2011. 11. 28. 19:39 Log/Linux

OpenSSh 및 SELinux

OpenSSH
공식사이트 : www.openssh.com


SSH는 공개키 암호화 기법에 기반을 두고 있다.

*. 공개키
누구나 받아서 사용할 수 있는 키

*. 개인키
공개키로 암호화해서 보낸 메세지를 해석할 수 있는
유일한 키


SSH client SSH server
-- 연결요청 -->
<-- 공개호스트키,공개서버키
----- 비밀키 ------->
<--- 사용자 인증 ---


모든 암호체계는 기본적으로 두 단계가 있다.

1. 평문 (key 사용) -> 암호문 ; 암호화
2. 암호문 (key 사용) -> 평문 ; 복호화

공개호스트키
SSH 서버를 설치할때 만드는 키, 클라이언트가 다른 ssh 서버와
구별할수 있는 키.
다음에 접속할 때 이키를 가지고 그 서버가 지난번에 접속한 서버와
같은 서버라는것을 확인한다.
만약 클라이언트가 가지고 잇는 known-host list 에 서버가 보낸 공개키가
존재하지 않으면 클라이언트 프로그램은 사용자에게 ' 이런 호스트의 키가 도착했는데
현재 신뢰할수 있는 리스트에 없으니 know-host list 에 넣을까요? 라는 경고 메세지를 보여준다.

최초로 ssh 서버에 접속했다면 known-host list 에 없는것은 당연하므로 이 메세지는 뜨게된다.

공개서버키
서버의 디스크에 저장되어 있지 않고 서버가 주기적으로 생성을 하는 키.

서버로 부터 두개의 키를 받은후 클라이언트는 랜덤키를 하나 생성한후 이 랜덤키를 호스트 공개키와
서버키를 가지고 차례대로 암호화 시킨다. 클라이언트는 이키를 서버에 보내게 되고 서버와
클라이언트는 이 키를 대칭형 암호화 키로 사용하게 된다.
이와 같은 인증 방법을 호스트 기반 인증 이라고 한다.

일단 클라이언트와 서버사이에 채널이 만들어졌기 때문에 서버는 클라이언트가 해당 서버를 사용할 수 있는
사용자 인증을 해야 한다.
이 단계가 클라이언트 인증단계이다.
클라이언트 인증방법은 비밀번호 기반 인증기법과 비비밀번호 기반 인증기법 이 두가지로 나눌수 있다.

1. 비밀번호 인증기법

SSH Client ---> 클라이언트 공개키 --> SSH 서버
known host list 확인.
<----- 인증 결과 --------

2. 공개키 인증기법

SSH Client --- 클라이언트 공개키 -----> SSH 서버
Authorized_keys 확인
<-- 공개키로 암호화된 랜덤값 --
--- 128비트 MD5 해쉬 ---->
<-- 사용자 인증 ---------




SSH2 Connection Layer
----------------------
SSH2 User-Auth Layer
----------------------
SSH2 Transport Layer
======================
TCP / IP 프로토콜



OpenSSH 설치

설치는 rpm 파일을 설치하거나 소스파일을 직접 컴파일하여 설치할 수 있다.

소스를 직접 컴파일하여 설치한다면 openssh 를 이해하는데 좀 더 도움이 될것이다.

최신버전을 다운르드 하여 설치한다.


[root@centos1 ~]# rpm -qa | grep ssh
openssh-4.3p2-29.el5 <== open ssh 설정파일, 문서파일, 도움말파일, 키생성파일
openssh-askpass-4.3p2-29.el5 <== (?)
[root@centos1 ~]# rpm -ql openssh-askpass
/etc/profile.d/gnome-ssh-askpass.csh
/etc/profile.d/gnome-ssh-askpass.sh
/usr/libexec/openssh/gnome-ssh-askpass
/usr/libexec/openssh/ssh-askpass
openssh-clients-4.3p2-29.el5
openssh-server-4.3p2-29.el5

기존에 설치된 패키지는 모두 삭제한 다음 새로운 버전의 패키지를 설치한다.
[root@centos1 ssh]# yum erase openssh-clients
[root@centos1 ssh]# yum erase openssh <= 의존성에 걸려있는 나머지 두가지 패키지도 삭제한다.

기존에 설치된 ssh를 다 제거한후 다운로드 받은 소스파일을 적당한 디렉토리에 압축을 풀고 컴파일한다.

#./configure --prefix=/usr/local/openssh-5.6p1 --sysconfdir=/etc/ssh --with-lastlog=/var/log/lastlog --with-md5-passwords
#make && make install

root /usr/local/openssh-5.6p1/bin]# ls
scp sftp slogin ssh ssh-add ssh-agent ssh-keygen ssh-keyscan

scp : 안전한 romote copy utility
ssh : ssh client
ssh-agent : RSA 형태의 인증방법을 수행한다.
ssh-keygen : ssh 를 위한 생성키, RSA 키를 생성한다.

ssh client 사용방법
ssh -l 계정명 접속할host주소

안전한 통신을 위한 조건.

1. 보내고자 하는 내용을 특정 사람만 읽을수 있어야 한다.
2. 받는 사람은 보낸 사람에 대해서 신뢰를 할 수 있어야 한다.
3. 주고받는 데이터가 변형되지 않아야 한다.

암호화 방법은 크게 비밀키 암호화 방법과 공개키 암호화 방법으로
나눌 수 있다.

비밀키를 사용해서 암호화를 하는경우에는 보내는 사람과 받는 사람 둘다
암호 해독키를 가지고 있어야 한다.
원래데이터 --- 대칭키 ---> 암호화된 데이터 ----- 대칭키 ---> 원래데이터
(encryption) (decryption)
데이터 송신측과 수신측에서는 똑 같은 해독키를 가지고 있어야 하므로
적어도 한번은 키를 전송해줘야 하는것이 단점이다.
키를 전송하는 키가 해커에 의해 노출되게 되면 안전한 데이터전송을 보장 받을 수
없다.


공개키암호화 방법은
두사람이 다른 키를 가지고 메시지를 주고 받기때문에 비대칭적 암호화라고 한다.
공개키는 여러 사람이 모두 공유할 수 있는 키이다.
공개키에 기반한 암호화 구조를 PKI 라고 한다.

1. 개인키와 공개키를 만든다.
2. 공개키를 공개한다. -----------------> 3. 공개키로 데이터를 암호화 한다.
5. 개인키로 데이터를 해석한다. <---------------- 4. 공개키로 암호화된 데이터를 보낸다.

이런 방법은 메시지를 주고 받는데 확실한 보안을 제공하지만 암호화 하고 해석하는데
많은 비용을 치뤄야 한다. 따라서 인터넷을 사용할 때 모든 데이터를 암호화해서 보낸다는 것은
시스템에게는 엄청난 부하를 준다.

더 좋은 방법은

1. 개인키와 공개키를 만든다.
2. 공개키를 공개한다. ----------------------> 3. 비밀키를 만든다.
5. 개인키로 비밀키를 해석한다. <---------------- 4. 공개키로 비밀키를 암호화 한다.
6. 개인키로 데이터를 암호화해서 주고 받는다. ------------> 6. 개인키로 데이터를 암호화해서 주고 받는다.

서로 메시지를 주고 받는 단계는 많아졌지만 비밀키를 한번만 교환하게 되면 다음 메시지를 주고 받을때에는
훨씬 간단해 진다는 잇점이 있다.

컴파일해서 설치하게 되면 필요한 키가 아래처럼 /etc/ssh 디렉토리에 자동으로 생성이 된다.

[root /usr/local/openssh-5.6p1/bin]# ls /etc/ssh
moduli ssh_host_dsa_key.pub ssh_host_rsa_key
ssh_config ssh_host_key ssh_host_rsa_key.pub
ssh_host_dsa_key ssh_host_key.pub sshd_config
You have new mail in /var/spool/mail/root
[root /usr/local/openssh-5.6p1/bin]#

rpm 패키지를 설치한 경우에는 /etc/init.d/sshd 데몬스크립트를 실행시키면 키가 자동으로 생성이 된다.

*. 키를 수동으로 생성하려면
RSA 키와 DSA키 둘다 생성해야 한다. (클라이언트가 어떤것을 사용할지 모르므로.)

*. 암호없이 로그인
$ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/taejun/.ssh/id_rsa):
Enter passphrase (empty for no passphrase): xxxxxx
Enter same passphrase again: xxxxxx
Your identification has been saved in /home/taejun/.ssh/id_rsa.
Your public key has been saved in /home/taejun/.ssh/id_rsa.pub.
The key fingerprint is:
65:ac:e5:70:9a:b2:4f:25:c4:d3:0270:9a:b2:4f:25 user1@localhost

id_rsa 개인키
id_rsa.pub 공개키

생성된 파일을 서버의 자기계정으로 복사 ~/.ssh/authorized_keys 또는 authorized_keys2


====================================================================

SELinux

설정파일 : /etc/sysconfig/selinux

SELINUX = value

value 는 세가지 값이 허용된다.
enforcing - SELinux 모듈이 보안관련기능을 감지하고 제한하며 로그를 남긴다.
permissive - SELinux 모듈이 시스템 보안관련 기능을 감지하면 허용하며 로그를 남긴다.
disable - SELinux를 사용하지 않는다.

SELINUXTYPE = value
value 는 두가지 값이 허용된다.

trageted - target 으로 설정된 네트워크 데몬만 SELinux 를 적용한다.
strict - Full SELinux protection.

이 파일 설정을 변경한 경우 rebooting 을 해야 바뀐 설정이 적용된다.


selinux 관련 utility.

[root /etc/selinux]# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: enforcing
Policy version: 21
Policy from config file: targeted
[root /etc/selinux]#

setenfoce - SELinux 설정 변경. reboot 없이 바로 적용된다.

형식)
setenforce [ Enforcing | Permissive | 1 | 0 ]

ex) setenforce 1 <== SELinux enforcing 모드로 사용
setenforce 0 <= SELinux premisive 모드로 사용
SELinux boolean 설정
ftp_home_dir : 사용자 홈 디렉토리에 읽기/쓰기 권한설정
allow-ftpd_full_acess : ftp 서버에 로그인/읽기/쓰기 모든 access 허용
allow_ftpd_use_nfs : ftp 버서에 nfs 파일 접근 허용
allow_ftpd_anon_write : 공개 ftp에 쓰기를 허용

설정방법

setsebool -P allow_ftpd_full_access=1 ; <== ftp 서비스에 대해서 읽기/쓰기 등 모든권한 부여.
값이 0 이면 권한을 주지 않음을 의미한다.

설정값을 확인하는것은
getsebool 로 확인한다.
ex) getsebool -a
getsebool ftp_home_dir

'Log > Linux' 카테고리의 다른 글

ACL (Access Control List)  (0) 2011.11.28
메일서비스(sendmail)  (0) 2011.11.28
samba 서비스  (0) 2011.11.28
IDS - snort 1  (0) 2011.11.28
tcpdump - packet capture / 분석  (0) 2011.11.28
Posted by logwatch

2011. 11. 28. 19:38 Log/Linux

ACL (Access Control List)

setfacl
Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...

주요옵션
-m : acl 설정
-x : acl 삭제
-b : 모든 acl 삭제
--mask : mask 재설정
-R : 하위디렉토리까지 포함.

[root@centos1 acl]# setfacl -m u:user1:rwx a.txt
[root@centos1 acl]# ls -l a.txt
-rw-rwxr--+ 1 root root 6 8월 5 08:50 a.txt ; acl 설정이 된 경우 퍼미션 맨끝에 '+' 문자가 보인다.
[root@centos1 acl]# getfacl a.txt ; acl 설정확인을 할 수 있다.
# file: a.txt
# owner: root
# group: root
user::rw-
user:user1:rwx
group::r--
mask::rwx
other::r--

[root@centos1 acl]# setfacl -x u:user1 a.txt ; acl 설정중 user1 권한 삭제
[root@centos1 acl]# setfacl -b a.txt ; 모든 acl 설정 삭제.

[root@centos1 acl]# setfacl -m u:user1:r-x,u:user2:rw a.txt
[root@centos1 acl]# ls -l a.txt
-rw-rwxr--+ 1 root root 6 8월 5 08:50 a.txt ; 파일의 그룹권한이 바뀐다.
[root@centos1 acl]#

[root@centos1 acl]# getfacl a.txt
# file: a.txt
# owner: root
# group: root
user::rw-
user:user1:r-x
user:user2:rw-
group::r--
mask::rwx ; mask 값은 파일그룹권한과 같다.
other::r--

[root@centos1 acl]#
[root@centos1 acl]# chmod 755 a.txt ; acl 설정이 된 파일의 퍼미션을 바꾸면...
[root@centos1 acl]# ls -l a.txt
-rwxr-xr-x+ 1 root root 6 8월 5 08:50 a.txt
[root@centos1 acl]# getfacl a.txt
# file: a.txt
# owner: root
# group: root
user::rwx
user:user1:r-x
user:user2:rw- #effective:r-- ; effective 권한이 실제권한이다.
group::r-- effective 권한은 설정권한과 umask 값의 교집합으로 결정된다.
mask::r-x
other::r-x

[root@centos1 acl]# setfacl -b a.txt
[root@centos1 acl]# setfacl -m u:user1:rwx,g:staff:r-x,g:root:rwx,m:r-x a.txt
[root@centos1 acl]# getfacl a.txt
# file: a.txt
# owner: root
# group: root
user::rwx
user:user1:rwx #effective:r-x
group::r--
group:root:rwx #effective:r-x
group:staff:r-x
mask::r-x
other::r-x
[root@centos1 acl]#

[root@centos1 acl]# mkdir d1
[root@centos1 acl]# setfacl -m default:u:user1:rw-,g:staff:rwx d1
default 옵션을 주면 d1 디렉토리내의 파일과 디렉토리는 acl권한이
자동으로 설정된다.
[root@centos1 acl]# getfacl d1
# file: d1
# owner: root
# group: root
user::rwx
group::r-x
group:staff:rwx
mask::rwx
other::r-x
default:user::rwx
default:user:user1:rw-
default:group::r-x
default:mask::rwx
default:other::r-x
[root@centos1 acl]#

[root@centos1 d1]# echo "hello" > a.txt
[root@centos1 d1]# ls -l
합계 8
-rw-rw-r--+ 1 root root 6 8월 5 09:15 a.txt
[root@centos1 d1]# getfacl a.txt
# file: a.txt
# owner: root
# group: root
user::rw-
user:user1:rw-
group::r-x #effective:r--
mask::rw-
other::r--

[root@centos1 d1]#

===============================================
ACL 설정 예제.

/tmp/acl/a.txt

설정권한 effective 권한
user1:rwx r-x
acgroup1:r-x
acgroup2:rw- r--
-----------------------------------------
2. /tmp/acl/project 디렉토리에(Default ACL로 설정)
*.file 생성하였을때
설정권한 effective 권한
user1:rwx r--
*.Directory 생성하였을때
설정권한 effective 권한
user1:rwx r-x

'Log > Linux' 카테고리의 다른 글

OpenSSh 및 SELinux  (0) 2011.11.28
메일서비스(sendmail)  (0) 2011.11.28
samba 서비스  (0) 2011.11.28
IDS - snort 1  (0) 2011.11.28
tcpdump - packet capture / 분석  (0) 2011.11.28
Posted by logwatch

2011. 11. 28. 19:36 Log/Linux

메일서비스(sendmail)

sendmail 주설정 파일

sendmail.cf : sendmail 설정파일
sendmail.mc : sendmail.cf 를 생성하기위한 m4 매크로파일

access : sendmail server access 제한 설정

access : sendmail server access 제한 설정
[root@centos1 mail]# cat access
# by default we allow relaying from localhost...
Connect:localhost.localdomain RELAY
Connect:localhost RELAY
Connect:127.0.0.1 RELAY

tag:ip또는 도메인 policy

tag
Connect: 주소 또는 도메인
From : 송신자 주소
To : 수신자 주소

ex)
Connect:localhost.localdomain RELAY
Connect:192.168.0.1 RELAY
Connect:192.168.10 RELAY
Connect:localhost RELAY
From: user1@myunix.co.kr OK
From: spam.com REJECT
To:root@ OK
TO:minki.co.kr REJECT

OK : 메일수신허용 RELAY는 불가
RELAY : 수신 및 RELAY 허용
REJECT : 수신거부



centos 5.x 버전에 설치되어 있는 sendmail 서버버전은 8.13.x 이며 과거버전에 비해서
설정문법이 조금 바뀌었다.

redhat9 버전에 설치되어 있는 sendmail 8.12.x 버전의 경우는 설정이 아래와 같다.
[root@mylinux root]# cd /etc/mail
[root@mylinux mail]# cat access
# by default we allow relaying from localhost...
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY

[root@mylinux mail]#

수정하였을경우
# makemap hash /etc/mail/access.db < /etc/mail/access 로 갱신

local-host-names : sendmail 서버가 사용하는 메일서버도메인주소
virtusertable : 다른 이메일 도메인 주소를 갖는 같은 계정을 처리하는데
사용된다.
가상의 메일계정 시스템계정

수정하였을 경우
# makemap hash /etc/mail/virtusertable.db < /etc/mail/virtusertable
로 db 파일을 갱신해야 한다.


