1. 설치시 최소한의 설치만을 하고 쓰지 않는 프로그램이나 데몬은 올리지 않는다. 텔넷 같은 비보안 프로토콜 대신에 보안성있는 SSH같은걸로 대체한다.
2. 유저 관리 정책.. 특히 암호 정책을 세워서 간단한 영문자나 숫자 암호를 쓰지 못하도록 하며...
3. OS상의 감사 기능(auditing)을 활용하며 접근 시도나 실패를 감사 기록 한다.
4. 보안 뉴스나 메일링리스트에 가입하며 벤더에서 제공하는 패치 툴을 주기적으로 돌려서 보안버그가 있는 프로그램들은 업데이트한다.
레드햇이면 up2date
5. iptables같은 방화벽을 이용하여 보안정책을 세운다.
6. SNORT같은 침입탐지툴로 분석한다.
이 정도 정책이면 대부분 안심...
다른 OS에도 동일하게 적용 가능합니다. :D
그리고 NMAP은 포트스캐너입니다. 어디 열린 포트가 없나 이런걸 조사할 수 있습니다. 해커들이 포트스캐너를 많이 돌립니다. 취약한 데몬이 올라온 포트를 조사해서 취약성이 있는게 발견되면 remote overflow같은걸로 권한을 뺏고 들어오죠. 어디서 포트스캐닝이 자주 들어온다는 것은 표적이 되었다는걸 의미합니다.
이쪽으론 아는 게 없어서.. 그냥 chkrootkit 씁니다.
이쪽으론 아는 게 없어서.. 그냥 chkrootkit 씁니다.
It's better to burn out than to fade away. -- Kurt Cobain.
IDS(침입탐지 툴)로는 리눅스에선 SNORT라는걸 많이 씁니다.ht
IDS(침입탐지 툴)로는 리눅스에선 SNORT라는걸 많이 씁니다.
http://freshmeat.net/projects/snort/?topic_id=152
보안 정책
1. 설치시 최소한의 설치만을 하고 쓰지 않는 프로그램이나 데몬은 올리지 않는다. 텔넷 같은 비보안 프로토콜 대신에 보안성있는 SSH같은걸로 대체한다.
2. 유저 관리 정책.. 특히 암호 정책을 세워서 간단한 영문자나 숫자 암호를 쓰지 못하도록 하며...
3. OS상의 감사 기능(auditing)을 활용하며 접근 시도나 실패를 감사 기록 한다.
4. 보안 뉴스나 메일링리스트에 가입하며 벤더에서 제공하는 패치 툴을 주기적으로 돌려서 보안버그가 있는 프로그램들은 업데이트한다.
레드햇이면 up2date
5. iptables같은 방화벽을 이용하여 보안정책을 세운다.
6. SNORT같은 침입탐지툴로 분석한다.
이 정도 정책이면 대부분 안심...
다른 OS에도 동일하게 적용 가능합니다. :D
그리고 NMAP은 포트스캐너입니다. 어디 열린 포트가 없나 이런걸 조사할 수 있습니다. 해커들이 포트스캐너를 많이 돌립니다. 취약한 데몬이 올라온 포트를 조사해서 취약성이 있는게 발견되면 remote overflow같은걸로 권한을 뺏고 들어오죠. 어디서 포트스캐닝이 자주 들어온다는 것은 표적이 되었다는걸 의미합니다.
chkrootkit은 해커가 이미 침입해서 백도어를 잘알려진 유틸리티에 심어놓은걸 찾아줍니다. 변조되었는지 아닌지 조사해줍니다.
엔맵과 네수스 로 검사하고포트센트리로 방어했었습니다. (지금은 프
엔맵과 네수스 로 검사하고
포트센트리로 방어했었습니다. (지금은 프리라 ^^;)
가끔 패키지 명령어(rpm, dpkg)로 변조됐는거 찾아보고요
chkrootkit 돌려보고
find 로 setuid, setgid 찾아보고
뭐 그럽니다. 권장되는 가이드 라인을 보고 따라 하는 정도죠.