티스토리 뷰
728x90
안녕하세요. 개발개입니다.
2002회 리눅스마스터(1급) 시험을 준비하게 되어
시험정보와 학습내용을 정리하고 공유하고자 합니다.
<목차>
리눅스 실무의 이해
리눅스 시스템 관리
시스템 보안 및 관리 [현재글]
네트워크 및 서비스의 활용
네트워크 서비스
네트워크 보안
01 시스템 분석
시스템 로그
- 시스템 로그 파일
| 로그파일 | 설명 |
| /var/log/messages (레드햇) | 전체 시스템 동작 정보, 이벤트 로그 |
| /var/log/syslog (데비안) | |
| /var/log/secure | 시스템 로그 성공여부, 텍스트모드로 열람가능 |
- 시스템 로그 파일 명령어
# /var/log/dmesg (커널 부트 메시지 로그)
# "커널 링 버퍼"의 alert와 crit 레벨의 메시지를 시간형식 맞추어 출력 후 지움
dmesg -l=alert,crit -T -c
# /var/log/lastlog
# thedev 사용자의 최근 3일간의 마지막 로그 정보 출력
lastlog -t 3 -u thedev
# /var/log/btmp
# last명령어와 유사
# /var/log/wtmp
# 모든 사용자의 로그인/아웃 기록 출력
last
# 최근 재부팅된 정보 2개 출력
last -2 reboot
시스템 로그 관리
- syslog
- 초기의 로그 수집 패키지
- syslogd데몬
- rsyslog
- IP통신을 통한 로그 구현 (원격 로깅)
- /sbin/rsyslogd 데몬
- /etc/rsyslog.conf
# facility : 로그 메시지 발생 프로그램
# priority : 로그 메시지 수준
# action : 선택된 로그에 대한 액션 지정
[facility].[priority] [action]
# cron을 제외한 모든 facilty의 info수준 이상의 메시지를 /var/log/messages에 기록
*.info;cron.none /var/log/messages
# mail facility에서 info수준을 제외한 모든 메시지를 /var/log/maillog에 기록
mail.*;mail.!=info /var/log/maillog
# kernel facility에서 err수준 이상의 메시지를 ihduser 사용자의 터미널로 전송
kern.err ihduser
로그 용량 관리
- logrotate 명령어
- /etc/logrotate.conf 파일 : 전체 환경설정
- /etc/logrotate.d 파일 : 개별 서비스 환경설정
- /var/lib/logrotate.status : 로테이션 이력
02 시스템 보안 및 관리
시스템 보안 관리
- 물리적 보안
- CCTV, 동작감지, 열화상 보안 카메라
- 경비시스템
- 보안ID, 사용자 출입 보안 등
- 시스템 보안
- BIOS 보안
- 패스워드 보안
- /etc/password : 누구나 읽을 수 잇음
- /etc/shadow : root사용자만 읽을 수 있음(SHA512)
- PAM(Pluggable Authentication Modules) : 패스워드 강도 강제
- root권한 보안
- /sbin/nologin
- /etc/ssh/sshd_config - PermitRootLogin no
- 서비스 및 운영 보안
- 부트로더 패스워드 설정 (grub-crypt)
- password --encrypted : 생성된 해시값을 패스워드로 저장
- 부트로더 패스워드 설정 (grub-crypt)
- 파일 시스템 보안
- lsattr : 파일 속성 출력
- chattr : 파일 속성 변경
- getfacl : ACL(Access Control List) 정보 출력
- setfacl : ACL 설정 (-m 추가/변경 -x 제거)
- 네트워크 보안
- sysctl : /proc/sys 디렉터리 하위 커널 매개변수 설정
SELinux (Security Enhanced Linux)
- 리눅스 커널 보안 모듈