/etc/aliases : 메일 계정에 대한 alias 파일
- 이파일을 이용하여 메일링리스트를 구현할 수 있다.
대표계정 : 수신계정, 수신계정, ...

수정하였을경우
# newaliases 로 갱신한다.

[root@centos1 /etc/sysconfig]# cat sendmail
DAEMON=yes
QUEUE=1h => 메일큐에 남아있는 메일을 한시간 단위로 처리한다.

*. sendmail 설정파일

Cwlocalhost
메일서버호스트명을 localhost 로 지정.
ex)
Cwmyunix.co.kr
Cwlee.pe.kr
- 여러개의 도메인을 사용하는것도 가능하다.

Fw/etc/mail/local-host-names
Cw 명령어로 메일호스트를 등록하는대신 호스트명을 Fw 뒤에 적혀있는
파일로 설정.

Dj$w.Foo.COM
- sendmail 호스트명을 지정

FR-o /etc/mail/relay-domains
- 릴레이를 허용할 호스트명 설정
- 이부분을 주석처리하게 되면 모든 주소에 대해 relay 허용.

Kvirtuser hash -o /etc/mail/virtusertable.db
- virtusertable 설정

Kaccess hash -T<TMPF> -o /etc/mail/access.db
- access 설정

O AliasFile=/etc/aliases
- aliases 설정

O MaxMessageSize=0
- 최대 메일 크기 결정(첨부파일포함이며 byte 단위로 설정)

O DamonPortOptions=Port=smtp,Addr=127.0.0.1,Name=MTA
- relay를 제한하기 위해 로컬호스트에서 전송한 메일만 수신

local 호스트 이외의 곳에서도 relay 허용하려면 아래처럼 변경.
O DamonPortOptions=Port=smtp,Addr=0.0.0.0,Name=MTA

O QueueDirectory=/var/spool/mqueue

O Timeout.queuereturn=5d
여기에 설정된 시간동안 큐에 남아 있는 메일을 처리하지 못하게 되면
발송자에게 메일을 리턴한다.

O Timeout.queuewarn=4h
어떤 문제로 목적지 호스트로 지정한 시간동안 메일을 발송할 수 없는경우
발송자에게 경고메시지 보낸다.


POP3 및 IMAP 설정

dovecot 패키지가 설치되어 있어야 한다.
[root@centos1 /etc/sysconfig]# rpm -q dovecot
dovecot-1.0.7-7.el5
[root@centos1 /etc/sysconfig]#
설치되어 있지 않으면 yum 으로 설치할 수 있다.
ex) yum install dovecot

메일서비스 테스트

[root@centos1 mail]# mail user1@lee.pe.kr
Subject: hello
test again
hahahah
lee.pe.kr
.
Cc: [root@centos1 mail]#
[root@centos1 mail]#
[root@centos1 mail]# mail user1@lee.pe.kr
Subject: 안녕하세요?
반갑습니다.
...
그럼 이만...
.
Cc:
[root@centos1 mail]#

[root@centos1 mail]# cat /etc/mail/local-host-names
# local-host-names - include all aliases for your machine here.
lee.pe.kr
minki.co.kr
[root@centos1 mail]#

읽지 않은 메일은 이곳에 수신 계정명으로 저장되어 있다.
[root@centos1 /var/spool/mail]# ls
cuser1 mysql p2 root samuser1 samuser3 suser1 sysuser1 sysuser3 sysuser5 u10 u12 u2 user10
lee p1 p3 rpc samuser2 smuser1 suser2 sysuser2 sysuser4 u1 u11 u13 user1 user2
[root@centos1 /var/spool/mail]#
여기 있는 메일은 보안상 수신자만 볼수 있게 퍼미션 설정이 되어 있다. 편집기등으로 볼수 있다.

user1 계정이 로그인 하게 되면
You have new mail in /var/spool/mail/user1
[user1@centos1 ~]$
새로운 메일이 있다는 메시지를 출력해준다.

[user1@centos1 ~]$ mail
Mail version 8.1 6/6/93. Type ? for help.
"/var/spool/mail/user1": 1 message 1 unread
>U 1 root@localhost.local Sun Jul 4 23:54 20/710 "hello"
&

& 1
Message 1:
From root@localhost.localdomain Sun Jul 4 23:54:46 2010
Date: Sun, 4 Jul 2010 23:54:46 +0900
From: root <root@localhost.localdomain>
To: user1@lee.pe.kr
Subject:hello

반갑습니다.
잘 지내시나요?
한번 만납시다.
이만...

& help <= 이곳에서 사용할수 있는 명령어를 보여준다.

& quit
Saved 1 message in mbox <= 읽은 메일은 $HOME/mbox 파일로 저장된다.
[user1@centos1 ~]$

메일이 전송되지 못한경우 clientmqueue 나 mqueue 디렉토리에 남으며
한개의 메일이 헤더와 본문으로 두개의 파일로 나뉘어 저장된다.
*. 목적지주소를 알 수없는 경우는 송신자한테 바로 돌아온다.

[root@centos1 spool]# cd mqueue/
[root@centos1 mqueue]# ls
dfo64EiQ5G023647 qfo64EiQ5G023647

'Log > Linux' 카테고리의 다른 글

OpenSSh 및 SELinux  (0) 2011.11.28
ACL (Access Control List)  (0) 2011.11.28
samba 서비스  (0) 2011.11.28
IDS - snort 1  (0) 2011.11.28
tcpdump - packet capture / 분석  (0) 2011.11.28
Posted by logwatch

2011. 11. 28. 19:36 Log/Linux

samba 서비스


마이크로소프트와 인텔은 윈도우시스템이 다른 시스템의 디스크나 프린터 자원을 공유할 수 있도록
SMB(Server Message Block) 프로토콜을 개발하였는데 삼바란 이 SMB 를 이용하여 윈도우와 다른 시스템간의 프린터및 자료를 공유할 수 있도록 해주는 서비스

현재 마이크로소프트에서는 SMB 라는 이름대신 좀 더 범위가 큰 CIFS(Common Internet Filesystem)
이라는 프로토콜로 부른다. 이프로토콜은 SMB 프로토콜에 LanManager 와 NetBios 프로토콜까지
포함한다.

삼바구성
samba 서비스는 두개의 데몬을 구성된다.
1. smbd : 파일 및 프린터 공유, 사용자 확인 및 권한부여
2. nmbd : 클라이언트를 위해 NetBios nameserver를 지원하고 서비스를 알린다.

서비스구동

/etc/init.d/smb start 또는 service smb start

삼바서비스를 위한 패키지
[root@centos2 samba]# rpm -qa | grep samba
samba-swat-3.0.33-3.28.el5 ; GUI 환경에서의 삼바설정툴
system-config-samba-1.2.41-3.el5 ; GUI 환경에서의 삼바 설정툴
samba-common-3.0.33-3.28.el5 ; 삼바 설정파일, 유틸리티, 메뉴얼 페이지
samba-3.0.33-3.28.el5 ; 삼바 서버
samba-client-3.0.33-3.28.el5 ; 삼바 클라이언트
[root@centos1 samba]#


samba 설정파일
[root@centos1 samba]# ls
lmhosts passdb.tdb secrets.tdb smb.conf smb.conf_orig smbusers
[root@centos1 samba

삼바서비스 주요설정

주석은 '#' 또는 ';' 이다.


[global]

# ----------------------- Network Related Options -------------------------
#
workgroup = MYGROUP
server string = Samba Server Version %v

; netbios name = MYSERVER

; interfaces = lo eth0 192.168.12.2/24 192.168.13.2/24
; hosts allow = 127. 192.168.12. 192.168.13.

# --------------------------- Logging Options -----------------------------
#
# Log File let you specify where to put logs and how to split them up.
#
# Max Log Size let you specify the max size log files should reach

# logs split per machine
; log file = /var/log/samba/%m.log
# max 50KB per log file, then rotate
; max log size = 50

# ----------------------- Standalone Server Options ------------------------
#
# Security can be set to user, share(deprecated) or server(deprecated)
#
# Backend to store user information in. New installations should
# use either tdbsam or ldapsam. smbpasswd is available for backwards
# compatibility. tdbsam requires no further configuration.

security = user ( user 대신 사용할 수 있는것은 share/server/domain/ads 가 있다)
passdb backend = tdbsam

*. 과거버전의 smbpasswd 를 사용하는 경우에는
passdb backend = smbpasswd:/etc/samba/smbpasswd 로 설정.

#============================ Share Definitions ==============================

[homes]
comment = Home Directories
browseable = no
writable = yes
; valid users = %S
; valid users = MYDOMAIN\%S

[homes]는 공유이름.
browseable : 공유자원을 보이게 하거나 숨길 수 있다.
writable : 공유자원에 대한 쓰기권한 설정
valid users : 공유자원에 대해서 access 가능한 사용자
두명이상이면 스페이스문자를 구분자로 하고 계정을 적는다.




[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes

# A publicly accessible directory, but read only, except for people in
# the "staff" group
[public]
comment = Public Stuff
path = /home/samba
public = yes
writable = yes
; printable = no
write list = +staff
[public] 공유이름
public : yes 로 설정될 경우 모든 사용자에게 공유자원 access를 허용
write list : 쓰기 가능한 사용자 리스트. +staff 는 그룹사용자를 의미한다.




[public22]
comment = Public Stuff
path = /home/samba1
public = yes
writable = yes
; printable = no
write list = +staff

[share2]
comment = Public Stuff
path = /home/samba2
public = yes
writable = yes
; printable = no
write list = +staff

*. magic cookies: 삼바의 smb.conf에서도 아래의 magic cookies를 사용할 수 있다.
%u : 현재 사용중인 유저
%g : 현재 사용중인 유저 그룹
%m : 클라이언트의 NetBIOS이름
%v : 버전
%h : 호스트이름
%p : 서버의 홈디렉토리 경로
%d : 서버의 프로세서ID
%S : 현재 사용되는 서비스 이름
%P : 현재 사용되는 서비스의 루트 디렉토리
%U : 세션의 유저
%G : 셔션의 유저그룹
%H : %u로 주어진 유저의 홈디렉토리
%L : 서버의 NetBIOS이름
%M : 클라이언트 머신 이름
%N : NIS 홈디렉토리 서버의 이름
%I : 클라이언트 머신 IP
%T : 날짜와 시간


TDB (Trivial DB)

passdb.tdb 파일에 삼바 사용자 계정과 패스워드가 기록된다.
이 파일을 보거나 설정하기위해서는 pdbedit 툴이 필요하다.

계정생성
[root@centos1 samba]# pdbedit -a -u sysuser2
new password:
retype new password:
Unix username: sysuser2
NT username:
Account Flags: [U ]
User SID: S-1-5-21-1841115434-4086067128-1488843553-1000
Primary Group SID: S-1-5-21-1841115434-4086067128-1488843553-513
Full Name:
Home Directory: \\centos1\sysuser2
HomeDir Drive:
Logon Script:
Profile Path: \\centos1\sysuser2\profile
Domain: CENTOS1
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: never
Kickoff time: never
Password last set: 토, 26 6월 2010 13:56:54 KST
Password can change: 토, 26 6월 2010 13:56:54 KST
Password must change: never
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
[root@centos1 samba]#

*. 삼바 계정을 추가할 경우 /etc/passwd 에 등록되어 있는 계정이라야 한다.

[root@centos1 samba]# pdbedit -L ; 계정정보보기
user2:1012:
suser1:1009:
user1:500:
smuser1:1011:
sysuser2:1016:
[root@centos1 samba]#
[root@centos1 samba]# pdbedit -x sysuser2 ; 삼바계정 삭제
[root@centos1 samba]# pdbedit -L sysuser2
Username not found!
[root@centos1 samba]#

암호를 변경하는 경우에는 smbpasswd 명령어로 한다.
계정 생성 및 삭제 변경은 smbpasswd 로도 할수 있다.
[root@centos1 samba]# smbpasswd -a sysuser4
New SMB password:
Retype new SMB password:
Added user sysuser4.
[root@centos1 samba]#

삼바계정 삭제하기.
[root@centos1 samba]# smbpasswd -x sysuser4
Deleted user sysuser4.
[root@centos1 samba]#

삼바계정 disable 하기
[root@centos1 samba]# smbpasswd -d sysuser3
Disabled user sysuser3.
[root@centos1 samba]#

disable 상태의 삼바계정 enable 상태로 설정하기
[root@centos1 samba]# smbpasswd -e sysuser3
Enabled user sysuser3.
[root@centos1 samba]#

mswindows 공유자원 보기

[root@centos1 ~]# smbclient -L //192.168.203.1 -U lee
Password:
Domain=[UNIXUNIX-LEE] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]

Sharename Type Comment
--------- ---- -------
ms_share Disk
E$ Disk Default share
IPC$ IPC Remote IPC
D$ Disk Default share
I$ Disk Default share
G$ Disk Default share
F$ Disk Default share
ADMIN$ Disk Remote Admin
H$ Disk Default share
C$ Disk Default share
J$ Disk Default share
session request to 192.168.203.1 failed (Called name not present)
session request to 192 failed (Called name not present)
Domain=[UNIXUNIX-LEE] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]

Server Comment
--------- -------

Workgroup Master
--------- -------
[root@centos1 ~]#


[root@centos1 ~]# smbclient //192.168.203.1/ms_share -U lee
Password:
Domain=[UNIXUNIX-LEE] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
smb: \>

명령어 리스트는 help 로 볼수 있다.
smb: \> help
? altname archive blocksize cancel
case_sensitive cd chmod chown close
del dir du exit get
getfacl hardlink help history lcd
link lock lowercase ls mask
md mget mkdir more mput
newer open posix posix_open posix_mkdir
posix_rmdir posix_unlink print prompt put
pwd q queue quit rd
recurse reget rename reput rm
rmdir showacls setmode stat symlink
tar tarmode translate unlock volume
vuid wdel logon listconnect showconnect
!
smb: \> help pwd
HELP pwd:
show current remote directory (same as 'cd' with no args)

smb: \>

* ftp 명령어와 비슷한것이 많다.
cd ; remote 디렉토리 이동
lcd : local 디렉토리 이동
put,mput : 파일 upload
get,mget : 파일 download
prompt : 파일전송시 interactive mode on/off

/tmp 디렉토리에 파일을 다운 받는 예.
smb: \> ! pwd
/root
smb: \> lcd /tmp
smb: \> ! pwd
/tmp
smb: \> get abc.txt
getting file \abc.txt of size 7 as abc.txt (0.6 kb/s) (average 0.6 kb/s)
smb: \>

삼바공유자원 mount

mount.cifs

[root@centos1 ~]# mount.cifs //192.168.203.1/ms_share /mnt/mswin1 -o user=lee
Password:
[root@centos1 ~]# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/sda1 4956284 4394240 306212 94% /
/dev/sda5 497829 10544 461583 3% /data
/dev/sda2 1649488 684620 879724 44% /home
tmpfs 257720 0 257720 0% /dev/shm
//192.168.203.1/ms_share
81923432 78173908 3749524 96% /mnt/mswin1
[root@centos1 ~]#

부팅할때 자동으로 마운트되게 하거나 마운트할때 마다 옵션을 사용하기 싫으면
/etc/fstab 파일에 아래처럼 등록한다.

[root@centos1 mswin1]# tail -1 /etc/fstab
//192.168.203.1/ms_share /mnt/mswin1 cifs noauto,user=lee,pass=1234,dir_mode=0755,file_mode=0644,noexec 0 0
[root@centos1 mswin1]#
noauto 옵션은 부팅할때 자동 마운트 하지 않는다.
dir_mode 및 file_mode 는 윈도우 자원을 마운트 했을때 퍼미션이 비정상적으로 표시될 수 있는데
그것을 제대로 설정하기 위한것이다.
ex)
[root@centos1 mswin1]# ls -l
합계 2
-rwxrwSrwx 1 root root 5 6월 26 11:23 2.txt
-rwxrwSrwx 1 root root 7 6월 26 12:26 abc.txt
-rwxrwSrwx 1 root root 26 6월 26 11:07 testfile.txt

*. 연결 상태는 linux 에서는 smbstatus 그리고 mswindows cmd 에서는 net use 로 확인할 수 있다.

