현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

웹호스팅 서버의 보안 설정은 어떻게?

권순선의 이미지
글쓴이: 권순선 / 작성시간: 일, 2004/12/19 - 11:03오전

여러 사람이 동시에 사용하는 서버의 보안 설정은 어떻게 하는 것이 좋을까요? kldp의 people 서버가 현재 원인을 알 수 없는 경로로 해킹을 당하여 복구작업 중인데 이번에 복구하면서 보안 문제에 대해 깊이 생각해 보고 설정을 하려고 합니다. people 서버에서는 여러 사용자가 존재하며 각각의 사용자는 다양한 방식으로 홈페이지를 운영하고 있습니다.

대부분은 apache/mysql/php로 홈페이지를 운영하고, 어떤 사람은 perl을 사용하기도 하고, 어떤이는 python을 사용하기도 합니다. 이런 경우 어떻게 설정을 하는 것이 좋을까요?

Forums: 
설치 및 활용 QnA
krisna의 이미지

글쓴이: krisna / 작성시간: 일, 2004/12/19 - 4:13오후

혹시 개인 홈페이지 운영 서비스를 중단할 계획은 없는 거죠?

IsExist의 이미지

글쓴이: IsExist / 작성시간: 일, 2004/12/19 - 9:11오후

대부분의 실행 파일 접근을 막습니다.

vim나 emacs 정도의 접근만 허용하고요.

db 유저 개정목록을 볼 수 있는것도 막아야 할듯 한데
이건 어떻게 하는지 모르겠군요.

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

권순선의 이미지

글쓴이: 권순선 / 작성시간: 일, 2004/12/19 - 11:04오후

krisna wrote:
혹시 개인 홈페이지 운영 서비스를 중단할 계획은 없는 거죠?

기존에 제공되던 서비스는 모두 그대로 제공할 계획입니다. 다만 좀더 '안전하게' 하자는 얘기죠.
LispM의 이미지

글쓴이: LispM / 작성시간: 월, 2004/12/20 - 9:47오전

서버 계정있는 이들을 위한 메일링 리스트 등이 있어서 문제 발생시 빠른 발견과 조치가 가능토록 해야 한다고 생각합니다.

http://lisp.or.kr http://lisp.kldp.org - 한국 리습 사용자 모임

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2004/12/21 - 1:06오후

일반 사용자들이 설치한 게시판을 통해서 해킹 당할 소지가 높지 않을까요? 그 사람들이 일일이 게시판 보안 패치을 할런지..그 사람들중 한사람 홈페이지를 해킹해도 내부로 들어가게 되는데..

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2004/12/21 - 1:27오후

chroot를 이용하면 좀 더 보안을 강화할수있지않을까요?

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2004/12/21 - 4:18오후

chroot를 사용하고 있다고 해도 안전하지는 않습니다. kernel등이 취약하다면 local exploit만으로도 chroot는 깨질 수 있을테니까요.

너바나의 이미지

글쓴이: 너바나 / 작성시간: 화, 2004/12/21 - 4:47오후

보안 문제에 관심이 있어서 글을 읽다보면 계정서비스를 할때는
gcc 를 없애야 한다는 얘기도 있더군요..

각종 결함을 이용한 소스를 컴파일해서 돌려야 하니..

직접 연관이 없는 모든 툴들을 제거하는게 가장 안전할 듯 싶은데요..

paek의 이미지

글쓴이: paek / 작성시간: 화, 2004/12/21 - 4:55오후

권순선 wrote:
여러 사람이 동시에 사용하는 서버의 보안 설정은 어떻게 하는 것이 좋을까요? kldp의 people 서버가 현재 원인을 알 수 없는 경로로 해킹을 당하여 복구작업 중인데 이번에 복구하면서 보안 문제에 대해 깊이 생각해 보고 설정을 하려고 합니다. people 서버에서는 여러 사용자가 존재하며 각각의 사용자는 다양한 방식으로 홈페이지를 운영하고 있습니다.

대부분은 apache/mysql/php로 홈페이지를 운영하고, 어떤 사람은 perl을 사용하기도 하고, 어떤이는 python을 사용하기도 합니다. 이런 경우 어떻게 설정을 하는 것이 좋을까요?

기본적인 정책중에 하나인 퍼미션 권한과 그룹권환을 적극 활용하는게 좋겠지요. (뭐 이거야 당연히 아실 이야기라고 생각 하지만..)

그 다음이 각 컴파일러들의 PHP,PYTHON,PERL 등의 보안쪽으로 관련되는 함수나 변수등의 사용을 원천적으로 막는것이 중요하리라 보여집니다.

다수의 쉘 제공 서비스라 함이면, 많은 제약을 두고서라도 안정적으로 운영할수 있는 시스템이 좋을것이기 때문입니다.