- 강제 접근 제어 (MAC; Mandatory Access Control) 제공
시스템 보안 유틸리티
- ssh (Secure Shell)
- 기본 포트 : 22
- openssh-clients 패키지 설치 시 사용 가능
- 원격 복사(scp) 지원
- 안전한 파일 전송(sftp) 지원
- 원격 셸(rsh) 지원
# ssh 접속 포트가 22022인 202.131.30.11(네이버) 서버에 thedev 계정으로 접속
ssh -P 22022 thedev@202.131.30.11- PAM (Pluggable Authentication Module)
- 동적 사용자 인증 라이브러리
- control-flag
- requisite : 해당 모듈 반드시 성공. 실패는 즉시 반환
- required : 해당 모듈 반드시 성공. 모듈 체크 모두 수행 후 실패 반환
- sufficient : 해당 모듈 성공한 경우, 다른 모듈 체크 하지 않음
- optional : 모듈 체크 성공 여부 중요하지 않음
- sudo
- 임시 root권한으로 명령어 실행
- visudo 명령어로 /etc/sudoers에 등록된 사용자만 sudo 명령어 사용 가능
- 환경설정 파일 : /user/bin/sudo
주요 보안 도구
- nmap (Network Mapper)
- 네트워크 탐지/보안 도구
- 113포트로 SYN 패킷을 전달하여 연결 요청
- SYN/ACK 패킷으로 응답하면 포트 열림, RST 패킷으로 응답하면 포트 닫힘
- tcpdump
- 네트워크 인터페이스의 송수신 패킷을 캡쳐하여 트래픽 모니터링
- tripwire
- 호스트 기반의 침입 탐지 도구
- Nessus
- 취약점 스캐너
- GnuPG (GNU Privacy Guard)
- 공개키 기반 암호화
- 디지털 서명
- 평문 암호화(공개키) -> 전송 -> 암호문 복호화(개인키)
- 키유출 발생X
03 시스템 백업
백업 종류
- 전체 백업
- 증분 백업
- 전체 백업 후 변경된 데이터만 백업
- 백업한 순서대로 복원
- 차등 백업
- 마지막 백업에 이번 변경분 데이터를 누적하여 백업
파일백업
- tar 명령어
- 여러 파일로 아카이브를 만듦
- 아카이브로부터 원래 파일을 추출
# 아카이브를 생성하되, 파일명은 logs.tar로 하고, 접근권한을 유지하며, 작업과정을 자세히 출력
tar -cfpv logs.tar /home/thedev/logs
# -g 옵션으로 스냅샷 보관
- cpio 명령어
- 다른 디렉터리로 파일 복사
- ls 명령어의 결과를 표준 입력으로 받을 백업파일 생성 가능
- copy-out 모드 : 아카이브 생성 (-o)
- copy-in 모드 : 아카이브로부터 파일 추출 (-i)
- copy-pass 모드 : 지정 디렉터리로 복사 (-p)
파일시스템 및 디스크 백업
- dump 명령어
- 파티션 단위 백업
- dd 명령어
- 지정 장치를 지정 형식(블록 단위 등)으로 변환
- 파티션/디스크 단위 백업
- CD장치에서 ISO이미지 추출 등
- restore 명령어
- dump 명령어로 생성한 백업 파일 복원
네트워크 백업
- rsync
- 원격 장비의 파일들을 동기화 하는 유틸리티
- 델타 전송 알고리즘을 이용해 속도가 빠름
- 로컬 백업 시 별다른 서버 설정 없이 사용 가능
- 백업, 미러링 등
- root권한 불필요
다음 글 : [리눅스마스터] 네트워크 및 서비스의 활용 - 네트워크 서비스
728x90
'KR > Linux' 카테고리의 다른 글
| [리눅스마스터] 리눅스 시스템 관리 - 장치 관리 (0) | 2020.09.01 |
|---|---|
| [리눅스마스터] 리눅스 시스템 관리 - 일반 운영 관리 (0) | 2020.08.26 |
| [리눅스마스터] 리눅스 실무의 이해 - 네트워크의 이해 (1) | 2020.08.26 |
| [리눅스마스터] 리눅스 실무의 이해 - 리눅스 시스템의 이해 (0) | 2020.08.25 |
| [리눅스마스터] 리눅스 실무의 이해 - 리눅스의 개요 (0) | 2020.08.01 |