[root@centos1 home]#
[root@centos1 mswin1]# mount.cifs //192.168.203.1/d$/ms_share /mnt/mswin1 -o user=lee,pass=xxxx
[root@centos1 mswin1]# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/sda1 4956284 4530284 170168 97% /
/dev/sda5 497829 10544 461583 3% /data
/dev/sda2 1649488 684416 879928 44% /home
tmpfs 257720 0 257720 0% /dev/shm
//192.168.203.1/d$/ms_share
81923432 73597756 8325676 90% /mnt/mswin1
[root@centos1 mswin1]#

[root@centos1 mnt]# mount.cifs //192.168.203.1/d$/ms_share /mnt/mswin1 -o user=lee
Password:

root@centos1 home]# smbstatus
[root@centos1 samba]# smbstatus

Samba version 3.0.33-3.28.el5
PID Username Group Machine
-------------------------------------------------------------------

Service pid machine Connected at
-------------------------------------------------------
share2 3522 unixunix-lee Fri Jun 25 20:24:30 2010
public 3522 unixunix-lee Fri Jun 25 20:11:42 2010
public22 3522 unixunix-lee Fri Jun 25 20:24:31 2010
IPC$ 3522 unixunix-lee Fri Jun 25 20:12:40 2010

Locked files:
Pid Uid DenyMode Access R/W Oplock SharePath Name Time
------------------------------------------------------------------------------------------------------------------------------------
3522 99 DENY_NONE 0x100001 RDONLY NONE /home/samba . Fri Jun 25 20:16:18 2010


C:\Documents and Settings\lee>net use
새 연결 정보가 저장됩니다.

상태 로컬 원격 네트워크

-------------------------------------------------------------------------------
OK \\Centos1\public Microsoft Windows 네트워크
OK \\CENTOS1\PUBLIC22 Microsoft Windows 네트워크
OK \\CENTOS1\SHARE2 Microsoft Windows 네트워크
명령을 잘 실행했습니다.


C:\Documents and Settings\lee>
C:\Documents and Settings\lee>net use \\Centos1\public22
로컬 이름
원격 이름 \\Centos1\public22
리소스 유형 Disk
상태 OK
열린 수 1
연결 수 12
명령을 잘 실행했습니다.


C:\Documents and Settings\lee>net use \\Centos1\public
로컬 이름
원격 이름 \\Centos1\public
리소스 유형 Disk
상태 OK
열린 수 1
연결 수 12
명령을 잘 실행했습니다.

* 연결을 끊는경우
C:\Documents and Settings\lee>net use \\Centos1\public /del

* 연결을 전부 끊는경우
C:\Documents and Settings\lee>net use * /del
새 연결 정보가 저장됩니다.

*. pdbedit 로 삼바 계정을 관리할 수 있다.
[root@centos1 mswin1]# pdbedit -L
user2:1012:
suser1:1009:
user1:500:
smuser1:1011:
[root@centos1 mswin1]#

*. windows 에서 삼바서버 접속시 한글파일명이 깨져서 보이는 경우에는
다음과 같이 smb.conf 파일에 문자셋 설정을 하여야 한다.
# ----------------------- Network Related Options -------------------------
dos charset=euckr
unix charset=UTF-8

*. MSwindos 에서 웹페이지를 작성하여 /usr/local/apache/htdocs 디렉토리에 저장하는 경우
에는 아래처럼 하면 된다.
htdocs 에 파일을 저장할 수 있는 권한을 smbuser1 이라는 삼바계정으로 하고자 한다면
[root /etc/samba]# chown -R smbuser1 /usr/local/apache/htdocs
그리고 smbuser1의 계정으로 자신의 홈디렉토리에 htodcs 디렉토리를 심볼릭 링크 걸면된다.
[smbuser1@centos1 ~]$ ln -s /usr/local/apache/htdocs htdocs
여기까지 작업이 끝나면 mswindows 에서 쉽게 리눅스의 htdocs 에 파일을 저장할 수 있다.

*. iptables 을 사용하는 경우 remote에서 삼바서버에 접속하기 위해서 삼바서버포트를
열어둬야 한다.
[root@centhost ~]# vi /etc/sysconfig/iptables
아래 내용 추가

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 137:139 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137:139 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT

'Log > Linux' 카테고리의 다른 글

ACL (Access Control List)  (0) 2011.11.28
메일서비스(sendmail)  (0) 2011.11.28
IDS - snort 1  (0) 2011.11.28
tcpdump - packet capture / 분석  (0) 2011.11.28
포트스캔 및 차단  (0) 2011.11.28
Posted by logwatch

2011. 11. 28. 19:35 Log/Linux

IDS - snort 1

snort (http://www.snort.org)

참고 문서 : snort.pdf

네트워크기반 IDS

Ineternet ---- Router ------------ firewall ------------------ intranet
| | |
IDS | IDS
|----- IDS
|
DMZ

- open source NIDS
실시간 네트워크 트랙픽 분석과 로깅을 할수 있다.
프로토콜 분석, 다양한 공격을 탐지할 수 있다.
버퍼오버플로오 스탤스 스캔 , CGI 공격, OS 핑거프린터 시도를 포함한 다양한 공격을 탐지해 낼수 있다.

- 설치

snort 설치전에 필요한 패키지를 먼저 설치하여야 한다.

1. mysql 서버 및 클라이언트를 설치하여야 한다.
2. libpcap 을 설치해야 한다. (yum 으로 설치가능하다)
- snort 를 설치하기위해서는 libpcap을 컴파일해서 설치하는것이 더 편리한거
같습니다.
http://www.tcpdump.org/release (여기서 libpcap 소스파일을 다운로드 받는다)
다운받아서 압축을 풀고 ./configure ; make ; make install

4. http://www.pcre.org 에서
pcre(Perl Compatible Regular Expressions)최신 소스 패키지를 다운로드 받는다.
압축을 풀고 ./confiugre 스크립트를 옵션없이 실행하고 컴파일 한다.
./configure ; make ; make install

5. snort 설치
http://www.snort.org
http://www.snort.org/downloads 여기서 소스파일을 받는다.
6월14일 현재 최신버전은 snort-2.8.6.tar.gz 이다.

압축을 풀고
./configure --prefix=/usr/local/snort-2.8.6 --with-mysql=/usr/local/mysql

옵션설명
--prefix ; make install 이 끝났을때 snort 가 설치될 디렉토리를 명시하기 위한것.
--with-mysql ; snort 가 mysql 과 연동되기 위한 옵션.
에러없이 configure 가 완료되면
make && make install

*. 아래내용은 snort 가 패킷을 table 에 저장하기 위해서
필요한 테이블을 생성하는 작업이다.

[root@centos1 libpcap-0.9.4]# mysql -u root -p
mysql> create database snort
mysql> use snort
Database changed
mysql> source /tmp/snort-2.8.6/schemas/create_mysql
mysql> show tables;
+------------------+
| Tables_in_snort |
+------------------+
| data |
| detail |
| encoding |
| event |
| icmphdr |
| iphdr |
| opt |
| reference |
| reference_system |
| schema |
| sensor |
| sig_class |
| sig_reference |
| signature |
| tcphdr |
| udphdr |
+------------------+
16 rows in set (0.01 sec)

mysql>

mysql> grant insert,select on snort.* to snort@localhost
-> identified by 'pass1234'; <= snort 계정을 만들고 암호는 pass1234 로 지정.
그리고 snort db 에 대해서 insert 권한과 select 권한을 허락함.
Query OK, 0 rows affected (0.06 sec)

mysql>flush privileges; <= user table reload

세가지 주 사용방법.
- tcpdump 와 같은 packet sniffer 로 사용.
- 패킷 logger 로 사용(network traffic 디버깅에 유용하다)
- 네트워크 탐지 시스템으로 사용.

snort 로그패킷은 database 또는 아스키코드 포맷으로 변환할 수 있다.

-b tcpdump 패킷처럼 바이너리형태로 캡처한다. 이 옵션은 text 형태의 변환과정이 필요없으므로
빠르다. 디폴트 파일명은 snort.log.timestamp 형식이다.
다른이름으로 캡처하려면 -L 옵션이 필요하다.

-c configfile
config 파일이 있는 rule 을 사용한다.

-e Display/log the link layer packet headers.

-b Log packets in tcpdump format (much faster!)
-c Use Rules File
-d Dump the Application Layer
-D Run Snort in background (daemon) mode
-T Test and report on the current Snort configuration
-v Be verbose
-V Show version number
-X Dump the raw packet data starting at the link layer


packet sniffer 방식

[root@centos1 snort]# snort -v
Running in packet dump mode

--== Initializing Snort ==--
Initializing Output Plugins!
***
*** interface device lookup found: eth0
***
Initializing Network Interface eth0
Decoding Ethernet on interface eth0

--== Initialization Complete ==--

,,_ -*> Snort! <*-
o" )~ Version 2.8.6 (Build 38)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using PCRE version: 8.02 2010-03-19

Not Using PCAP_FRAMES
05/27-19:46:09.562589 ARP who-has 192.168.0.21 tell 192.168.0.1

05/27-19:46:09.565495 ARP reply 192.168.0.21 is-at 0:17:31:15:CD:E6

05/27-19:46:11.026841 192.168.0.1:3072 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:0 IpLen:20 DgmLen:293 DF
Len: 265
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
05/27-19:46:11.028662 192.168.0.1:3072 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:0 IpLen:20 DgmLen:365 DF
Len: 337
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

05/27-19:46:11.030237 192.168.0.1:3072 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:0 IpLen:20 DgmLen:361 DF
Len: 333
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

- 패킷 logging 방식 (패킷을 파일에 저장하는 방식)

먼저 패킷을 저장할 디렉토리를 생성한다.
mkdir /var/log/snort


[root@centos1 snort]# snort -vde -l /var/log/snort -K pcap

-v : verbose
-d : 애플리케이션 계층의 데이터를 Hex code나 아스키 코드로 출력한다.
-e : MAC 주소 정보도 출력한다.
-l : log를 저장할 디렉토리
-K [logging-mode] : default logging mode is pcap.
유효한 옵션은 pcap, ascii, none.
pcap : pcap(tcpdump) format 으로 저장
ascii : 아스키포맷으로 저장
none : 로깅하지 않음.
디폴트 로깅디렉토리는 /var/log/snort 임.

*. 기타옵션
snot -vde port 80 ; 웹 서비스 관련 패킷만 캡처
snot -vd host 192.168.100.1 ; 특정 호스트 관련 패킷만 캡쳐
snot -vde udp ; udp 프로토콜 관련 패킷만 캡쳐


[root@centos1 snort]# snort -vd -l /var/log
-l : logging 디렉토리 지정.

[root@centos1 snort]# ls /var/log/snort.log.*
/var/log/snort.log.1274959324
[root@centos1 snort]#

root@centos1 snort]# snort -vd -l /var/log -K ascii

침입탐지모드(NIDS mode)
- rule 을 이용한 패킷캡처.

*. snort rule 설치후 test ( 에러가 나면 아래처럼 에러를 수정한다)
==========================================================
root@centos1 /usr/local/snort-2.8.6/etc]# snort -c ./snort.conf
Running in IDS mode

--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "./snort.conf"
PortVar 'HTTP_PORTS' defined : [ 80 1220 2301 3128 7777 7779 8000 8008 8028 8080 8180 8888 9999 ]
PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]
PortVar 'ORACLE_PORTS' defined : [ 1024:65535 ]
PortVar 'SSH_PORTS' defined : [ 22 ]
Detection:
Search-Method = AC-Full-Q
Split Any/Any group = enabled
Search-Method-Optimizations = enabled
Maximum pattern length = 20
ERROR: parser.c(5161) Could not stat dynamic module path "/usr/local/lib/snort_dynamicpreprocessor/": No such file or directory.
Fatal Error, Quitting..
[root@centos1 /usr/local/snort-2.8.6/etc]#
설정 파일안에 경로가 잘못되어 에러가 발생했다.
정확한 파일경로를 찾아서 설정파일에서 해당파일 경로를 수정한다.

[root@centos1 /usr/local/snort-2.8.6]# find . -name snort_dynamic*
./lib/snort_dynamicengine
./lib/snort_dynamicpreprocessor
./src/snort_dynamicsrc
[root@centos1 /usr/local/snort-2.8.6]#

[root@centos1 /usr/local/snort-2.8.6/etc]# snort -c ./snort.conf
Running in IDS mode

--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "./snort.conf"
PortVar 'HTTP_PORTS' defined : [ 80 1220 2301 3128 7777 7779 8000 8008 8028 8080 8180 8888 9999 ]
PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]
PortVar 'ORACLE_PORTS' defined : [ 1024:65535 ]
PortVar 'SSH_PORTS' defined : [ 22 ]
Detection:
Search-Method = AC-Full-Q
Split Any/Any group = enabled
Search-Method-Optimizations = enabled
Maximum pattern length = 20
ERROR: parser.c(5161) Could not stat dynamic module path "/usr/local/snort-2.8.6/lib/snort_dynamicrules": No such file or directory.
Fatal Error, Quitting..
에러가 발생했다.
[root@centos1 /usr/local/snort-2.8.6/etc]# find . -name snort_dynamicrules
[root@centos1 /usr/local/snort-2.8.6/etc]# cd ..
[root@centos1 /usr/local/snort-2.8.6]# find . -name snort_dynamicrules
[root@centos1 /usr/local/snort-2.8.6]# ; 해당 파일이 없다.
설정파일에서 주석처리해야 한다.

[root@centos1 /usr/local/snort-2.8.6/etc]# snort -c ./snort.conf
...
...
...
161 client (Footprint)
443 client (Footprint) server (Footprint)
Stream5 UDP Policy config:
Timeout: 180 seconds
ERROR: ./snort.conf(193) => Invalid keyword 'compress_depth' for 'global' configuration.
Fatal Error, Quitting..
[root@centos1 /usr/local/snort-2.8.6/etc]# ; 193라인에서 에러 발생

파일열어서 주석처리한다. compress_depth 2048
========================================================



snort 를 실행하고 패킷이 수집되는 동안 잠시기다렸다가 끝내고 확인해보면
아래와 같이 패킷이 저장된 파일을 확인할 수 있다.

[root@centos1 snort]# pwd
/var/log/snort
[root@centos1 snort]# file snort.log.1274957588
snort.log.1274957588: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 1514)

[root@centos1 snort]# ls -F
111.67.211.105/ 192.168.0.21/ PACKET_NONIP snort.log.1274947830 snort.log.1274949793
192.168.0.1/ 192.168.100.100/ snort.log.1274943849 snort.log.1274949769 snort.log.1274957588
[root@centos1 snort]#

* alert 파일 내용
[**] [1:1002:13] WEB-IIS cmd.exe access [**]
[Classification: Web Application Attack] [Priority: 1]
05/28-09:03:28.187553 192.168.100.100:35845 -> 192.168.100.1:80
TCP TTL:64 TOS:0x10 ID:7084 IpLen:20 DgmLen:66 DF
***AP*** Seq: 0x2AF77A2 Ack: 0x610DE601 Win: 0x5C TcpLen: 32
TCP Options (3) => NOP NOP TS: 247890360 87338255

[**] [119:19:1] (http_inspect) LONG HEADER [**]
[Priority: 3]
05/28-09:05:22.604075 192.168.0.29:1402 -> 202.131.27.89:80
TCP TTL:128 TOS:0x0 ID:38217 IpLen:20 DgmLen:1454 DF
***A**** Seq: 0xAC6BD2D Ack: 0x9CA28C12 Win: 0x4470 TcpLen: 20

snort 가 남긴 alert 파일 내용이다.

snort.conf 파일에 보면
include $RULE_PATH/web-iis.rules

그리고 rule 파일은 rule 을 설치한 디렉토리에
web-iis.rules 파일에 보면

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server,established; uricontent:" cmd.exe"; fast_pattern; nocase; metadata:policy balanced-ips drop, policy connectivity-ips drop, policy security-ips drop, servi ce http; classtype:web-application-attack; sid:1002; rev:13;)

이 rule 설정에 의해 위에 출력된것과 같은 alert 메세지가 남는다.


*. mysql db 와 연동이 되게 하기위해서는
운영중인 snort 를 종료시키고

=> killall snort

snort.conf 파일에서 아래내용을 확인하고 수정한다.

# database
# output database: alert, , user= password= test dbname= host=
# output database: log, , user= password= test dbname= host=

아래처럼 수정한다.

