[정보보안기사 필기] 서버보안 파일시스템 및 보안정책

ㅁ 유닉스

ㅇ 파일시스템 보호

- root로 접근 및 변경 권한을 설정해야하는 파일

1. ~/loing, ~/.profile, crontab, NFS 파티션의 파일, /etc/rc* 파일 등

2. 사용자 계정에서 실행권한이 필요없는 실행권한을 제거

1) SUID와 SGID 는 권한이 없는 프로그램을 실행할 수 있으며 SUID는 소유자 권한으로 실행하는것이며 SGID는 소유그룹 권한으로 실행하는 것이므로 불푤이한 파일에 설정된 비트를 제거

2) umask는 시스템 파일이 만들어질 때의 허가권 기본값을 정하기 위해서 사용

- 백업  tar를 이용한 백업, 기타 솔루션 및 도구

- mount 테이블을 이용한 파일 시스템 관리 : /etc/fstab 파일보기

- 무결성도구 : tripwire, md5

ㅇ 네트워크 서비스의 주요 설정 내용

- telnet : 원격시스템에 접속할 때 사용하는 서비스로써 텔넷 데몬을 실행하고 사용자 계정을 등록

- rlogin : 원격 시스템에 접속할 때 사용하는 서비스로써 사전에 서버에 /etc/host.equiv 파일에 호스트를 등록한 후에 클라이언트는 패스워드를 입력할 필요없이 로그인이 가능한 서비스

- ssh : 원격 시스템에 접속할 때 사용하는 서비스로써 전송되는 데이터를 개인 열쇠 암호기법으로 암호화

- scp : 네트워크상에서 안전하게 파일을 복사할 수 있도록 해주는 유틸리티로 데이터 전송과 사용자 인증을 위하여 ssh를 사용

- samba : 서로 다른 운영체제의 자료 및 하드웨어 공유를 위한 프로토콜로써 주로 윈도우와 리눅스간에 자료 및 프린터 공유를 위해서 사용된다. NetBIOS와 호환되는 SMB 프로토콜을 사용하여 파일 및 프린터를 공유함

ㅁ 윈도우즈 NT

ㅇ 파일시스템 보호

- 보안기능이 강화된 NTFS 파일시스템을 사용하는 것을 권장

- administrator 계정의 사용권한 관리방법

1. 최소 권한의 규칙

2. 목적에 따른 계정 그룹의 사용 (계정 그룹을 만들어 일괄적인 권한설정)

1) 기본그룹 :  (administators, power users, users, backup operators)

2) 특수그룹 : (interactive, network, terminal sever user)

- 백업 : 시스템도구 - 백업, 기타 솔루션 및 도구

- 윈도우 환경의 레지스터리에 대한 보존 및 관리기법

1. 익명 액세스로부터 레지스트리 보호

1) 윈도우 2000 레지스트리 편집 도구에서 기본적으로 원격 액세스를 지원하므로 레지스트리 원격 액세스 권한은 관리자에게만 부여해야 한다. 레지스트리에 대한 네트워크 액세스를 제한하려면 레지스트리를 수정한다.

방법 

- HKEY_LOCALMACHINE\SYSTEM\CureentControlSet\Control\SecurePipeServers\winreg를 선택하여 보안 메뉴를 선택한 후 사용권한을 클릭하여 Administrators 사용권한을 모든 권한으로 설정하고 기타 계정 설정을 제거한다.

- 레지스트리에 적절한 ACL 적용

- 레지스트리 백업보관

ㅁ 시스템 접근통제 기술

- 개념 : 주체와 객체간의 관계를 지정하고 접근을 제한하는 방법

- 종류

1) 임의적 접근통제(DAC) : 주체나 또는 그들이 소속되어 있는 그룹들의 ID에 근거하여 객체에 대한 접근을 제한하는 방법. 즉 접근통제는 객체의 소유자에 의하여 임의적으로 이루어진다. 그러므로 어떠한 접근 허가를 가지고 있는 한 주체는 임의의 다른 주체에게 자신의 허가를 넘겨줄 수 있다.

2) 강제적 접근통제(MAC) : 객체에 포함된 정보의 비밀성과 이러한 비밀정보에 대하여 주체가 갖는 정형화된 권한에 근거하여 객체에 대한 접근을 제한하는 방법을 MAC라고 한다. 시스템 내에서 주체와 객체간에 성립하는 MAC 관계에는 다음과 같은 조건이 존재한다. 

-> 한 주체는 하나의 객체를 주체의 비밀등급에서의 계층적 분류가 객체의 비밀등급에서의 계층적 분류보다 작거나 같고 주체의 비밀등급에서의 비계층적 범주들이 객체의 비밀등급에서의 비계층적 범주들에게로 포함되는 경우에 기록할 수 있다. (말 어렵다. -> 계층적으로 분류된 비밀등급이 같거나 작을때)

3) 다단계 보안정책(MLS) : 최초 1960년대 후반 미국의 국방성에서 시작되었다. 국방성에서 사용하는 문서에는 보안등급이 있고 문서를 읽기 위해서는 문서의 보안등급과 같거나 높은 보안등급이 필요하였다. 

단순 보안 : 주체는 보안등급이 같거나 낮은 객체에 일긱를 할 수 있으나 높은 보안등급엔 읽기를 할 수 없다.

제한 속성 : 주체는 보안등급이 같거나 큰 객체에 쓰기를 할 수 있으나 낮은 보안등급의 객체에는 쓰기를 할 수 없다

4) 역할기반 접근제어(RBAC) : 주요 목적은 보안관리와 감사를 용이하게 하자는 것이다. 메인프레임에 관련된 상업적으로 성공한 많은 접근 통제 시스템들은 보안 관리를 위해 역할들을 정의한다. 예로 운영자역할은 모든 자원들에 접근할 수 있지만 접근 권한을 바꾸지는 못한다는 등이 있을 수 있는데 이 역할들에 대한 관리는 NetWare나 Windows NT와 같은 현대 네트워크 운영체제에서도 볼 수 있다.

ㅇ 접근통제도구

- 프로토콜 기반의 접근통제도구

1) 패킷 필터 : ipfwadm, ipchain, iptable, tcp wrapper

2) 프록시 서비스 : TIS FWTK

ㅇ 유닉스 계열의 접근통제

- 파일 및 폴더의 허가권 설정

1) 파일과 디렉토리에 접근 권한 변경 : chmod

2) 파일과 디렉토리에 소유자 및 소유그룹을 변경 : chown