ¸í·É¾î¸¦ ÀÌ¿ëÇÏ¿© ¸í·É¾î ¶Ç´Â ½ºÅ©¸³Æ® ½ÇÇà Àü¿¡ ·çÆ® µð·ºÅ丮¸¦ µðÆúÆ®ÀÎ / ¿¡¼ ´Ù¸¥ °ÍÀ¸·Î º¯°æÇÒ ¼ö ÀÖ´Ù). Bastille-Linux ÀÛµ¿»óŸ¦ ¼³¸íÇϱâ Àü¿¡ ¾à°£ÀÇ ±â¼úÀû ¼¼ºÎ»çÇ×À» ÷°¡ÇÏÀÚ. º» ¼ºñ½º¸¦ ´Ù·ç´Â µ¥¸óÀº named·Î /etc/named.conf ÆÄÀÏÀ» ÅëÇØ ¼³Á¤ÇÒ ¼ö ÀÖ´Ù. - Would you like to chroot named and set it
to run as a non-root user [N]? - Would you like to deactivate named, at least
for now [Y]?
¾ÆÆÄÄ¡(Apache) Apache´Â °¡Àå ³Î¸® »ç¿ëµÇ°í ÀÖ´Â ÀÎÅÍ³Ý À¥¼¹ö·Î ´ÙÀ½ µÎ °¡Áö °æ¿ì¿¡ ÀÖ¾î¼ ¸Å¿ì À¯¿ëÇÏ´Ù. 1. »çÀÌÆ® ¿î¿µ : °íÁ¤ IP ÁÖ¼Ò°¡ ÇÊ¿ä. º» µ¥¸óÀÇ ±¸¼º ÆÄÀÏÀº µðÆúÆ®·Î /etc/httpd/conf ³»¿¡ ÀÖ´Ù. - Would you like to deactivate the Apache
web server [Y]? - Would you like to bind the web server to
listen only to the localhost [N]? - Would you like to bind the web server to
a particular interface [N]? - Would you like to deactivate the following
of symbolic links [Y]? - Would you like to deactivate server-side
includes [Y]? - Would you like to disable CGI scripts, at
least for now [Y]? - Would you like to disable indexes [N]? ´Ù¸¥ ¼¹ö¿Í ¸¶Âù°¡Áö·Î À¥¼¹ö°¡ ÀûÀýÈ÷ ±¸¼ºµÇÁö ¾Ê´Â´Ù¸é ¸Ó½ÅÀ» ¼Õ»ó½Ãų ¼ö ÀÖ´Â Ãâ¹ßÀÌ µÉ ¼ö ÀÖ´Ù. ÀÌ´Â ¾î¶² °æ¿ì ¾à°£Àº °ïȤ½º·¯¿ï ¼ö Àִµ¥ ÀºÇàÀ» ¿¹¸¦ µé¾îº¸ÀÚ. °í°´ À̸§(¾Æ¸¶µµ ±×µéÀÇ Æнº¿öµå)À» ÀÐÀ» ¼ö ÀÖ´Ù¸é? ´ÙÀ½ÀÇ http://www.kitetoa.comÀ» Á¢¼ÓÇغÁ¶ó.
ÇÁ¸°ÆÃ(Printing) ¸Ó½Å¿¡¼ ÀμâÀÛ¾÷À» ÇÒ °ÍÀΰ¡? ¶ó´Â ´Ü ÇÑ°¡Áö Áú¹®ÀÌ Àִµ¥, ´äº¯ÀÌ ¡°¾Æ´Ï¿À¡±¶ó¸é Bastille-Linux´Â lpd µ¥¸óÀ» ºñÈ°¼º½ÃÅ°°í lpr°ú lprmÀ¸·ÎºÎÅÍ SUID ºñÆ®¸¦ Á¦°ÅÇÑ´Ù.