# database
output database: alert, mysql, user=snort password=pass1234 dbname=snort host=localhost
output database: log, mysql, user=snort password=pass1234 dbname=snort host=localhost

그런다음

다시 snort 를 구동한다.

snort -c 경로명/snort.conf

snort 가 구동될때 에러가 발생하면 에러를 잡고 다시 구동한다.


그리고 snort 계정으로 db 접속후 아래와 같이 확인해보면
table 에 로그가 잘 저장되어 있는것을 확인할 수 있다.

mysql> select * from signature
-> ;
+--------+----------------------------------------------------------------------+--------------+--------------+---------+---------+---------+
| sig_id | sig_name | sig_class_id | sig_priority | sig_rev | sig_sid | sig_gid |
+--------+----------------------------------------------------------------------+--------------+--------------+---------+---------+---------+
| 1 | (portscan) TCP Portscan | 0 | 3 | NULL | 1 | 122 |
| 2 | (portscan) Open Port | 0 | 3 | NULL | 27 | 122 |
| 3 | Consecutive TCP small segments exceeding threshold | 0 | 3 | 1 | 12 | 129 |
| 4 | WEB-IIS cmd.exe access | 1 | 1 | 13 | 1002 | 1 |
| 5 | ICMP Destination Unreachable Fragmentation Needed and DF bit was set | 2 | 3 | 7 | 396 | 1 |
| 6 | (http_inspect) LONG HEADER | 0 | 3 | 1 | 19 | 119 |
| 7 | Bad segment, adjusted size <= 0 | 0 | 3 | 1 | 5 | 129 |
+--------+----------------------------------------------------------------------+--------------+--------------+---------+---------+---------+
7 rows in set (0.03 sec)

mysql> select * from sig_class;
+--------------+------------------------+
| sig_class_id | sig_class_name |
+--------------+------------------------+
| 1 | web-application-attack |
| 2 | misc-activity |
+--------------+------------------------+
2 rows in set (0.02 sec)

mysql>

'Log > Linux' 카테고리의 다른 글

메일서비스(sendmail)  (0) 2011.11.28
samba 서비스  (0) 2011.11.28
tcpdump - packet capture / 분석  (0) 2011.11.28
포트스캔 및 차단  (0) 2011.11.28
로그서비스 - syslog / logrotate / logwatch  (0) 2011.11.28
Posted by logwatch

2011. 11. 28. 19:35 Log/Linux

tcpdump - packet capture / 분석

tcpdump - dump traffic on a network http://www.tcpdump.org/

tcpdump 는 네트워크 인터페이스상의 패킷 헤더를 출력한다.
그리고 파일로 출력하여 분석해 볼수도 있다. 파일로 출력할 경우에는 -w 옵션을 사용하며
저장된 파일내용을 볼때는 -r 옵션을 사용한다.

tcpdump 는 패킷을 캡쳐할 카운터를 지정하지 않는 경우에는 SIGINT 또는 SIGTERM signal 을 받을때까지
계속 실행된다.

tcpdump 사용법

tcpdump --help
tcpdump version 3.9.4
libpcap version 0.9.4
Usage: tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ]
[ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ] [ -y datalinktype ] [ -Z user ]
[ expression ]
[root@centos1 ~]#

ex)
tcpdump -i eth0 -w /tmp/tcpdump.pkt ; eth0 으로 패킷캡처하여 파일로저장
tcpdump -r /tmp/tcpdump.pkt ; 저장된 파일 모니터로 출력.
tcpdump -i eth0 -c 10 ; 10개만 캡처.
tcpdump -w /tmp/tcpdump.pkt -s 1500 tcp port 21 and host client
-s 1500 ; 캡처할 패킷길이(1500 byte 는 전체길이를 뜻한다)
tcpdump host client
tcpdump -nn host client and port 21
tcpdump -nne host client and port 21

[root@centos1 ~]# tcpdump -n host 192.168.100.100 and port 23 -w /tmp/tcpdump.pkt
[root@centos1 ~]# tcpdump -r /tmp/tcpdump.pkt | head -4
reading from file /tmp/tcpdump.pkt, link-type EN10MB (Ethernet)
20:09:51.200931 IP 192.168.100.100.59708 > 192.168.100.1.telnet: S 3013182863:3013182863(0) win 5840
20:09:51.205507 IP 192.168.100.1.telnet > 192.168.100.100.59708: S 3185271194:3185271194(0) ack 3013182864 win 5792
20:09:51.211135 IP 192.168.100.100.59708 > 192.168.100.1.telnet: . ack 1 win 92
20:09:52.719159 IP 192.168.100.1.telnet > 192.168.100.100.59708: P 1:13(12) ack 1 win 91

옵션설명
-n : Don’t convert host addresses to names. This can be used to avoid DNS lookups.
호스트 이름을 도메인 또는 호스트이름으로 풀이하지 않고 ip 주소로 출력해준다.
DNS 를 찾지 않으면 그만큼의 트래픽을 줄일 수 있다.

20:09:51.200931 : 패킷수집시간
192.168.100.100.59708 > 192.168.100.1.telnet : source ip.포트번호 > destination ip.포트번호(또는 서비스이름)
*. 포트번호가 /etc/services 파일에 등록이 되어 있는경우라면 서비스이름으로 표시된다.
S : 패킷 Sequence number
win 5840 mss 1460 : max-segment-size
sackOK :
nop:

패킷 flag
S : SYN - 연결요청
F : FIN - 연결종료요청
R : RST - 즉시연결종료
P : PSH - 프로세스로 데이터전송
U : URG - 긴급한 데이터에 데이터전송 우선순위를 할당.
. : flag 가 설정되지 않았음.

*. 패킷출력내용중 세번째 라인까지가 3way hand-shaking 이다.
* 네번째 라인부터는 데이터 전송.

[root@centos1 ~]# tcpdump -r /tmp/tcpdump.pkt | tail -5
reading from file /tmp/tcpdump.pkt, link-type EN10MB (Ethernet)
20:10:12.538184 IP 192.168.100.1.telnet > 192.168.100.100.59708: P 1075:1082(7) ack 106 win 91
20:10:12.543157 IP 192.168.100.100.59708 > 192.168.100.1.telnet: . ack 1082 win 159
20:10:12.674086 IP 192.168.100.1.telnet > 192.168.100.100.59708: F 1082:1082(0) ack 106 win 91
20:10:12.686700 IP 192.168.100.100.59708 > 192.168.100.1.telnet: F 106:106(0) ack 1083 win 159
20:10:12.688650 IP 192.168.100.1.telnet > 192.168.100.100.59708: . ack 107 win 91
[root@centos1 ~]#

* 패킷 출력 결과중 끝에서 3번째 라인부터가 접속종료 과정이다.

비활성화 되어 있는 서비스로 접속할 경우

[root@centos1 ~]# tcpdump -n host 192.168.100.100 and port 23 -w /tmp/tcpdump2.pkt
[root@centos100 ~]# telnet 192.168.100.1
Trying 192.168.100.1...
telnet: connect to address 192.168.100.1: Connection refused
telnet: Unable to connect to remote host: Connection refused
[root@centos100 ~]#
[root@centos1 ~]# tcpdump -r /tmp/tcpdump20.pkt
reading from file /tmp/tcpdump20.pkt, link-type EN10MB (Ethernet)
20:44:35.063400 IP 192.168.100.100.56378 > 192.168.100.1.telnet: S 787328461:787328461(0) win 5840
20:44:35.067331 IP 192.168.100.1.telnet > 192.168.100.100.56378: R 0:0(0) ack 787328462 win 0
[root@centos1 ~]#

*. 서버측에서 Sequence number 로 응답하는대신 R flag 를 세팅하여 보내고 클라이언트측에서 그 패킷을 받는 즉시 연결종료된다.

방화벽에 막혀있는경우
[root@centos1 ~]# iptables -F
[root@centos1 ~]# iptables -A INPUT -s 192.168.100.100 -p tcp --dport telnet -j DROP
[root@centos1 ~]# tcpdump -n host 192.168.100.100 and port 23 -w /tmp/tcpdump3.pkt
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

[root@centos100 ~]# telnet 192.168.100.1
Trying 192.168.100.1...
telnet: connect to address 192.168.100.1: Connection timed out
telnet: Unable to connect to remote host: Connection timed out
[root@centos100 ~]#

[root@centos1 ~]# tcpdump -r /tmp/tcpdump4.pkt
reading from file /tmp/tcpdump4.pkt, link-type EN10MB (Ethernet)
20:58:16.099647 IP 192.168.100.100.43630 > 192.168.100.1.telnet: S 1498268765:1498268765(0) win 5840
20:58:20.900736 IP 192.168.100.100.43630 > 192.168.100.1.telnet: S 1498268765:1498268765(0) win 5840
20:58:27.744399 IP 192.168.100.100.43630 > 192.168.100.1.telnet: S 1498268765:1498268765(0) win 5840
20:58:40.580851 IP 192.168.100.100.43630 > 192.168.100.1.telnet: S 1498268765:1498268765(0) win 5840
20:59:08.779405 IP 192.168.100.100.43630 > 192.168.100.1.telnet: S 1498268765:1498268765(0) win 5840
21:00:05.366996 IP 192.168.100.100.43630 > 192.168.100.1.telnet: S 1498268765:1498268765(0) win 5840
[root@centos1 ~]#

*. 클라이언트가 같은 패킷을 계속 보내지만 서버가 응답하지 않는다.

[root@centos1 ~]# iptables -F
[root@centos1 ~]# iptables -A INPUT -s 192.168.100.100 -p tcp --dport telnet -j REJECT ; REJECT 로 거부할 경우.

[root@centos1 ~]# tcpdump -n host 192.168.100.100 and port 23 -w /tmp/tcpdump5.pkt
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

root@centos100 ~]# telnet 192.168.100.1
Trying 192.168.100.1...
telnet: connect to address 192.168.100.1: Connection refused
telnet: Unable to connect to remote host: Connection refused
[root@centos100 ~]#

[root@centos1 ~]# tcpdump -r /tmp/tcpdump5.pkt
reading from file /tmp/tcpdump5.pkt, link-type EN10MB (Ethernet)
21:05:06.955754 IP 192.168.100.100.51055 > 192.168.100.1.telnet: S 1879397660:1879397660(0) win 5840
[root@centos1 ~]#

*. DROP 과 다른점이 없어보인다. 차이가 있다면 클라이언트가 패킷을 하나만 보내고 끝난다.

udp를 기반으로 하는 서비스인경우
[root@centos1 tftpboot]# tcpdump -n host 192.168.100.100 and port 69 -w /tmp/tcpdump9.pkt

[root@centos100 temp2]# tftp 192.168.100.1 -c get a.txt
[root@centos1 tftpboot]# tcpdump -r /tmp/tcpdump9.pkt
reading from file /tmp/tcpdump9.pkt, link-type EN10MB (Ethernet)
22:27:08.416478 IP 192.168.100.100.33136 > 192.168.100.1.tftp: 13 RRQ "1" netascii
22:27:08.734306 IP 192.168.100.100.33136 > 192.168.100.1.tftp: 13 RRQ "2" netascii
22:27:09.029195 IP 192.168.100.100.33136 > 192.168.100.1.tftp: 13 RRQ "3" netascii

* udp 는 3way - hand-shaking 이 없다.

*. udp 서비스가 방화벽에 막혀 있는 경우
[root@centos1 tftpboot]# iptables -F
[root@centos1 tftpboot]# iptables -A INPUT -p udp --dport 69 -j DROP
[root@centos1 tftpboot]# tcpdump -n host 192.168.100.100 and port 69 -w /tmp/tcpdump10.pkt
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

[root@centos100 temp2]# tftp 192.168.100.1 -c get a.txt b.txt c.txt
Transfer timed out.
[root@centos100 temp2]#

[root@centos1 tftpboot]# tcpdump -r /tmp/tcpdump10.pkt
reading from file /tmp/tcpdump10.pkt, link-type EN10MB (Ethernet)
22:34:29.379785 IP 192.168.100.100.49576 > 192.168.100.1.tftp: 17 RRQ "a.txt" netascii
22:34:34.796127 IP 192.168.100.100.49576 > 192.168.100.1.tftp: 17 RRQ "a.txt" netascii
22:34:40.635185 IP 192.168.100.100.49576 > 192.168.100.1.tftp: 17 RRQ "a.txt" netascii
22:34:45.510690 IP 192.168.100.100.49576 > 192.168.100.1.tftp: 17 RRQ "a.txt" netascii
22:34:51.942627 IP 192.168.100.100.49576 > 192.168.100.1.tftp: 17 RRQ "a.txt" netascii
[root@centos1 tftpboot]#

*. 패킷에서 패스워드 찾기

[root@centos1 tftpboot]# tcpdump -X -r /tmp/telnet.pkt > /tmp/telnet.txt

[root@centos100 temp2]# telnet 192.168.100.1
Trying 192.168.100.1...
Connected to 192.168.100.1 (192.168.100.1).
Escape character is '^]'.
CentOS release 5.3 (Final)
Kernel 2.6.18-128.el5 on an i686
login: user1
Password:
Last login: Wed Jun 2 20:24:36 from 192.168.100.100
[user1@centos1 ~]$ logout
Connection closed by foreign hos

[root@centos1 tftpboot]# tcpdump -X -r /tmp/telnet.pkt > /tmp/telnet.txt

-X : Print each packet (minus its link level header) in hex and ASCII. This is very handy for analysing new protocols.

-X 옵션을 사용하면 hexa 코드와 아스키코드로 출력해주므로 그냥 보기에는 출력결과가 많아서 어렵다.
그러므로 파일로 저장해서 특정문자열을 검색하는 방법으로 보는것이 패스워드를 쉽게
찾을수 있는 방법이다.
vi 편집기로 열어서 Password 라는 문자열을 검색한 후 아래쪽을 보면 캡쳐된 암호가
보일것이다.

패스워드는 apple 이다. 내용이 많아서 편의상 app 까지만 출력하였다.
각 패킷에서의 마지막 문자가 암호인데 한 패킷씩 건너뛰고 저장되어 있다.
당연히 그렇게 저장된다.

0x0030: 06b2 00d3 5061 7373 776f 7264 3a20 ....Password:.
22:50:28.490812 IP 192.168.100.100.55824 > 192.168.100.1.telnet: . ack 146 win 92
0x0000: 4510 0034 1460 4000 4006 dc9d c0a8 6464 E..4.`@.@.....dd
0x0010: c0a8 6401 da10 0017 e1f1 fd47 1bf1 13c1 ..d........G....
0x0020: 8010 005c fad9 0000 0101 080a 06b2 0140 ...\...........@
0x0030: 1114 2fb7 ../.
22:50:29.198462 IP 192.168.100.100.55824 > 192.168.100.1.telnet: P 90:91(1) ack 146 win 92
0x0000: 4510 0035 1461 4000 4006 dc9b c0a8 6464 E..5.a@.@.....dd
0x0010: c0a8 6401 da10 0017 e1f1 fd47 1bf1 13c1 ..d........G....
0x0020: 8018 005c 9716 0000 0101 080a 06b2 03fa ...\............
0x0030: 1114 2fb7 61 ../.a
22:50:29.242685 IP 192.168.100.1.telnet > 192.168.100.100.55824: . ack 91 win 91
0x0000: 4510 0034 050c 4000 4006 ebf1 c0a8 6401 E..4..@.@.....d.
0x0010: c0a8 6464 0017 da10 1bf1 13c1 e1f1 fd48 ..dd...........H
0x0020: 8010 005b f52a 0000 0101 080a 1114 32ac ...[.*........2.
0x0030: 06b2 03fa ....
22:50:29.494741 IP 192.168.100.100.55824 > 192.168.100.1.telnet: P 91:92(1) ack 146 win 92
0x0000: 4510 0035 1462 4000 4006 dc9a c0a8 6464 E..5.b@.@.....dd
0x0010: c0a8 6401 da10 0017 e1f1 fd48 1bf1 13c1 ..d........H....
0x0020: 8018 005c 8420 0000 0101 080a 06b2 04fa ...\............
0x0030: 1114 32ac 70 ..2.p
22:50:29.497150 IP 192.168.100.1.telnet > 192.168.100.100.55824: . ack 92 win 91
0x0000: 4510 0034 050d 4000 4006 ebf0 c0a8 6401 E..4..@.@.....d.
0x0010: c0a8 6464 0017 da10 1bf1 13c1 e1f1 fd49 ..dd...........I
0x0020: 8010 005b f32a 0000 0101 080a 1114 33ab ...[.*........3.
0x0030: 06b2 04fa ....
22:50:29.615998 IP 192.168.100.100.55824 > 192.168.100.1.telnet: P 92:93(1) ack 146 win 92
0x0000: 4510 0035 1463 4000 4006 dc99 c0a8 6464 E..5.c@.@.....dd
0x0010: c0a8 6401 da10 0017 e1f1 fd49 1bf1 13c1 ..d........I....
0x0020: 8018 005c 82a4 0000 0101 080a 06b2 0576 ...\...........v
0x0030: 1114 33ab 70 ..3.p

이하 생략...

