서버 보안 - 계정과 패스워드 보호, 파일 시스템 보호

ㅇ ㅂㅇ

서버 보안

> 계정과 패스워드 보호
 - Linux/Unix Server
  -- 유닉스와 리눅스는 Passwd, Group, Shadow 세 개의 파일을 이용하여 사용자 정보와 그룹 정보고나리, 암호관리를 수행함
  -- 계정 생성, 수정, 삭제 : useradd / usermod / userdel
  -- 계정과 패스워드에 관련된 파일
   --- /etc/passwd : 시스템 로그인과 사용자 계정의 권한 정보
   --- /etc/shadow : 사용자의 암호화된 패스워드 정보, root(슈퍼 유저)의 접근만 허용
   --- /etc/group : 그룹 ID / 그룹 목록
   --- /etc/login.defs : 사용자 전체에 자동 할당되는 UID, GID 범위, 패스워드 유효기간, useradd 설정사항
   --- /etc/default/useradd : useradd 명령어로 계정 생성 시, 어떤 환경과 파일을 참조 할  것인가에 대한 정보
   --- /etc/skel : 계정 생성시 필요한 파일, 디렉토리를 저장하고 있는 디렉토리, 새 계정 생성시 그대로 해당 계정의 홈 디렉토리로 복사
  -- /etc/passwd 구성
   --- 사용자 계정이름 : x(패스워드가 암호화되어 저장됨을 의미) : UID : GID : 계정 정보 : 홈 디렉토리 : 쉘
   --- root : x : 0 : 0 : root : /root : /bin/bash
    -> Linux에서 사용자 계정 잠구는 법
      - /etc/passwd에서 쉘 정보에 /bin/false 또는 /bin/nologin 을 입력
      - passwd -l <계정명>
  -- /etc/shadow 구성
   --- root : $6$Pe9WPQy7$P/O7enNgG9ohKa : 15551 : 0 : 99999 : 7 : : :
   --- 사용자 계정 : 암호화된 패스워드 : 패스워드가 바뀌어진 日 수 : 패스워드 변경 할 수 있는 최소 日 수 : 패스워드 만료 경고 日 수 : 사용자 제한 이후 계정 정지까지 日 수 : 계정 만기일 : --- 사용 안함 ----
  -- SID(Security Identifier)
   --- 사용자나 그룹을 식별하는 숫자 값으로 각 접근 제어 항목(ACE)에 대한 접근의 허용, 거부 또는 감사 대상이 되는 사용자나 그룹을 식별하는 기능을 제공

 - Windows Server
  -- "컴퓨터 관리"나 net user 명령어로 계정 생성, 수정, 삭제
  -- 계정 생성 시 옵션
   --- 다음 로그온 시 반드시 암호 변경
   --- 암호 변경 불가
   --- 암호 사용기간 제한 없음
   --- 계정 사용 안함(사용 할 때까지 로그인 불가)
  -- 기본 제공 계정인 Administrator의 경우에는 계정 사용 안함으로 설정하거나 이름을 바꿔 놓는 것이 보안상 좋음
  -- Guest 계정은 불필요하면 계정 사용 안함으로 설정 (기본 값은 사용 안함)
  -- 암호 정책
   --- 암호의 복잡성
   --- 최근 암호 기억 : 비슷하게 못만들게 하기 위함
   --- 최대 암호 사용 기간
   --- 최소 암호 사용 기간
   --- 최소 암호 길이
   --- 해독 가능한 암호화를 사용해 암호 저장
  -- 계정 잠금 정책
   --- 계정 잠금 기간 : 0으로 하면 명시적으로 잠금 해제 할 때 까지 유지(0부터 99999분 까지 설정 가능)
   --- 계정 잠금 임계값 : 실패한 로그인 시도 최대 횟수를 설정(0부터 999회 까지 가능, 0이면 잠금 적용 안함)
   --- 다음 시간 후 계정 잠금 임계값을 0으로 설정

 - Window의 인증구조
  -- 윈도우는 모든 계정의 로그인이 LSA(Local Security Authority)의 사용자 접근 권한 검증과 접근 토큰(Access Token)에 의해 허가된 접근을 보장하게 됨. 이와 함께 SAM(Sequential Access Method)을 통해 사용자의 계정정보데이터베이스를 관리하며 SRM(System Resource Manager)은 커널 내에서 사용자 프로세스의 객체에 대한 정당한 접근검증과 이에 대한 감사(Audit)를 수행한다.

 - SSO(Single Sign On)
  -- 한 번의 인증을 통해 해당 사용자에게 허용된 시스템을 재 인증 절차 없이 접근이 가능하게 하는 접근통제기술

 - EAM(Extranet Access Management)
  -- 단일 로그인(SSO) + ACL(Access Control List) + Security Management

 - IAM(Identity Access Management)
  -- EAM + 계정관리

 - 패스워드 관리
  -- 안전한 비밀번호의 설정을 위해 영문 대문자, 영문 소문자, 숫자, 특수문자 32개(~ ! @ # $ % ^ & * ( ) _ + = { } [ ] | \ : ; ' " < > , . ? /) 중 2가지 이상으로 구성한 경우 최소 10자리 이상, 문자열 종류를 3가지 이상으로 구성한 경우 최소 8자리 이상의 길이로 구성하는 것이 바람직

> 파일 시스템 보호
 - Linux
  -- minix / ext2 / ext3 / ext4
  -- 파일 잠금, 보호(접근 제어 목록, 부여권한), 파일 시스템 일관성 유지, 파일 권한 관리(Permission)
  -- 퍼미션(Permission)

  -- 특수 권한
   --- SUID(SetUID), SGID(SetGID), Stiky bit
  -- Sticky bit 
  -- 무결성 점검 도구
   --- Tripwire, Fcheck, AIDE, samhain, claymore
  -- 접근통제 및 로깅 도구
   --- TCP_Wrapper, Xinetd, IPFilter(Solaris)
  -- 시스템 접근통제 기술
   --- 접근통제정책, 접근통제메커니즘, 접근통제보안모델
 - 클라우드 파일 시스템
  -- Ceph
  -- GlusterFS(글러스터)
  -- Google 파일시스템(GFS)
  -- Hadoop 분산파일시스템(하둡)
  -- Lustre 파일시스템
  -- Panasa 파일시스템
  -- PVFS2
  -- OASIS : 한국전자통신연구원 저장 시스템 연구팀에서 개발한 객체 기반 클러스터 파일 시스템
   
 - Windows
  -- FAT12 / FAT16 / VFAT / FAT32
  -- NTFS 시스템 사용
  -- 관리 공유 폴더 제거 / 마지막에 로그인한 계정 숨김 설정 / 예약 작업 수시로 체크하여 이상한 작업의 자동 실행 막음 / 원격 레지스트리 서비스 중지