FTP º¸¾È °üÁ¡¿¡¼ ftp´Â ¸¹Àº ¹®Á¦ÀÇ ¼ÒÁö°¡ µÉ ¼ö Àִµ¥ ¿¹¸¦ µé¾î ¿¬°áÀ» ÃʱâÈÇÒ ¶§ Æнº¿öµå°¡ Æò¹®À¸·Î Àü¼ÛµÈ´Ù. ¹°·Ð ÀÚ·áµé¿¡ ´ëÇؼµµ ¸¶Âù°¡ÁöÀÌ¸ç µû¶ó¼ À繫 ¶Ç´Â ÀÇ·á ÀÚ·áµîÀÇ ¹Î°¨ÇÑ ÀÚ·á¶ó¸é º¸¾È¿¡ ½É°¢ÇÑ ¹®Á¦¸¦ ¾ß±âÇÒ ¼ö ÀÖ´Ù. ´õ±¸³ª ÃÖ±Ù wu-ftpd¿¡¼ º¸¾È ±¸¸ÛÀÌ ¹ß°ßµÇ¾ú´Âµ¥ ftp ¼¹ö¸¦ °¡µ¿ÇÒ ÇÊ¿ä°¡ ÀÖ´Ù¸é Bastille-Linux´Â ¾î¶² ±â´ÉÀ» Á¦ÇÑÇÒ ¼ö ÀÖµµ·Ï ÇÑ´Ù. ftp ¼¹ö ¾ï¼¼½º¸¦ ´Ù·ç´Â ÆÄÀÏÀº /etc/ftpaccess ÀÌ´Ù. - Would you like to disable user privileges
on the FTP daemon [N]? - Would you like to disable anonymous download
[N]?
¾à°£ÀÇ Æ®¸¯°ú ÆÁµé(A few more tricks and tips) Àü¿¡ ¾ð±ÞÇßµíÀÌ Bastille-Linux´Â ¿ì¼öÇÑ ±³À°Àû µµ±¸ÀÌ´Ù. Áú¹®°ú ÁÖ¼®Àº Å« Àǹ̸¦ °®À¸¸ç, ÀÌ·± °ÍµéÀÌ ¸íÈ®ÇÏÁö ¾ÊÀ» °æ¿ì ¿Ã¹Ù¸¥ ´äº¯À» ãÀ» ¼ö ÀÖµµ·Ï ¸¹Àº ÀÚ·á°¡ Á¸ÀçÇÑ´Ù. ÁÖ¾îÁø ÁÖÁ¦¿¡ ´ëÇØ ¹è¿ì´Â °¡Àå ÁÁÀº ¹æ¹ýÀº ¹Ù¶ó´Â ¸ðµâÀ» »ç¿ëÇØ º¸´Â °ÍÀÌ´Ù. ¿ì¼± Áú¹®À» Æ÷ÇÔÇÏ´Â ÆÄÀÏÀ» ¹é¾÷ÇÑ ÈÄ Question.txt
ÆÄÀÏÀ» ÆíÁýÇ϶ó. ¸ðµç ¸ðµâÀº FILE Å°¿öµå·Î ½ÃÀ۵Ǵµ¥ ±×Áß ÇÊ¿äÇÑ
°Íµé¸¸À» ³²±ä´Ù. ¹°·Ð Bastille-LinuxÀÇ Á¶Ä¡°¡ ½Ã½ºÅÛÀ» ¾ÈÀüÇÏ°Ô ÇÒ¸¸Å ÃæºÐÇÏÁö´Â ¾Ê´Ù. 1. ¾î¶°ÇÑ ½Ã½ºÅÛµµ 100% ¾ÈÀüÇÏÁö ¾Ê´Ù. ·Î±× ÆÄÀÏ ºÐ¼®±â, Æ÷Æ® ½ºÄµ ŽÁö (portsentry, snort, snplog, µî), www.openwall.com Ä¿³Î ÆÐÄ¡ »ç¿ë(ºñ½ÇÇà ½ºÅÃ, /tmp¿Í /proc µð·ºÅ丮ÀÇ ±ÇÇÑ Á¦ÇÑ µî) µîÀÇ Á¶Ä¡°¡ ÀÖ´Ù. ½Ã½ºÅÛÀ» ¾ÈÀüÇÏ°Ô º¸È£ÇÏ´Â °ÍÀº ÀåȲÇÏ°í Èûµç ¾÷¹«ÀÌ´Ù. µû¶ó¼ º¸¾È±¸¸Û¿¡ ´ëÇØ ÀÚ½ÅÀÌ Àß ¾Ë°í ÀÖ¾î¾ß ÇÑ´Ù (securityfocus»çÀÌÆ®·ÎºÎÅÍÀÇ bugtraq°°Àº ¸ÞÀϸµ ¸®½ºÆ®¸¦ ÅëÇØ)