Let’s assume that we want to watch packets used in establishing a TCP connection. Recall that TCP uses a 3-way handshake protocol
when it initializes a new connection; the connection sequence with regard to the TCP control bits is

1) Caller sends SYN
2) Recipient responds with SYN, ACK
3) Caller sends ACK



URG | ACK | PSH | RST | SYN | FIN

URG : Urgent pointer is valid
RST: Reset the connection
ACK : Acknowlegement is valid
SYN : Syncronize sequence numbers
PSH : Request for push
FIN : Terminate the connection


TCP 연결 (3way hand shaking)

Client Server
Segment 1: SYN
| ---------------- seq : 1000, ack : - --------------> |
| |
| Segment 2: SYN ACK |
|<---------------- seq : 4000, ack : 1001 ---------|
| |
| Segment 3: ACK |
| -------------------------- ack ------------------->|
| |
v v
Time Time

TCP data 전송

Client Server
Segment 1:
| ---------------- seq : 2000, 200bytes : - -------------->|
|| |
| <-------------------- ACK :2200 ------------------------- |
| | | Segment 2: |
|<---------------- seq : 2200, 200 bytes ----------------- |
| |
| -------------------- ACK : 2400 -------------------------> |
| |
| Segment 3: |
| -------------------- seq : 2400, 200 bytes -----------> |

time out 까지 응답없음.
| |
| Segment 3: (다시 전송) |
| ----------------- seq : 2400, 200bytes ---------------> |
| |
v v
Time Time

TCP 연결 종료 과정

Client Server
Segment 1: FIN
| ---------------- seq : 2000, ack : - --------------> |
| |
| Segment 2: ACK |
|<---------------- seq : 5000, ack : 2001 ---------|
| |
| Segment 3: FIN |
| <-------------------- seq : 5001, ack 2001 -------- |
| |
| Segment 4: ACK |
| ----------------- ack 5002 ------------------------->|
| |
v v
Time Time

TCP 상태
state Description
--------------------------------------------------------------------------------
closed : There is no connection. (연결되지 않았다)
listen : The server is waiting for calls from the client (클라이언트의 접속을 기다리고 있다)
syn-sent : A connection request is sent; waiting for acknowlegement. (접속 요청을 보내고 응답을 기다리고 있다)
syn-recvd : A connection request is received (접속요청에 대한 응답을 받았다)
established : Connection is established (접속완료)

fin-wait-1 : The application has requested the closing of the connection. (연결 끊기를 요청)
fin-wait-2 : The other side has accepted the closing of the connection. (요청에 대한 응답을 받았다)
time-wait : Waiting for retransmitted segments to die.(연결 끊기에 대한 응답을 다시 기다림)
close-wait : The server is waiting for the application to close.(서버가 클라이언트로부터 연결종료를 기다림)
last-ack : The server is waiting for the last acknowlegement. (서버가 클라이언트로부터 연결종료에 대한 마지막 응답을 기다림)

'Log > Linux' 카테고리의 다른 글

samba 서비스  (0) 2011.11.28
IDS - snort 1  (0) 2011.11.28
포트스캔 및 차단  (0) 2011.11.28
로그서비스 - syslog / logrotate / logwatch  (0) 2011.11.28
리눅스 방화벽 - iptables  (0) 2011.11.28
Posted by logwatch

2011. 11. 28. 19:34 Log/Linux

포트스캔 및 차단

Nmap (http://www.nmap.org)

특징

1. 호스트가 존재하는지 검사
2. 어떤 서비스가 실행중인지 검사
3. 운영체제 검사

scan 유형

connect scan : connect 함수의 에러값을 검사해서 포트가 닫혔는지 열렸는지 검사한다.
패킷을 변경하지 않으므로 일반 사용자도 사용가능

장점 : 빠르고 정확하며 특별한 권한이 필요없다.
단점 : 쉽게 탐지되고 기록된다.

1. 포트가 열려 있는경우.
Client -> SYN
Server -> SYN|ACK
Client -> ACK

2. 포트가 닫혀 있는경우
Client -> SYN
Server -> RST|ACK
Client -> RST

RST|ACK flag 는 클라이언트의 연결 요청을 취소
즉 포트는 lisening 상태가 아니며 닫혀 있음을 의미.

half open
syn scan : syn 패킷을 보내면 Three way handshaking 때문에 상대편에서 오는 syn 패킷의 내용을
보고 포트가 닫혔는지 열렸는지 검사한다.

Client -> SYN
Server -> SYN|ACK
Client -> RST

시스템의 포트가 열려 있으면, SYN|ACK flag로 답한다. RST flag는 커널의 tcp/ip 스택코드에서
자동으로 보내므로 클라이언트에서는 RST 패킷을 보낼필요가 없다.
닫힌 포트에서는 RST|ACK 로 응답한다.


stealth
FIN scan : FIN 패킷을 보내면 포트가 닫혀 있을경우,RST 패킷을 보내는 Unix 서버들의 특징을 이용해서
포트가 닫혔는지 열렸는지 검사한다.
Null scan : 어떤 flag도 없는 패킷을 보내 되돌아오는 RST 값을 검사한다.
Xmas scan : 모든 flag 를 세팅한 패킷을 보내 RST 값을 검사한다.
ACK scan : 포트에 ACK 패킷을 보내 RST 응답을 받으면 그 포트는 unfilterd 이며 아무런 응답이 없으면
filterd 이다.
Fragment scan : 패킷을 2개로 쪼개어 보낸다.
Window scan : ACK 패킷을 보내어 TCP window 크기의 변화를 살핀다.

기타
ping scan : icmp 의 echo 기능을 이용한다.
TCP ping scan : 80 포트에 syn 패킷을 보낸다.

*. nmap 사용옵션 예제

nmap -sT localhost
nmap abc.co.kr/24 192.168.10/24 192.168.100.0-255 192.168.1.*

usage : nmap
nmap [Scan Type...] [Options] {target specification}

[root@centos1 /]# nmap -sT localhost

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-02-09 15:28 KST
Interesting ports on centos1 (127.0.0.1):
Not shown: 1668 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
443/tcp open https
631/tcp open ipp
672/tcp open unknown
953/tcp open rndc
3306/tcp open mysql

Nmap finished: 1 IP address (1 host up) scanned in 0.700 seconds


-sT :

[root@centos1 /]# nmap -sS client

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-02-09 15:44 KST
Interesting ports on centos100 (192.168.100.100):
Not shown: 1676 closed ports
PORT STATE SERVICE
22/tcp open ssh
23/tcp open telnet
111/tcp open rpcbind
669/tcp open unknown
MAC Address: 00:0C:29:C7:CA:72 (VMware)

Nmap finished: 1 IP address (1 host up) scanned in 1.590 seconds
[root@centos1 /]# nmap client

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-02-09 15:46 KST
Interesting ports on centos100 (192.168.100.100):
Not shown: 1676 closed ports
PORT STATE SERVICE
22/tcp open ssh
23/tcp open telnet
111/tcp open rpcbind
669/tcp open unknown
MAC Address: 00:0C:29:C7:CA:72 (VMware)

Nmap finished: 1 IP address (1 host up) scanned in 1.437 seconds
[root@centos1 /]# nmap -sT client

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-02-09 15:46 KST
Interesting ports on centos100 (192.168.100.100):
Not shown: 1676 closed ports
PORT STATE SERVICE
22/tcp open ssh
23/tcp open telnet
111/tcp open rpcbind
669/tcp open unknown
MAC Address: 00:0C:29:C7:CA:72 (VMware)

Nmap finished: 1 IP address (1 host up) scanned in 3.296 seconds

[root@centos1 ~]# nmap -A redhat

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-03-22 05:48 KST
Interesting ports on redhat (192.168.203.3):
Not shown: 1674 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 1.1.3
22/tcp open ssh OpenSSH 3.5p1 (protocol 1.99)
23/tcp open telnet Linux telnetd
53/tcp open domain ISC Bind 9.2.1
80/tcp open http Apache httpd 2.0.40 ((Red Hat Linux))
111/tcp open rpcbind 2 (rpc #100000)
MAC Address: 00:0C:29:85:50:D9 (VMware)
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.4.0 - 2.5.20, Linux 2.4.7 - 2.6.11
Service Info: OSs: Unix, Linux

Nmap finished: 1 IP address (1 host up)


portsentry

portsentry는 실시간으로 이런 portscan을 탐지하고 대응하기 위해 만들어진 프로그램.
portsentry는 정상적인 스캔과 스탤스스캔 모두 탐지가능
(패키지에 포함되어 있는 README.install을 참조)

주요 옵션

-tcp - Basic port-bound TCP mode (기본 포트 제한 TCP 모드)
-udp - Basic port-bound UDP mode (기본 포트 제한 UDP 모드)
-stcp - Stealth TCP scan detection mode (스텔스 TCP 스캔 탐지 모드)
호스트로 들어오는 패킷이 감시되고 있는 포트로 향한다면, PortSentry는 호스트를 방어하기
위해 동작한다.
이 방법은 connect() 스캔과 SYN/half-open 스캔과 FIN 스캔을 탐지할 것이다.
UDP/스텔스 스캔 경고가 적용된다. (README.stealth파일 참조)

-sudp - "Stealth" UDP scan detection mode (스텔스 UDP 스캔 탐지 모드)
이것은 위의 TCP stealth mode와 작동방법은 동일하다. UDP 포트들을 나열하면, 그 포트들은
감시된다. 이것은 어떠한 소켓도 묶지 않으며, 실제 스텔스 스캔 탐지 모드가 아닌 중에도 거의
동일하게 동작한다.( 모든 UDP 패킷에 반응한다.)
UDP/스텔스 스캔 경고가 적용된다. (README.stealth파일 참조)

-atcp - Advanced TCP stealth scan detection mode (advanced TCP 스텔스 스캔 탐지 모드)
PortSentry는 ADVANCED_PORTS_TCP 옵션에 지정된 최상의 포트번호이하의 모든 열려진 포트에
대한 목록을 만들면서 시작하고, 이러한 포트들을 기초로 제외(exclusion)목록을 만들 것이다.
제외되지 않은( 예를 들어, [SMTP, HTTP, 등의] 열려진[listening] network daemon이 아닌, )
영역내의 임의의 포트에 연결된 호스트들은 접속이 금지된다.

-audp - Advanced UDP stealth scan detection mode (advanced UDP 스탤스 스캔 탐지 모드)
UDP 프로토콜을 사용한다는 점을 제외하고는 위와 같다. Advanced UDP stealth scan detection은
지원되지 않는 트래픽을 즉시 알 수 있기 때문에 강력하지만 부정확한 경보의 가능성이 높다.

실행하기

[root@centos100 portsentry]# portsentry -tcp
[root@centos100 portsentry]# portsentry -udp
[root@centos100 portsentry]# portsentry -stcp
[root@centos100 portsentry]# portsentry -sudp
[root@centos100 portsentry]# portsentry -atcp
[root@centos100 portsentry]#portsentry -audp

[root@chtla portsentry]# pgrep -fl portsentry
303 portsentry -tcp
32671 /usr/sbin/portsentry -atcp
32673 /usr/sbin/portsentry -audp
[root@centos100 portsentry]#

*. rpm 패키지를 설치할 경우 설정파일이 저장되는 디렉토리는
/etc/portsentry 이다.

[root@centos100 portsentry]# ls
portsentry.blocked.atcp portsentry.conf portsentry.history portsentry.modes
portsentry.blocked.audp portsentry.ignore

*. portsentry.conf ; 주 설정 파일
*. portsentry.ignore ; 차단하지 않을 주소 지정.

'Log > Linux' 카테고리의 다른 글

IDS - snort 1  (0) 2011.11.28
tcpdump - packet capture / 분석  (0) 2011.11.28
로그서비스 - syslog / logrotate / logwatch  (0) 2011.11.28
리눅스 방화벽 - iptables  (0) 2011.11.28
apache / php / mysql 설치 및 연동  (0) 2011.11.28
Posted by logwatch

2011. 11. 28. 19:33 Log/Linux

로그서비스 - syslog / logrotate / logwatch

로그서비스(syslog)

로그파일 종류

/var/log 디렉토리에 위치
- messages : 시스템 운영에 대한 전반적인 기록
- boot.log : 부팅될때 출력되는 메시지 기록
cron : cron log
secure : 원격접속기록
xferlog : ftp 서비스의 파일 송수신 기록
wtmp : 사용자 접속기록
lastlog : 각 계정의 가장 최근 로그인 시간 기록
(로그인시 이정보가 자동 출력된다)

syslog.conf

모든 룰은 두개의 필드, 셀렉터 필드와 액션 필드로 구성된다.
그리고 이 두개의 필드는 한개이상의 스페이스 문자 또는 탭문자로 구분되어진다.


설정문법
selecter 한개이상의 스페이스 또는 탭문자 action
selector 는 facility.priority 로 구성된다.

facility 및 priority (또는 level 이라고도 한다)
/usr/include/sys/syslog.h 에 정의되어 있다.

* priorities (these are ordered)
*/
#define LOG_EMERG 0 /* system is unusable */
#define LOG_ALERT 1 /* action must be taken immediately */
#define LOG_CRIT 2 /* critical conditions */
#define LOG_ERR 3 /* error conditions */
#define LOG_WARNING 4 /* warning conditions */
#define LOG_NOTICE 5 /* normal but significant condition */
#define LOG_INFO 6 /* informational */
#define LOG_DEBUG 7 /* debug-level messages */


/* facility codes */
#define LOG_KERN (0<<3) /* kernel messages */
#define LOG_USER (1<<3) /* random user-level messages */
#define LOG_MAIL (2<<3) /* mail system */
#define LOG_DAEMON (3<<3) /* system daemons */
#define LOG_AUTH (4<<3) /* security/authorization messages */
#define LOG_SYSLOG (5<<3) /* messages generated internally by syslogd */
#define LOG_LPR (6<<3) /* line printer subsystem */
#define LOG_NEWS (7<<3) /* network news subsystem */
#define LOG_UUCP (8<<3) /* UUCP subsystem */
#define LOG_CRON (9<<3) /* clock daemon */
#define LOG_AUTHPRIV (10<<3) /* security/authorization messages (private) */
#define LOG_FTP (11<<3) /* ftp daemon */

/* other codes through 15 reserved for system use */
#define LOG_LOCAL0 (16<<3) /* reserved for local use */
#define LOG_LOCAL1 (17<<3) /* reserved for local use */
#define LOG_LOCAL2 (18<<3) /* reserved for local use */
#define LOG_LOCAL3 (19<<3) /* reserved for local use */
#define LOG_LOCAL4 (20<<3) /* reserved for local use */
#define LOG_LOCAL5 (21<<3) /* reserved for local use */
#define LOG_LOCAL6 (22<<3) /* reserved for local use */
#define LOG_LOCAL7 (23<<3) /* reserved for local use */

*. auth 와 authpriv는 비슷하지만 조금 차이가 있다.
auth는 원격서비스 접속기록을 남기며
authpriv 는 su 명령어 사용기록, 로그인 성공 및 실패여부의 기록을 남긴다.

*. facility LOCAL0 ~ LOCAL7은 booting 기록이나 기타 여분의 용도로 사용한다.

syslog.conf 파일에서 facility 를 지정할때는 위에 정의된 LOG_KERN 인경우
kern 으로 설정한다. priority 도 마찬가지로 소문자로 crit 이런식으로 표기한다.
예) kern.crit;user.err

로그 설정에 대한 몇가지 예
kern.* /var/adm/kernel
=> 커널로부터 발생된 모든 레벨의 메세지를 오른쪽의 파일에 기록
kern.crit @unix1
=> 커널로부터 발생된 메세지중 crit 이상의 레벨 메세지를 unix1 호스트로 포워딩.
kern.crit /dev/console
=> 커널로부터 발생된 메세지중 crit 이상의 레벨 메세지를 console(tty1,tty2...) 에 보냄
kern.info;kern.!err /var/adm/kernel-info
=> 커널로부터 발생된 메세지중 info 레벨부터 err 레벨 바로 아래까지의 레벨메세지를
kernel-info 파일에 기록
*.info /var/log/messages
=> info 레벨 이상의 모든 facility 의 메세지를 오른쪽 파일에 기록
*.* /var/log/messages
=> 모든 selector 의 메세지를 /var/log/messages 파일에 기록
user.info user1,user2
=> 사용자 프로세스로부터 발생된 메세지중 info 레벨 이상의 메세지를 user1과 user2
사용자에게 보냄
mail.* *
=> mail 서비스로부터 발생된 메세지를 접속해 있는 모든사용자에게 보냄.

