1) SELinux 설정
- getenforce : 현재 SELinux 설정 상태를 확인
- setenforce 0 : SELinux를 비활성화 상태로 변경 – 1이면 활성화 (비활성화:Permissive/활성화:Enforcing)
- sestatus : SELinux의 정보를 출력
2) visudo
- sudo를 통해 특정 사용자에게 다른 사용자들을 관리하는 역할 부여
- useradd와 passwd 명령에 대해 root 사용자와 동일한 역할 권한 부여ihduser ALL=/usr/bin/useradd, /usr/bin/passwd
# visudo
ihduser ALL=/usr/bin/useradd, /usr/bin/passwd
3) sysctl
- /etc/sysctl.conf : 재부팅 시에도 적용되도록 관련 파일에 등록
- 커널 매개 변수를 확인하거나 설정하는 명령어
- [-n] : 변수의 값을 출력하는 옵션
- [-w] [변수=값] : 지정한 변수에 값을 저장하는 옵션
- [-a, -A] : 커널 매개 변수와 값을 모두 출력
- [-p] [파일명] : 환경변수 파일에 설정된 값 출력, 파일명 미지정 시 /etc/sysctl.conf 파일 적용
- 수치형 매개 변수
| 커널 매개 변수 |
기본값 |
설명 |
| ipv4/tcp_keepalive_time |
7200 |
TCP 연결 상태를 계속 유지하기 위한 시간설정, 초 단위 |
| ipv4/tcp_max_syn_backlog |
128 |
TCP 프로토콜에서 하나의 소켓이 동시에 SYN 요청의 한계인 백로그 설정, 백로그 큐가 다 차면 이후 SYN 요청 무시 |
| ipv4/tcp_fin_timeout |
60 |
TCP 세션 종료 후에 얼마나 세션 유지할지 초 단위 설정 |
| ipv4/tcp_synack_retries |
5 |
일정 시간 내에 IP주소별로 보내고 SYN 패킷의 재시도 횟수 제한 |
| 커널 매개 변수 |
기본값 |
설명 |
| ipv4/icmp_echo_ignore_all |
0 |
ping과 같은 ICMP 패킷에 대한 응답 여부 결정 매개변수 값이 0이면 응답, 1이면 응답하지 않음 |
| ipv4/tcp_syncookies |
1 |
SYN Flooding 공격을 막을 때 유용한 항목, 기본값 1로 설정 |
| ipv4/ip_forward |
1 |
하나의 서버에서 ip를 공유하여 포워딩 가능할 것인지 여부 설정 1이면 가능, 0이면 불가능 |
- 활성/비활성 매개 변수
- ex) # sysctl -w net.ipv4.icmp_echo_ignore_all=1
- ping 명령에 대한 응답을 거부하도록 설정함
| 커널 매개 변수 |
기본값 |
설명 |
| ipv4/icmp_echo_ignore_all |
0 |
ping과 같은 ICMP 패킷에 대한 응답 여부 결정 매개변수 값이 0이면 응답, 1이면 응답하지 않음 |
| ipv4/tcp_syncookies |
1 |
SYN Flooding 공격을 막을 때 유용한 항목, 기본값 1로 설정 |
| ipv4/ip_forward |
1 |
하나의 서버에서 ip를 공유하여 포워딩 가능할 것인지 여부 설정 1이면 가능, 0이면 불가능 |
4) ssh
- –l : 다른 계정으로 변경해서 접근하는 명령
- –p : ssh 서버의 포트 번호가 특정 번호로 변경된 경우 접근하는 명령
- ssh-keygen : ssh 서버에 키 기반 인증을 위해 ssh 클라이언트에서 관련 키 쌍을 생성하는 명령
- scp : ssh를 이용하여 파일 복사
- 현재 ihduser로 로그인되어있는 상태. kaituser로 계정을 변경해서 접근하는 명령
- ssh kaituser@192.168.12.22 또는 –l kaituser 192.168.12.22
- ssh 서버의 포트가 180번으로 변경된 경우에 접근하는 명령
- ssh –p 180 192.168.12.22
- ssh 서버의 홈 디렉터리에 data 디렉터리를 생성하는 명령
- ssh 192.168.12.22 mkdir data 또는 ~/data
- ssh-keygen 명령으로 생성되는 2개의 파일을 기입함~ihduser/.ssh/id_rsa.pub 또는 /home/ihduser/.ssh/id_rsa.pub
- ~ihduser/.ssh/id_rsa 또는 /home/ihduser/.ssh/id_rsa
- vi /etc/ssh/sshd_config : ssh 서버의 환경 설정 파일을 편집
- PermitRootLogin : ssh 서버에서 root 사용자로 직접 로그인할 수 있는지를 설정하는 옵션
- yes – root 사용자로의 ssh 로그인 허용
- no – root 사용자로의 ssh 로그인 차단
- without-password : 비밀번호 없이 키 기반 인증을 사용하는 경우에만 root 로그인 허용
- 로그인 시 지난번 로그인 기록을 보여주도록 설정TCPKeepAlive yesX11Forwarding yes
- PrintLastLog yes
- vi /etc/ssh/sshd_config