또한 전담 관리자를 두는식으로라도 해서 지속적인 모니터링이 될수 있게 하는것도 하나의 방안이 될테고 말입니다.

글쓰다보니 뭐 다 알고 계신 내용을 떠벌리는게 아닌가? 라는 생각 이네여..;;

아니면 LVS(Linux Virtual System)을 활용하는 방법도 있겠습니다만, 이경우는 계정당 사용되는 Disk 용량이 기본적으로 많이 쓰인다는 단점도 있겠습니다. 다만 뚤리더라도 보통 그 계정 유저만 작살 나기때문에, 상당히 보안성에선 유연하다고 생각 됩니다.

--------------------------------------------------------

세상에서 나의 존재는 하나이다.
그러므로 세상에서 나는 특별한 존재이다.
-
책망과 비난은 변화가 아니다.
생각만으로 바뀌는것은 아무것도 없다.

nthroot의 이미지

글쓴이: nthroot / 작성시간: 화, 2004/12/21 - 5:19오후

웹을 통한 공격이 많이 발생하는것을 감안한다면 이런것도 괜찮습니다.

drwx---r-x 1 root nonsh 9 Aug 24 13:35 bin
drwx---r-x 1 root nonsh 9 Aug 24 13:35 etc

$ cat /etc/group
nonsh::100:nobody,ftp,smmsp,telnetd,sshd

------식은이 처------
길이 끝나는 저기엔 아무 것도 없어요. 희망이고 나발이고 아무 것도 없어.

ikpil의 이미지

글쓴이: ikpil / 작성시간: 목, 2007/08/09 - 6:21오전

그룹사용자를 이런 방법으로 이용한다니, 응용력이 대단하십니다.
좋은거 배워 갑니다.

http://www.ikpil.com

atie의 이미지

글쓴이: atie / 작성시간: 화, 2004/12/21 - 5:29오후

tinyshell을 gcc를 이용해서 설치하는 것은 웹 상에 자세히 나왔더군요. gcc가 설치되어 있다면, xxd와 함께 삭제하셔야 할 듯 합니다. 웹 디렉토리로 직접 업로드해서 하는 경우는 어떻게 막을지도 염두에 두어야겠고요.

----
I paint objects as I think them, not as I see them.
atie's minipage

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2004/12/22 - 3:35오후

gcc가 없다고 해킹이 안되는 것은 아닙니다. 실제로 해킹 후의 흔적을 조사해보면 static하게 컴파일된 툴들이 꽤 있습니다. buffer overflow exploit을 bash shell script도 만들어져 있는 것도 있습니다. gcc가 없어서 해킹하는 입장에서는 불편하겠지만 그렇다고 해킹을 안당하는 것은 아닙니다.

LispM의 이미지

글쓴이: LispM / 작성시간: 수, 2004/12/22 - 10:33오후

권순선 wrote:

...
대부분은 apache/mysql/php로 홈페이지를 운영하고, 어떤 사람은 perl을 사용하기도 하고, 어떤이는 python을 사용하기도 합니다. 이런 경우 어떻게 설정을 하는 것이 좋을까요?

현재와 같이 다양한 사용자 요구에 적합한 설정이 있을지는 의문입니다.

제 생각에는 각 사용자마다 그 사용자의 user-id로 요구를 충족시킬 수 있는 프로세스가 존재하고 각 사용자에게 제한을 두는 것 이외에는 별 도리가 없지않나 합니다. 하지만, 대부분의 php, perl, python 등이 아파치에서 www-data 권한으로 프로세스 실행되고 있는 것으로 아는데, 이런 경우 구조적인 변경없이는 불가능하지 않을까 합니다.

예를 들면, 각 사용자 권한으로 독립 프로세스가 돌고 아파치에서 그 프로세스에게 request를 전달하고 그 프로세스가 아파치에게 response를 돌려준다면 침입당해도 최악의 경우 각 사용자 계정에서 액세스할 수 있는 디렉토리, 파일등만 손상을 입도록 할 수 있으리라고 생각합니다.

하지만, 현재 사용중인 php, perl, python 등이 그런 식으로 아파치와 연결이 될수있는지는 모르겠습니다(예를들면, mod_lisp은 그런 식으로 동작합니다).

마땅한 방안이 없으면 제가 위에 제안한 대로 (메일링 리스트 등을 통해서)문제발생을 빨리 파악하는데 중점을 두는 것이 어떨까 합니다. 사실 제가 문제를 발견하고 보고하기 약 1-2주 전부터 아파치의 로그파일을 읽을 수 있어서 의아하게 생각하기는 했었는데, 딱히 어디에 그런 내용을 묻거나 알릴 수 있는 수단과 방법이 없어서 그냥 읽을 수 있도록 퍼미션 열어두었나 보다 생각했었습니다.

http://lisp.or.kr http://lisp.kldp.org - 한국 리습 사용자 모임

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.