*. 기타 자세한 설정 방법은 syslog.conf 의 메뉴얼 페이지 참조.

로그서비스 테스트

로그서비스를 가장 간단히 시험할수 있는 툴로 logger 가 있다.

간단한 사용법은 아래와 같다.
logger [ -p selector ] message
ex) logger -p daemon.notice "daemon log test ....."

* Remote log

원격지에서 보내지는 로그를 받기위해서는

/etc/sysconfig/syslog

=> SYSLOGD_OPTIONS="-m 0" => SYSLOGD_OPTIONS="-m 0 -r" 로 수정한다.

/etc/syslog.conf에는

*.* @host이름


logrotate - rotates, compresses, and mails system logs

로그파일을 적절하게 관리하지 않으면 계속 쌓여서 너무 커질 수 있으며
그것으로 인하여 디스크가 Full 이 될수 있다.
또한 로그파일이 커질수록 syslog 데몬이 로그파일에 메세지를 남기는데
더 많은 부하를 초래하게 된다.
그러므로 로그파일이 너무 커지지 않게 관리해주어야 하는데 이때 필요한것이
logrotate 이다.
logrotate 는 로그파일을 주기적으로 백업시켜주고, 압축, 삭제, 메일로 전송등의
작업을 할 수 있다.

확인해보고 설치 안되어 있으면 yum 으로 설치한다.
[root@centos1 ~]# rpm -q logrotate
logrotate-3.7.4-9
[root@centos1 ~]#

[root@centos1 ~]# rpm -ql logrotate
/etc/cron.daily/logrotate
/etc/logrotate.conf
/etc/logrotate.d
/usr/sbin/logrotate
/usr/share/doc/logrotate-3.7.4
/usr/share/doc/logrotate-3.7.4/CHANGES
/usr/share/man/man8/logrotate.8.gz
/var/lib/logrotate.status
[root@centos1 ~]#

logrotate 를 설치하게 되면 자동으로 crontab 에 등록된다.

root@centos1 etc]# ls /etc/cron.daily/logrotate
/etc/cron.daily/logrotate
[root@centos1 etc]#

[root@centos1 etc]# grep cron.daily /etc/crontab
02 4 * * * root run-parts /etc/cron.daily
[root@centos1 etc]#
*. 위에처처럼 확인할 수 있다.

rogloate.conf 파일 - 아래처럼 되어 있다.

1 # see "man logrotate" for details
2 # rotate log files weekly
3 weekly
4
5 # keep 4 weeks worth of backlogs ; 백업된 로그파일을 4주간 남겨둠
(한주에 한개씩 rotate)
6 rotate 4
7
8 # create new (empty) log files after rotating old ones ; 오래된 파일을 rotate(순환)시킨후
새로운 빈 로그파일을 만든다.
9 create
10
11 # uncomment this if you want your log files compressed
12 #compress < = 로그파일을 압축하려면 주석을 풀어주면 된다.
13
14 # RPM packages drop log rotation information into this directory
15 include /etc/logrotate.d <= 이 디렉토리의 모든 파일을 여기에 포함하라는 의미.
16
17 # no packages own wtmp -- we'll rotate them here
18 /var/log/wtmp {
19 monthly
20 minsize 1M
21 create 0664 root utmp
22 rotate 1
23 }
24

[root@centos1 logrotate.d]# cat /etc/logrotate.d/vsftpd.log
/var/log/vsftpd.log {
# ftpd doesn't handle SIGHUP properly
nocompress <= 로그파일을 압축하지 않는다.
missingok <= 로그파일(vsftpd.log)이 없어도 에러를 발생시키지 않는다.
(nomissingok 는 반대되는 의미이며 생략했을때 디폴트값)
}

[root@centos1 logrotate.d]#

[root@centos1 logrotate.d]# cat /etc/logrotate.d/samba
/var/log/samba/*.log {
notifempty
missingok
sharedscripts
copytruncate
postrotate
/bin/kill -HUP `cat /var/run/smbd.pid /var/run/nmbd.pid /var/run/winbindd.pid 2> /dev/null` 2> /dev/null || true
endscript
}
[root@centos1 logrotate.d]#

notifempty : 로그파일이 비어 있을경우에는 rotate 하지 않는다.
디폴트는 ifempty이며 로그파일이 비어 있을경우에도 rotate 한다.
missingok : 로그파일이 없어도 에러를 발생시키지 않는다.
디폴트는 nomissingok 이며 로그파일이 없는 경우 에러를 발생시킨다.
sharedscripts : 로그파일이 rotate 될때 단 한번 prerotate 와 postrotate 가 실행된다.
nosharedscipts : 로그파일이 rotate 될때마다 prerotate와 postrotate 를 실행한다.
postrotate / endscript : rotate 한후의작업.
prerotate / endscript : rotate 하기전의 작업
copytruncate : 로그파일의 복사본을 만든후 원래의 로그파일 내용을 비우고 거기에 log를 새로 기록한다.
로그를 발생시키는 어떤 프로그램은 log 파일을 계속 열어두어야 하는것도 있다.
/bin/kill -HUP `cat /var/run/smbd.pid /var/run/nmbd.pid /var/run/winbindd.pid 2> /dev/null` 2> /dev/null || true
smbd 데몬과 nmbd 데몬 재시작, 재시작할때 에러가 발생되더라도 모니터로 출력하지 않으며 실행여부에 관계없이
참을 리턴한다.(리턴값은 항상 shell 이 받습니다. 리턴값을 가지고 다른 일을 처리하는경우 유용합니다.)



logwatch
- 로그를 정리해서 지정된 메일주소로 보내준다.(설치할때 크론에 하루 한번 실행되게 등록된다)
[root@centos1 ~]# ls -l /usr/sbin/logwatch
lrwxrwxrwx 1 root root 39 6월 25 2009 /usr/sbin/logwatch -> /usr/share/logwatch/scripts/logwatch.pl
[root@centos1 ~]#
logwatch는 바이너리 파일이 아니라 펄(perl)로 작성된 프로그램이다.

주요옵션
--detail level ( level 은 low, medium, high 또는 0,5,10)
--service servicename (특정서비스의 기록만 출력할 경우)
--print 표준출력으로 출력
--range (yesterday,today,all)
--save file명 (출력을 파일로 저장)
--logdir 디렉토리명 (디폴트 디렉토리대신 사용)

ex) root@server /root# logwatch --service sshd --detail low --print

################### Logwatch 7.3 (03/24/06) ####################
Processing Initiated: Mon Dec 6 11:20:49 2010
Date Range Processed: yesterday
( 2010-Dec-05 )
Period is day.
Detail Level of Output: 0
Type of Output: unformatted
Logfiles for Host: linux1
##################################################################

--------------------- SSHD Begin ------------------------

Disconnecting after too many authentication failures for user:
root : 1 Time(s)

Failed logins from:
192.168.197.1: 4 times

Users logging in through sshd:
root:
192.168.197.1: 12 times
172.20.10.101 (linux101): 1 time
user1:
172.20.10.101 (linux101): 1 time
192.168.197.1: 1 time

---------------------- SSHD End -------------------------


###################### Logwatch End #########################

root@server /root#


주요 로그설정파일
기록될 서비스 경로

주요설정항목

LogDir = /var/log
MailTo = root ; 계정을 적거나 완전한 이메일 주소를 적는다.
MailFrom = logwatch ; 메일로 받았을때 수신자가 logwatch로 표시된다.
Detail = Low ; High 로 설정하면 좀 더 자세한 로그를 볼수 있다.

설치하면 크론에 자동으로 등록된다.

-----------------------------------------------------------------------------------------------------------------------------------------

log service 예제

1.에러 이상의 priority를 갖는 메일 facility를 /var/log/mailerror 파일에 기록되게 설정하시오
2. sysadmin 이라는 사용자를 생성하고 ftp facility 의 모든 priority를 /var/log/ftplog 에 기록되게 설정하고 sysadmin 계정에게도 메세지가 전달되게 하시오.
(* su - sysadmin 으로 계정을 바꿔서 테스트하면 메시지를 못 받을수 있습니다.
반드시 sysadmin 으로 로그인 한다음 테스트 하시기 바랍니다)
3. selector 가 local0.err 인 경우 /var/log/local0 파일에 기록되게 설정하고
logger 명령으로 테스트하시오.
4. 사용자 인증시 info level 이상의 priority를 /var/log/auth_log 파일에 기록되게 설정하시오
(*. 테트스 방법은 su - 계정명 또는 telnet localhost 명령어로 su 명령어 사용기록 또는 로그인정보가 남는지를 확인하면 됩니다)
5. selector가 local1.info 인 경우 메시지를 접속해 있는 모든사용자의 콘솔에 뿌려지게 설정하시오.
6. selector가 local2.notice인 경우 메시지를 /var/log/local2 파일에 기록되게 하고 동시에
remote 서버(clone 머신)의 /var/log/remote_log 파일에도 저장되게 하시오.
7. 사용자 로그인정보(인증정보)를 로컬서버의 /var/log/secure 파일과 remote 서버의
/var/log/secure 파일에도 기록되게 설정하시오 (*. 테스트 방법은 4번과 동일합니다)
----------------------------------------------------------------------------------------------------------------------------------
logrotate 예제
아래와 같은 조건으로 로그파일을 백업하시오.
조건.
1. 파일명은 /var/log/test.log 로 한다.
(파일이 없으면 파일을 만들고 몇줄 추가해서 테스트하도록 합니다
-> ex) echo "log rotate test..." > /var/log/test.log
2. 백업로그파일을 3일간 남겨둔다.
3. rotate 주기는 매일.
4. 3일이 지난 로그파일은 logadmin@localhost 로 메일로 자동전송되게한후 삭제되게한다.
5. 로그파일이 압축되어 저장되게 한다.
6. 로그파일이 rotate 될때마다 syslog 서버를 재시작 되게 한다.
----------------------------------------------------------------------------------------------------------------------------------
logwatch 예제

아래 조건에 맞게 logwatch 를 설정하시오

조건.
1. log 출력의 detail level을 medium 으로 하시오.
2. logwatch 관리자에게 매일 새벽 두시에 log를 메일로 전송되게
설정하시오.

'Log > Linux' 카테고리의 다른 글

tcpdump - packet capture / 분석  (0) 2011.11.28
포트스캔 및 차단  (0) 2011.11.28
리눅스 방화벽 - iptables  (0) 2011.11.28
apache / php / mysql 설치 및 연동  (0) 2011.11.28
fedora9 dns 서버 설정 테스트 내용.  (0) 2011.11.28
Posted by logwatch

2011. 11. 28. 19:33 Log/Linux

리눅스 방화벽 - iptables

iptables - administration tool for IPv4 packet filtering and NAT

SYNOPSIS
iptables [-t table] -A chain rule-specification [options] ; 선택한 chain 맨 아래쪽에 한개의상의 rule 추가
iptables [-t table] -I chain [rulenum] rule-specification [options] ; 선택된 chain에 한개 이상의 룰 추가
iptables [-t table] -R chain rulenum rule-specification [options] ; 선택된 chain 으로 부터 rule 변경
iptables [-t table] -D chain rulenum [options] ; 선택된 chain으로 부터 한개의상의 rule 삭제
iptables [-t table] -[LFZ] [chain] [options]
iptables [-t table] -N chain ; chain 생성
iptables [-t table] -X [chain] ; chain 삭제
iptables [-t table] -P chain target [options] ; target 에 대한 chain 정책 설정
iptables [-t table] -E old-chain-name new-chain-name ; chain 이름 변경
iptables [-t table ] -F chain ; 선택된 chain 삭제, -F 옵션뒤에 chain 을 명시하지 않으면 모든 체인 삭제.
(This is equivalent to deleting all the rules one by one.)

DESCRIPTION
Iptables is used to set up, maintain, and inspect the tables of IP packet filter rules in the Linux kernel. Several different tables
may be defined. Each table contains a number of built-in chains and may also contain user-defined chains.

Each chain is a list of rules which can match a set of packets. Each rule specifies what to do with a packet that matches. This is
called a 'target' which may be a jump to a user-defined chain in the same table.

iptables chain 종류

INPUT : 들어오는 패킷
OUTPUT : 나가는 패킷
FORWARD : 경유하는 패킷
이 세개의 기본체인은 수정이나 삭제가 불가.

기타.
RH-Firewall-1-INPUT : 사용자 정의 패킷



_____
Incoming / \ Outgoing
-->[Routing ]---> |FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----

그림. - 패킷 필터링 흐름.

iptables 사용방법

기본방화벽 정책

ex)
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

REJECT 와 DROP 의 의미
REJECT : 서비스에 접속하려는 사용자의 엑세스를 거부하고 connection refuesed 라는
오류 메시지늘 보여준다.
DROP : 어떠한 경고 메세지도 보여주지 않은 체 패킷을 drop 한다.


방화벽 rule 저장 및 복구

service iptables save => /etc/sysconfig/iptables 파일을 덮어쓰게 된다.

*. 방화벽 설정 리스트 출력 예.

Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT tcp -- anywhere anywhere tcp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
[root@centos1 tmp]#

*.
esp
This module matches the SPIs in ESP header of IPsec packets.

ah
This module matches the SPIs in Authentication header of IPsec packets.

INPUT, OUTPUT, FORWARD chain 을 제외한 나머지 모든 체인은 사용자
정의 체인으로서 사용자가 마음대로 만들고 삭제할 수 있는 체인이다.
그러나 기본체인에 포함(include) 되지 않으면 적용되지 않는다.

NEW- 새로운 연결을 요청하는 패킷,
established - 기존 연결의 일부인 패킷.
related - 기존 연결에 속하지만 새로운 연결을 요청하는 패킷, 예를 들면 접속포트가 20인
수동 ftp 의 경우 전송포트는 사용되지 않은 1024 이상의 어느포트라로 사용가능하다.

기존 rule 에 새로운 rule 을 넣으려면 -I 옵션 다음에 rule 번호를 사용하면 된다.

iptables -I INPUT 1 -i lo -p all -j ACCEPT

ex)
iptables -A INPUT -j DROP => 입력되는 모든 패킷을 버림.

-A : 룰을 추가한다.
INPUT : 입력 패킷
-j : 패킷허용여부
REJECT : 서비스에 접속하려는 사용자의 엑세스를 거부하고 connection refuesed 라는
오류 메시지를 보여준다.
DROP : 어떠한 경고 메세지도 보여주지 않은 채 패킷을 drop 한다.

specifying source and destination address
source : -s, --source, --src
destination: -d, --destitnation, --dst

specifying protocol
-p, --protocol

specifying an interface

-i, --in-interface
-o, --out-interface



parameters

-p, --protocol [!] protocol: 체크할 패킷 또는 룰에 대한 프로토콜
-s, --source [!] address[/mask] :
-d, --destination [!] address[/mask]
-j, --jump target

ex) -s ! 192.168.100.1 => source address가 192.168.100.1 이 아닌 주소.
* ! 은 부정(not)을 뜻함.

ex)
iptables -A INPUT -p tcp -j ACCEPT


입력 프로토콜중 tcp 프로토콜은 모두 허용

포트제어에 대한 옵션은
--sport , --dport
--sport : 소스패킷 포트
--dport : 타겟패킷 포트

ex) iptables -A input -p tcp --dport 80 -j drop

서비스 포트번호 대신 서비스 이름을 사용하여도 된다.
ex) --dport 80 => --dport http


ex)
[root@linux101 /root]# iptables -A INPUT -s 192.168.10.1 -p tcp --dport 23 -j ACCEPT
[root@linux101 /root]# iptables -A INPUT -s 192.168.10.1 -p tcp --dport 21 -j DROP
[root@linux101 /root]# iptables -A INPUT -s 192.168.10.1 -p icmp --icmp-type echo-request -j DROP
[root@linux101 /root]# iptables -L


여러포트를 동시에 지정하는 경우
--dport 1024 : 65535 1024~65535 번호까지.