°á·Ð Bastille-Linux´Â ³Î¸® ¾Ë·ÁÁø ¹èÆ÷ÆÇÀ» ¾ÈÀüÇÏ°Ô Çϴµ¥ µµ¿òÀ» ÁØ´Ù. ¿©·¯ºÐÀº "¿Ö ÀÌ°ÍÀ» »ç¿ëÇϴ°¡?"¶ó°í Áú¹®À» ´øÁú ¼ö Àִµ¥, RedHat(Mandrake µµ À¯»ç)µµ »ó´çÈ÷ ¿ì¼öÇÑ Æ¯Â¡À» °®°í ÀÖ´Ù. º» ±â»ç´Â ¹èÆ÷ÆÇÀ» Àå·Á(¶Ç´Â ºñ¹æ)ÇÏ·Á°í ¾²¿©Áø °ÍÀº ¾Æ´Ï´Ù. °á±¹ ¼±ÅÃÀÇ ÀÚÀ¯´Â ÀÚÀ¯ ¼ÒÇÁÆ®¿þ¾î°¡ °®´Â ÀåÁ¡ÁßÀÇ ÇϳªÀÌ´Ù. »ç½Ç º» ±â»ç´Â ´Ù¾çÇÑ ¸ñÀûÀ» °®°í ÀÖ´Ù. ¿ì¼± Â¥¸´ÇÔÀ» Áñ±â´Â ´©±º°¡¿¡ ÀÇÇØ Æı«µÈ ³×Æ®¿öÅ©¸¦ º¼±î µÎ·Á¿öÇϸç Áö³»´Â ½Ã½ºÅÛ °ü¸®ÀÚÀÇ ¿µ¿øÇÑ °ÆÁ¤°Å¸®¸¦ º¸¿©ÁÖ°íÀÚ ÇÏ´Â °ÍÀÌ´Ù. ¹Ý¸é º» µµ±¸¸¦ ÅëÇØ ¸®´ª½º ½Ã½ºÅÛÀÇ ¼³Á¤À» ±í°Ô ¾Ë¾Æº¼ ¼ö ÀÖ´Ù. ÀÌ Á¡¿¡¼ Ãʺ¸ÀÚ¿Í »ó±ÞÀÚ¿¡ ¸ðµÎ¿¡ ´ëÇØ ¸®´ª½º ¼³Á¤ÀÇ ½Åºñ¸¦ ±ú´Ý°Ô ÇÏ´Â ÁÁÀº ¹æ¹ýÀÌ´Ù. µÎ °³ÀÇ ±âº»ÀûÀÌ°í ÀϹÝÀûÀÎ °³³äÀº ÃÖ¼ÒÈÁÖÀÇ¿Í ±íÀÌ·Î ´õ ÀûÀº ¼ºñ½º¸¦ °¡µ¿ÇÏ´Â °ÍÀÌ ´õ ÀûÀº º¸¾È±¸¸ÛÀ» ÀǹÌÇÑ´Ù. °¢ ¼ºñ½ºµéÀ» Çϳª°¡ ¾Æ´Ñ ¿©·¯ ¹æ¹ý¿¡ ÀÇÇØ º¸È£ÇÏ´Â °ÍÀÌ º¸´Ù ¹Ù¶÷Á÷ÇÏÁö¸¸ ÀÌ ¹æ¹ýÀº ¿Ã¹Ù¸£°Ô ¼³Á¤µÇÁö ¾ÊÀº º¸È£¹æ¹ýÀÌ ½Ã½ºÅÛÀ» ¼Õ»ó½Ãų ¼ö Àֱ⠶§¹®¿¡ ¾Ö¸ÅÇÒ ¼ö ÀÖ´Ù. ¸¶Áö¸·À¸·Î ´ÙÀ½ ¹öÀüÀº BUS (Bastille Unix Security)·Î ¸í¸íµÉ °ÍÀÓÀ» ¾ð±ÞÇÏÀÚ. BUS´Â Bastille-Linux¿Í Usec (Unix Security Project)·Î Àç¸í¸íµÈ Msec(Mandrake Security Project)ÀÇ °áÇÕüÀÌ´Ù.
Âü°íÀÚ·á(References) ¡Ü http://bastille-linux.sourceforge.net :
Bastille-Linux official site --------------------------------------------------- |