*. 인터페이스 지정

-i (input interface) , -o (output interface)로 지정한다.

iptables -A INPUT -i eth0 -p tcp --dport(80) -j DROP

*.랜카드가 한개뿐이라면 디바이스를 따로 명시할 필요가 없다.

command line 에서 설정한 iptables rule 은 방화벽이 새로 시작되면
방화벽 설정파일 내용대로 설정된다.
현재 설정 rule을 영구적으로 유지하고 싶으면 iptables-save 명령을 입력하면
설정파일이 현재 설정 내용으로 교체된다.

ip table 상태를 모니터링 하려면 iptstate 를 사용하면 된다.

ex)
# iptstate
IPTables - State Top
Version: 1.4 Sort: SrcIP s to change sorting
Source Destination Proto State TTL
172.16.0.1:514 172.16.0.101:514 udp 0:00:05
192.168.100.1:49494 192.168.100.3:22 tcp ESTABLISHED 119:59:59
192.168.100.1:138 192.168.100.255:138 udp 0:00:08
192.168.100.7:138 192.168.100.255:138 udp 0:00:29
192.168.100.7:137 192.168.100.255:137 udp 0:00:28

*. iptables 시작 및 종료

iptables start : /etc/init.d/ipstables start
iptables stop : /etc/init.d/iptables stop

firewall 초기화
iptables -F
iptables -X
iptables -Z

기본 정책 설정

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

사용자 정의 chain 생성 및 추가
iptables -N 사용자 정의 chain명
iptables -A input -j 사용자 정의 chain 명 : input chain 에 추가하는 경우

rule 설정 예
설정
iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP

제거
iptables -D INPUT 1
iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP


*. iptables 주요옵션
iptables -F : 방화벽 설정해제
iptables -L : 방화벽 설정보기

[root@centos1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
[root@centos1 ~]#

ex)
iptables -N DenyList
[root@centos1 ~]# iptables -A DenyList -p tcp -s 192.168.10.0/24 -j REJECT

조건 옵션
-p proto ; protocol 지정 tcp,udp,icmp 등 (all 은 모든 프로토콜을 의미)
-i device ; 들어오는 패킷장치를 지정. ex) -i eth1
-o device ; 나가는 패킷장치를 지정. ex) -o eth1
-s ip address ; source ip 주소 지정
-d ip address ; destination ip 주소 지정
-s port num ; 패킷 소스 포트 번호지정
-d port num ; 패킷 목적지 포트 번호 지정

*. 조건 앞에 '!' 를 붙이면 not 을 의미한다.
ex) -p !tcp ; tcp 프로토콜을 제외한 나머지 프로토콜.
-i !eth0 ; eth0 장치를 제외한 나머지 장치

연습)
1.input chain 의 1번 규칙은 lo 장치로부터 모든 패킷 허용
2.DenyList 사슬 생성
3.INPUT 사슬의 2번규칙은 들어온 패킷은 DenyList 로 보낸다.
4.INPUT 사슬의 3번규칙은 들어온 패킷은 AcceptList 로 보낸다.
5.DenyList 의 1번규칙의 내용은 192.168.10.0/24 로 부터의 모든 패킷은 거부한다.
6.DenyList의 2번규칙읜 내용는 192.168.20.0/24 로 부터의 모든 패킷은 거부한다.
7.AcceptList의 1번규칙의 내용은 192.168.30.0/24 로 부터의 모든 패킷은 허용한다.
8.AcceptList 의 2번 규칙의 내용은 192.168.40.0/24 로 부터의 모든 패킷은 허용한다.
9.AcceptList 의 3번 규칙은 192.168.50.0/24로 부터의 TCP의 http 포트의 패킷은 허용한다.

# iptables -F
# iptables -x
# iptables -N DenyList
# iptables -N AcceptList
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -j DenyList
# iptables -A INPUT -j AcceptList
# iptables -A DenyList -s 192.168.10.0/24 -j REJECT
# iptables -A DenyList -s 192.168.20.0/24 -j REJECT
# iptables -A DenyList -s 192.168.30.0/24 -j REJECT
# iptables -A DenyList -s 192.168.40.0/24 -j REJECT
# iptables -A DenyList -s 192.168.50.0/24 -p tcp --dport 80 -j ACCEPT

- 기타설정
*. mac 주소 지정

-m mac ; mac 주소로부터의 패킷

ex)
iptables -A input -m mac --mac-source 00:11:22:AB:CD:EF -j REJECT
iptables -A input -m mac --mac-source ! 00:22:33:AB:CD:EF -j REJECT


==================================================
아래는 설정 예제입니다.

루프백 접속 허용

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

내부 네트워크 접속
iptables -A TestList -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT


내부 -> 외부 접속
iptables -A TestList -s 외부주소 -p tcp --sport 포트번호 -j ACCEPT
iptables -A OUTPUT -d 외부주소 -p tcp --dport 포트 -j ACCEPT


① DNS 포트 허용
iptables -A TestList -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT


② ICMP 핑 허용

iptables -A OUTPUT -o eth0 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A TestList -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp --icmp-type echo-reply -j ACCEPT


③ SSH 포트 허용
iptables -A TestList -s 172.16.1.20 -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -d 172.16.1.20 -p tcp --dport 22 -j ACCEPT


④ HTTP 포트 허용
iptables -A TestList -i eth0 -p tcp --sport 80 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 80 -j ACCEPT


⑤ FTP 포트 허용

* 명령(제어) 포트(tcp 21) 접속
iptables -A TestList -i eth0 -p tcp --sport 21 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 21 -j ACCEPT



*데이터 포트(tcp20) 접속(능동 모드 접속)

iptables -A TestList -i eth0 -p tcp --sport 21 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 21 -j ACCEPT



*데이터 포트(tcp 1024이상의 포트) (Passive 모드 접속)

iptables -A TestList -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT



외부 -> 내부 접속

① SSH 포트 허용

iptables -A TestList -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT

② http 포트 허용

iptables -A TestList -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT

③ ftp 포트 허용 ( passive mode)

iptables -A TestList -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -j ACCEPT

iptables -A TestList -i eth0 -p tcp --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 -j ACCEPT

iptables -A Test -p all -m state --state RELATED,ESTABLISHED - j ACCEPT
iptables -A Test -p tcp -m state --state NEW --dport ssh -j ACCEPT

==================================================

예제.



A (iptables)

INPUT
ssh 허용
ftp 허용
나머지포트(x)
------------------------------
OUTPUT
telnet 허용
나머지포트(x)
-------------------------------------------------------------------




default 설정파일(centos)
-----------------------------------------------------------------
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT


-----------------------------------------------------------------------------
*. 기타

옵션
-m : iptable에서 확장모듈을 로드하기 위한 옵션
m state 는 /lib/iptables/libipt_state.so <== 이 모듈을 로드하기위한것입니다.
예를 들면 테스트를 위해서 아래처럼 없는 모듈을 옵션뒤에 넣어보면 쉽게 알수
있을것입니다.
[root@centos1 iptables]# iptables -m test
iptables v1.3.5: Couldn't load match `test':/lib/iptables/libipt_test.so: cannot open shared object file: No such file or directory
그리고 로드된 모듈은 /proc/net/ip_tables_matches 이파일에서 볼수 있습니다.

그리고 state 옵션은 뒤에 아래와 같은 네가지 tcp 상태 옵션이 올수 있습니다.
NEW : 새 연결을 시도하는 패킷
ESTABLISHED : 양쪽 방향에서 연결이 완료된 패킷과 관련이 있는 패킷
RELATED : 새 연결을 시도하는 패킷이지만 이전 연결과 관련있는 패킷
예를 들면 ftp data 전송 패킷.(예를 들면 ftp 서비스가 방화벽에서 허용되어 있고
연결되어 있는 상태라면 ftp data 패킷도 허용이 돕니다)
INVALID : 이전 연결과 전혀 상관이 없는 패킷.

'Log > Linux' 카테고리의 다른 글

포트스캔 및 차단  (0) 2011.11.28
로그서비스 - syslog / logrotate / logwatch  (0) 2011.11.28
apache / php / mysql 설치 및 연동  (0) 2011.11.28
fedora9 dns 서버 설정 테스트 내용.  (0) 2011.11.28
NFS 서비스  (0) 2011.11.28
Posted by logwatch

2011. 11. 28. 19:32 Log/Linux

apache / php / mysql 설치 및 연동

apache / php / mysql 설치 및 연동
*. 아파치서버 version 2.2 문서
아파치 웹서버 설치방법은 DSO 방식 및 static 방식 2가지가 있는데
여기서는 DSO 방식으로 설치한다.
편의상 복잡한 설치 옵션은 생략하고 일반적으로 자주 사용되는 기본적인
몇가지 옵션만 주어 설치한다.

[/tmp/apm]# ls
httpd-2.0.63.tar.gz mysql-5.0.77.tar php-5.2.9.tar.bz2
[/tmp/apm]#
[/tmp/apm]# tar -xvf mysql-5.0.77.tar
[/tmp/apm/mysql-5.0.77]# ./configure --prefix=/usr/local/mysql \
> --localstatedir=/usr/local/mysql/data --with-charset=utf8 --with-readline 끝나면 ...
[/tmp/apm/mysql-5.0.77]# make && make install
[/tmp/apm/mysql-5.0.77]# find . -name *.cnf <== mysql 설정파일 경로 확인
./support-files/my-medium.cnf
./support-files/my-large.cnf
./support-files/my-huge.cnf
./support-files/my-small.cnf
./support-files/my-innodb-heavy-4G.cnf
./mysql-test/std_data/bug15328.cnf
./mysql-test/std_data/ndb_config_mycnf1.cnf
./mysql-test/std_data/ndb_config_mycnf2.cnf
[/tmp/apm/mysql-5.0.77]#
이중에서 my-medium.cnf 를 /etc 디렉토리로 복사한다

[/tmp/apm/mysql-5.0.77]# cp support-files/my-medium.cnf /etc/my.cnf
cp: overwrite `/etc/my.cnf'? y
[/tmp/apm/mysql-5.0.77]#
[/tmp/apm/mysql-5.0.77]# cd /usr/local/mysql/
[/usr/local/mysql]# ls
bin include lib libexec mysql-test share sql-bench
[/usr/local/mysql]#

[/usr/local/mysql/bin]# ./mysql_install_db <== 이 스크립트 파일은 myslq db 서버가 구동되기 위해서 필요한 DB 를 생성하는 스크립트 파일이다.
Installing MySQL system tables...

[/usr/local/mysql/bin]# ls ../data <== DB 서버가 구동되는 필요한 DB가 생성이 되었다.
mysql mysql-bin.000001 mysql-bin.000002 mysql-bin.index test
[/usr/local/mysql/bin]#


[/usr/local/mysql]# ls
bin include lib libexec mysql-test share sql-bench
[/usr/local/mysql]#

[/usr/local/mysql]# echo "/usr/local/mysql/lib" >> /etc/ld.so.conf <= 공유라이브러리 설정파일에 mysql 라이브러리 경로를 추가한다.
[/usr/local/mysql]# cat /etc/ld.so.conf
include ld.so.conf.d/*.conf
/usr/local/mysql/lib
[/usr/local/mysql]#

* 기존의 mysql 계정이 있으면(mysql 패키지가 리눅스 설치할때 설치가 되었다면
mysql 계정이 이미 생성되어 있을수도 있습니다. 그러나 소스코드를 컴파일하는경우에는
mysql 계정의 설정정보(홈디렉토리등..)가 맞지 않을수도 있으므로 계정이 이미 있으면
삭제하고 새로 생성하는것이 권장됩니다.
userdel -r mysql 또는 userdel mysql
그런다음..
useradd -M -s /sbin/nologin mysql => mysql 계정은 mysqlDB 운영을 위해서만 필요한 시스템
계정이므로 이런식으로 계정을 생성하는것이 보안상 안전합니다. 패스워드도 당연히 부여할
필요가 없습니다.

[/usr/local/mysql]# chown -R root.mysql /usr/local/mysql
[/usr/local/mysql]# chown -R mysql.mysql /usr/local/mysql/data
[/usr/local/mysql]#
[/usr/local/mysql/bin]# ./mysqld_safe & <== mysql 데이터베이스 서버 구동 스크립트 파일(* mysql 서버 종료는 이 스크립트로 하지않고
/usr/local/mysql/bin/mysqladmin -u root -p shutdown 이렇게 한다.)
[1] 1190
[/usr/local/mysql/bin]# nohup: ignoring input and redirecting stderr to stdout
Starting mysqld daemon with databases from /usr/local/mysql/data

[/usr/local/mysql/bin]#

[root@vega ld.so.conf.d]# ps -ef | grep mysqld
root 1190 2638 0 18:06 pts/1 00:00:00 /bin/sh ./mysqld_safe
mysql 1213 1190 1 18:06 pts/1 00:00:00 /usr/local/mysql/libexec/mysqld --basedir=/usr/local/mysql --datadir=/usr/local/mysql/data --user=mysql --pid-file=/usr/local/mysql/data/vega.pid --skip-external-locking --port=3306 --socket=/tmp/mysql.sock
root 1224 2902 0 18:06 pts/2 00:00:00 grep mysqld
[root@vega ld.so.conf.d]#

[/usr/local/mysql/bin]# ./mysql
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 1
Server version: 5.0.77-log Source distribution

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> show databases; <== db 서버가 구동되는 필요한 db가 만들어져 있음을 알수 있다.
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| test |
+--------------------+
3 rows in set (0.04 sec)

mysql> quit
Bye
[/usr/local/mysql/bin]# D
[/tmp/apm]# ls
httpd-2.0.63.tar.gz mysql-5.0.77 mysql-5.0.77.tar php-5.2.9.tar.bz2
[/tmp/apm]# gzip -d httpd-2.0.63.tar.gz
[/tmp/apm]# tar -xvf httpd-2.0.63.tar
[/tmp/apm]# ls
httpd-2.0.63.tar.gz mysql-5.0.77 mysql-5.0.77.tar php-5.2.9.tar.bz2
[/tmp/apm]# gzip -d httpd-2.0.63.tar.gz
[/tmp/apm]# tar -xvf httpd-2.0.63.tar
[/tmp/apm]# cd httpd-2.0.63
[/tmp/apm/httpd-2.0.63]# ls
ABOUT_APACHE CHANGES LICENSE NWGNUmakefile acconfig.h buildconf docs libhttpd.dsp srclib
Apache.dsp INSTALL Makefile.in README acinclude.m4 config.layout emacs-style modules support
Apache.dsw InstallBin.dsp Makefile.win README.platforms apachenw.mcp.zip configure httpd.spec os test
BuildBin.dsp LAYOUT NOTICE VERSIONING build configure.in include server
[/tmp/apm/httpd-2.0.63]#

[/tmp/apm/httpd-2.0.63]# ./configure --prefix=/usr/local/apache \
> --enable-mods-shared=most <== DSO 방식으로 설치하기 위한 옵션
*. 아파치 configure 옵션은 여기에 자세히 나와 있다.
=> http://httpd.apache.org/docs/2.0/ko/programs/configure.html

[/tmp/apm/httpd-2.0.63]#make && make install


[/tmp/apm]# ls
httpd-2.0.63 httpd-2.0.63.tar mysql-5.0.77 mysql-5.0.77.tar php-5.2.9.tar.bz2
[/tmp/apm]# bzip2 -d php-5.2.9.tar.bz2
[/tmp/apm]# ls
httpd-2.0.63 httpd-2.0.63.tar mysql-5.0.77 mysql-5.0.77.tar php-5.2.9.tar
[/tmp/apm]# tar -xvf php-5.2.9.tar

*. 날짜와 시간 설정이 며칠 또는 몇 시간정도로 크게 잘못 설정이 된 경우에는
컴파일이 제대로 되지 않는 문제가 발생할 수 있으므로 확인해보고 컴파일 하기전에
날짜 및 시간 설정을 대로 해야 한다. 아래처럼.
[/tmp/apm]# date
2009. 02. 06. (금) 18:59:55 KST
[/tmp/apm]# date 030412562009 <= 정확히 설정.
2009. 03. 04. (수) 12:56:00 KST
[/tmp/apm]#

[/tmp/apm/php-5.2.9]# ./configure --prefix=/usr/local/php --with-mysql=/usr/local/mysql --with-apxs2=/usr/local/apache/bin/apxs
[/tmp/apm/php-5.2.9]# make && make install
[/tmp/apm/php-5.2.9]# cp php.ini-dist /usr/local/php/lib/php.ini <= php 환경설정파일을 복사해 두어야 한다. (*. php.5.3.0 버전인 경우 php.ini-production 또는 php.ini-development 파일을 복사해 주어야 합니다)
[/tmp/apm/php-5.2.9]# /etc/ld.so.conf 파일에
/usr/local/apache/lib
/usr/local/apache/modules 이 두개의 디렉토리 경로를 추가한다.

[/tmp/apm/php-5.2.9]# ldconfig <= /etc/ld.so.conf 설정파일 적용

#[[/tmp/apm/php-5.2.9]vi /usr/local/apache/conf/httpd.conf
ServerName 지시자를 아래와 같이 설정한다.
ServerName 127.0.0.1 <= 도메인주소가 있으면 그거 적어넣으면 되지만 도메인주소가 없으면 이렇게 적어둔다.
이게 설정안되어 있으면 아파치 실행시 아래와 같은 경고가 뜬다.
httpd: Could not determine the server's fully qualified domain name, using 127.0.0.1 for ServerName

* 설정파일에서 아래 내용을 확인후 없으면 추가
LoadModule php5_module modules/libphp5.so

* php파일을 처리하기 위해 아래두줄 추가
AddType application/x-httpd-php .php .html .htm <== 이런 확장자는 php 모듈이 처리
AddType application/x-httpd-php-source .phps <= 확장자가 .phps 이면 클라이언트에게 소스코드를 보여준다.

[/usr/local/apache/bin]# pgrep -fl httpd 아파치 구동하기전에 이미 올라와 있는지 확인하여 rpm 으로 설치된 아파치가 구동되어 있으면
종료한다.(killall httpd)
[/usr/local/apache/bin]# [/usr/local/apache/bin]# ./apachectl start (restart 및 종료는 start 인수대신에 restart 및 stop 인수를 사용하면 된다)
[/usr/local/apache/bin]# pgrep -fl httpd
21891 /usr/local/apache/bin/httpd -k start
21892 /usr/local/apache/bin/httpd -k start
21893 /usr/local/apache/bin/httpd -k start
21894 /usr/local/apache/bin/httpd -k start
21895 /usr/local/apache/bin/httpd -k start
21896 /usr/local/apache/bin/httpd -k start
[/usr/local/apache/bin]#

*. /usr/local/apache/htdocs 디렉토리에
아래와 같이 간단한 파일을 만들어서 php 와 연동이 되는지 테스트한다.

[root@vega htdocs]# cat test.php
echo "hello php";
?>
[root@vega htdocs]# cat test1.php
phpinfo(); <= phpinfo 함수는 php 라이브러리함수로서 시스템 아키텍처 및 여러가지 아파치,mysql 및 php 에 관련된 여러가지
환경변수등을 출려해주는 함수
?>
[root@vega htdocs]#

http://리눅스서버주소/test.php

※ 동적 방식(DSO)과 정적(static) 방식의 차이

static 방식 : 아파치가 실행될 때 모든 모듈을 메모리에 적재한다. 그래서 dso 방식보다 빠르지만 사용하지 않는 모듈도 메모리에 올라가기 때문에 자원을 낭비할 수 있다. 또한 운영중에 필요한 다른 모듈이 있을 경우 아파치를 재컴파일 해야하는 단점이 있다.

DSO 방식 : 아파치가 실행되는 도중에 모듈이 필요할 경우라면 따로 읽어서 시스템에 적재하는 방식 필요할 때만 메모리에 올리기 때문에 자원 이용이 효율적이지만 매번 읽어와야 하기 때문에 static에 비해 속도가 느리다.

* Makefile *
================================================
make - GNU make utility to maintain groups of programs

대규모의 프로그램을 작성하는 경우 프로그램의 크기가 커지므로 원시 프로그램 파일을 여러개로 분할하는 것이 바람직하다.
어떤 프로그램이 다음과 같이 3개의 file로 분할되어 있다고 하자
myhead.h --> main.c --> main.o
==> myprog
print.c --> print.o
이 경우 main.c 속으로 myhead.h가 include되며 또 print.c 내부의 함수를 사용한다면 다음과 같은 경우가 발생할 것이다.
1) myhead.h 또는 main.c를 수정하는 경우에는 main.c를 재 컴파일하고 print.o와 링크한다. 물론, print.c의 재 컴파일은 필요없다.
2) print.c를 수정하는 경우에는 print.c를 재 컴파일을 하고 main.o와 링크한다.

이 예는 3개의 파일뿐이므로 수정, 재 컴파일 및 링크의 관계가 (1),(2)로 간단하지만 원시화일의 수가 늘면 포함관계가 복잡해지며, 원시 파일 수정시 파일 재 컴파일 및 링크가 복잡해진다.
unix에서는 이 재컴파일 및 링크를 자동화하기 위한 도구로서 make명령어가 준비되어 있다.
이 make명령어의 형식은 다음과 같다.

make [ -f makefile ] [option] [files]

-f makefile 특정 파일명을 지정, -f 옵션을 생략하면 makefile, Makefile, s.makefile, s.Makefile의 순서로 하나씩 취해짐
-i 오류코드를 무시
Makefile은 기본적으로 아래와 같이 목표(target), 의존관계(dependency), 명령(command)의 세개로 이루어진 기분적인 규칙(rule)들이 계속적으로 나열되어 있다고 봐도 무방하다. make가 지능적으로 화일을 갱신하는것도 모두 이 간단한 규칙에 의하기 때문이다.

target ... : dependency ...
command
...
...
여기서 목표(target) 부분은 명령(command)가 수행이 되어서 나온 결과 화일을 지정한다. 당연히 목적화일(object file)이나 실행화일이 될 것이다. 명령(command)부분에 정의된 명령들은 의존관계(depenency)부분에 정의된 화일의 내용이 바뀌었거나, 목표부분에 해당하는 화일이 없을때 이곳에 정의되 것들이 차례대로 실행이 된다. 일반적으로 쉘상에서 쓸수 있는 모든 명령어들을 사용하수가 있으며 bash 에 기반한 쉘 스크립트도 지원한다.
[참고] 목표부분에는 결과화일만 올수 있는것이 아니고, 보통 make clean 에 서와 같이 간단한 레이블(label) 기능을 제공하기도 한다. 명령 부분은 꼭 TAB 글자로 시작해야 한다. 그냥 스페이스등을 사용하면 make 실행중에 에러가 난다. make가 명령어인지 아닌지를 TAB 가지고 구별하기 때문이다.

ex. make를 사용한 원시 파일관리
[root@capella backup2]# cat myheader.h
int add(int x,int y);
int multiply(int x, int y);

[root@capella backup2]# cat main.c
#include <stdio.h>
#include "myheader.h"

int main()
{
int a=2,b=3;
printf("%d + %d = %d\n",a,b,add(a,b));
printf("%d * %d = %d\n",a,b,multiply(a,b));
}

[root@capella backup2]# cat add.c
int add(int x,int y)
{
int result=0;
return (result=x+y);
}

[root@capella backup2]# cat multiply.c
int multiply(int x,int y)
{
int answer;
return (answer = x * y);
}

[root@capella backup2]# cat Makefile
test: main.o add.o multiply.o
gcc -o test2 main.c add.c multiply.c
clean:
rm *.o
rm test
install:
mkdir /tmp/myprogram
cp test /tmp/myprogram
[root@capella backup2]#

*. 라이브러리
정적라이브러리 생성

- 프로그램이 컴파일될때 라이브러리를 직접 링크하며 프로그램 크기는 사용한
라이브러리 크기 만큼 증가한다.

[root@capella lib]# gcc -c add.c multiply.c
[root@capella lib]# ls
add.c add.o main.c multiply.c multiply.o myheader.h
[root@capella lib]#
[root@capella lib]# ar r libTest.a add.o multiply.o ; 오브젝트코드를 이용하여 정적 라이브러리 생성
ar: creating libTest.a
[root@capella lib]# ar s libTest.a ; 라이브러리에서 오브젝트파일 검색을 위한 index 생성
[root@capella lib]# ar t libTest.a <= library 내용 확인
add.o
multiply.oㅣ
[root@capella lib]#
[root@capella lib]# gcc -o test main.c -lTest -L. ; -lTest => 라이브러리 이름, -L 라이브러리경로
-lTest : 참조할 라이브러리이름
-L : 라이브러리가 있는 경로 (디폴트라이브러리 경로(ex /usr/lib 에 없는 라이브러리라면
이 옵션으로 라이브러리 경로를 명시해야 한다)
[root@capella dlib]# ./test
2 + 3 = 5
2 * 3 = 6
[root@capella dlib]#

공유라이브러리 생성
- 프로그램이 컴파일될때 직접 링크되지 않고 프로그램이 실행될때 적재되어 사용된다.

[root@capella new]# gcc -c -fPIC add.c multiply.c
[root@capella new]# ls
add.c add.o main.c multiply.c multiply.o myheader.h
[root@capella new]# gcc -shared -fPIC -o libTest.so add.o multiply.o
[root@capella new]# ls
add.c add.o libTest.so main.c multiply.c multiply.o myheader.h
[root@capella new]# gcc -o test main.c -lTest -L.
[root@capella new]# ls
add.c add.o libTest.so main.c multiply.c multiply.o myheader.h test
[root@capella new]# ./test
./test: error while loading shared libraries: libTest.so: cannot open shared object file: No such file or directory

=> 파일실행시 라이브러리를 /etc/ld.sol.cache 에서 찾는다. /etc/ld.so.cache 를 갱신해 주기 위해서는
/etc/ld.so.conf 에 해당 경로를 추가하고 이 파일 내용을 적용하기 위해서 ldconfig 를 실행한다.
[root@capella new]# echo "/tmp/c/shared_lib" >> /etc/ld.so.conf
[root@capella new]# ldconfig
[root@capella new]# strings /etc/ld.so.cache | grep tmp
/tmp/c/shared_lib/new/libTest.so
[root@capella shared_lib]# ./test
2 + 3 = 5
2 * 3 = 6
[root@capella shared_lib]#

* . mysql 계정

GRANT ALL PRIVILEGES ON *.* TO lee@localhost IDENTIFIED BY 'password' WITH GRANT OPTION;

lee 에게 모든 db 권한 부여

특정 db 에 대해서만 권한 부여할때에는 *.* => db명.* 이렇게 설정하면 된다.

GRANT ALL PRIVILEGES ON *.* TO lee@"%" IDENTIFIED BY 'password' WITH GRANT OPTION;

=> localhost 대신에 "%" 를 사용하면 어디서든 접근 가능하다.

*. 특정권한만 부여할 경우에는 ALL PRIVILEGES 부분을 바꿔주면 된다.
ex) GRANT select,insert,... ON *.* ....

*. 계정 암호변경

update user set password=password('암호') where user='계정';

flush privileges ; 변경된 권한 테이블을 reload

----------------------------------------------------------------------------------------------------------------------------------
apache 설정(httpd.conf) 주요 지시어

ServerRoot "/usr/local/apache" ; 아파치서버 디렉토리
Listen 80 ; 아파치 서버 포트
LoadModule : 아파치 서비스 구동시 로드되는 모듈.(DSO 방식일경우)
- 정적컴파일된 모듈은 httpd -l 로 확인할 수 있다.

User daemon ; 아파치 서버 프로세스 소유자
Group daemon ; 아파치 서버 프로세스 그룹

ServerName 도메인명 또는 ip address ; 이부분이 설정되어 있지 않으면
아파치가 시작될때 경고메세지가 출력된다.
도메인이 없다면 자신의 ip address 라도 적어두어야 한다.
ex) ServerName 127.0.0.1

DocumentRoot "/usr/local/apache/htdocs"
웹페이지의 root 디렉토리.

<= 아파치 서버의 DocumentRoot 디렉토리
Options FollowSymLinks
AllowOverride None <= 보안상 None 으로 하는것이 안전하다.
Order deny,allow
Deny from all



Options Indexes FollowSymLinks
Order allow,deny
Allow from all



Order allow,deny
Deny from all
Satisfy All


ErrorLog "logs/error_log"
LogLevel warn
- warn 수준이상의 메시지를 logs/error_log 파일에 기록.

CustomLog "logs/access_log" common
- access 기록.

ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
- cgi 파일을 위한 디렉토리가 DocumentRoot 바깥에 있을경우
/cgi-bin 으로 alias 시켜준다. ( /usr/local/apache/htdocs/cgi-bin 이런 의미가 된다)


AllowOverride None
Options None
Order allow,deny
Allow from all


DefaultType text/plain <= Default MIME type 으로 Document 형식을 지정.

TypesConfig conf/mime.types <= MIME type 설정파일

AddType <= MIME type 설정.
ex)
AddType application/x-httpd-php .php .html .htm
AddType application/x-httpd-php-source .phps
AddHandler cgi-script .cgi <= cgi 는 보안상 특정 디렉토리에서만 실행되도록
설정되어 있는데 아무디레토리에서나 실행가능하게 하기위한 설정.
확장자가 cgi 이기만 하면 된다.

include 경로명 <= 웹서버 관련 설정파일을 포함하기 위한 설정




Options
-----------
All : 모든 옵션 사용. 보안상 좋지 않다
Indexes : 파일리스트를 다 보여준다. 역시 보안상 좋지 않다.
ExecCGI : CGI 실행을 할수 있도록 한다.
FollowSymLinks : symbolic 링크된 파일을 사용할 수 있도록 한다.
DocumentRoot 외부에 지정된 디렉토리라도 링크걸려 있으면
사용가능하다.

AllowOverride
----------------
AuthConfig : 접근인증 제어 지시자
FileInfo : 문서의 종류에 따라 제어
Limit : 명령어 제한 지시자
Options : 옵션 지시자
Indexes : 인덱스 관련 지시자

Order deny,allow <= deny 규칙 먼저 적용, allow 는 나중.
--------------------
deny - 특정 위치에서 access 거부
allow - 특정 위치에서 access 허용

ex)
Order deny,allow
Deny from all
Allow from 192.168.1.0/24

/test 디렉토리 access 권한은 192.168.1.0 네트워크에서만 가능하다.

*. 아파치를 DSO 방식으로 설치를 한 경우라면 아파치 설치후 나중에
필요한 모듈이 있으면 apxs 를 이용해서 올려줄 수 있다.

ex)
[root@centos1 httpd-2.2.10]# /usr/local/apache/bin/apxs -i -a -c ./modules/mappers/mod_userdir.c
/usr/local/apache/build/libtool --silent --mode=compile gcc -prefer-pic -DLINUX=2 -D_REENTRANT -D_GNU_SOURCE -D_LARGEFILE64_SOURCE -g -O2 -pthread -I/usr/local/apache/include -I/usr/local/apache/include -I/usr/local/apache/include -c -o ./modules/mappers/mod_userdir.lo ./modules/mappers/mod_userdir.c && touch ./modules/mappers/mod_userdir.slo
/usr/local/apache/build/libtool --silent --mode=link gcc -o ./modules/mappers/mod_userdir.la -rpath /usr/local/apache/modules -module -avoid-version ./modules/mappers/mod_userdir.lo
/usr/local/apache/build/instdso.sh SH_LIBTOOL='/usr/local/apache/build/libtool' ./modules/mappers/mod_userdir.la /usr/local/apache/modules
/usr/local/apache/build/libtool --mode=install cp ./modules/mappers/mod_userdir.la /usr/local/apache/modules/
cp ./modules/mappers/.libs/mod_userdir.so /usr/local/apache/modules/mod_userdir.so
cp ./modules/mappers/.libs/mod_userdir.lai /usr/local/apache/modules/mod_userdir.la
cp ./modules/mappers/.libs/mod_userdir.a /usr/local/apache/modules/mod_userdir.a
chmod 644 /usr/local/apache/modules/mod_userdir.a
ranlib /usr/local/apache/modules/mod_userdir.a
PATH="$PATH:/sbin" ldconfig -n /usr/local/apache/modules
----------------------------------------------------------------------
Libraries have been installed in:
/usr/local/apache/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
- add LIBDIR to the `LD_LIBRARY_PATH' environment variable
during execution
- add LIBDIR to the `LD_RUN_PATH' environment variable
during linking
- use the `-Wl,--rpath -Wl,LIBDIR' linker flag
- have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------
chmod 755 /usr/local/apache/modules/mod_userdir.so
[activating module `userdir' in /usr/local/apache/conf/httpd.conf]
[root@centos1 httpd-2.2.10]#

'Log > Linux' 카테고리의 다른 글

로그서비스 - syslog / logrotate / logwatch  (0) 2011.11.28
리눅스 방화벽 - iptables  (0) 2011.11.28
fedora9 dns 서버 설정 테스트 내용.  (0) 2011.11.28
NFS 서비스  (0) 2011.11.28
dns 설정 실습  (0) 2011.11.28
Posted by logwatch
이전버튼 1 2 3 4 이전버튼
블로그 이미지
내가 나에게 확인 하는 블로그
logwatch

태그목록

공지사항

Yesterday
Today
Total

달력

 « |  » 2024.11
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

최근에 올라온 글

최근에 달린 댓글

글 보관함

티스토리툴바