[ 외부 침입자로부터 리눅스 지키기 ]

만약 인터넷에 당신의 PC 혹은 서버가 물려있다면, 언제라도 해커나
크래커가 침입하여 파일을 지우거나 새로운 계정을 만들어 다른 서버
해킹의 기지로 만들 수도 있다.

값비싼 보안 장비 대신 리눅스 커널 만으로도 당신의 리눅스를 지킬 수
있을 것이다. 하지만 리눅스의 네트워크 코드 역시 언제나 보안에 완벽 할
수 없기 때문에 이에 대한 위험은 감수 해야만 한다.

리눅스는 언제나 베타 테스트 상태에 있는 운영체제이다. 개발자들은
언제나 광범위한 테스트를 거치지 않고 새로운 버전을 발표한다. 바로
이러한 이유로 보안상 문제점이 발생할 수 있다.

정말로 보안에 충실한 리눅스 시스템을 구축하기 위해서는 두가지 방법을
생각할 수 있다. 항상 보안 관련 뉴스에 귀기울이며 새로운 버전이
발표 될 때마다 매일 매일 업데이트 하거나, 네트워크 트래픽 필터를
설치하여 sendmail처럼 공격에 무너질 수 있는 데몬을 집중 공격하는
트래픽을 필터링 할 수 도 있다.

IP Chains(ipchains)는 리눅스 커널 2.1.102부터 채택된 트래픽 필터링
패키지로써 해커들이 인터넷을 통해 온라인 상태의 컴퓨터에 침입하는 것을
막을 수 있다. IP Chains는 대부분의 배포본에 미리 컴파일이 되어
배포되지만, 당신의 시스템에서 Activate되어 있는지 다시한번 체크해야
한다.

만약 ipchains가 activate되어 있다면, `/proc/net/ip_fwchains'라는
파일이 존재할 것이다. /proc/net/ip_fwchains 파일은 ipchains의 설정에
관한 정보를 담고 있다.

ipchains가 커널에 컴파일 되어 있는지, 그리고 설정은 되어 있는지를
아는 방법은 간단하다. 루트로 로그인 하여 다음과 같은 명령을 내려주면
쉽게 알 수 있다.

+--------------------------------------------------------------------+
ipchains가 커널에 컴파일 되어있고 설정이 되지 않은 경우

# cd /proc/net
# ls -la ip_fwchains
-rw------- 1 root root 0 Dec 6 02:17 ip_fwchains
# cat ip_fwchains
# /sbin/ipchains -L
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):
+--------------------------------------------------------------------+


+--------------------------------------------------------------------+
ipchains가 커널에 컴파일 되어 있지도 않고 설정도 되어있지 않은 경우

# cd /proc/net
# ls -la ip_fwchains
ls: ip_fwchains: No such file or directory
# /sbin/ipchains -L
# cat ip_fwchains
cat: ip_fwchains: No such file or directory
# /sbin/ipchains -L
ipchains: Incompatible with this kernel
+--------------------------------------------------------------------+


만약 ipchains가 커널에 컴파일 되어 있지 않다면, 커널 설정시
CONFIG_FIREWALL=y, CONFIG_IP_FIREWALL=y라는 옵션을 주고 다시 커널을
컴파일 해야한다.

커널을 성공적으로 컴파일 하여 ipchains 가 active되어 있다면 다음으로
ipchains 설정 프로그램이 설치되어 있는지 확인하고 설정에 들어간다.
ipchains 실행파일은 주로 `/sbin/ipchains'로 되었있다. 만약 /sbin/에 이
실행파일이 없다면 다운 받기전에 다른 디렉토리를 찾아보기 바란다.


+--------------------------------------------------------------------+
포트 번호가 1024이하의 포트로 들오오는 모든 트래픽을 차단하는 명령

# /sbin/ipchains -A input -p tcp --dport 1:1024 -y -j DENY
# /sbin/ipchains -A input -p udp --dport 1:1024 -j DENY
+--------------------------------------------------------------------+

위의 명령을 사용하면 포트 1번에서부터 1024까지는 모든 접속이
차단된다. 1번에서 1023번까지으 포트는 예약되어 있는 포트로 매우
중요하다. 오직 루트로 동작하는 프로세스만이 이 영역에 있는 포트를
사용할 수 있기 때문에 크래커는 이 포트를 사용하는 프로세스를 이용하여
원격지에서 루트 권한을 얻을 수 있다. 이러한 이유로 이 영역의 연결을
막는 것이다.

이렇게 설정하면 내부 사용자는 다른 사이트로 나갈 수 있지만 크래커의
침입할 수 없게 된다.


+--------------------------------------------------------------------+
ipchains와 함께 사용되는 플래그

-A 하나 이상의 규칙을 추가
-p 프로토콜 타입
-d 포트의 범위 지정
-y syn 비트는 set으로 ack, fin 비트는 클리어
-j 만약 패킷이 현재의 규칙과 맞아 떨어지면 지정한 곳으로 분기
+--------------------------------------------------------------------+


위의 예는 아주 ipchains가 할 수 있는 간단한 예일 뿐이다. 더욱 막강한
필터 규칙이 가능하다. 만약 proxy를 설정이나 리눅스에서 ipchains
게이트웨이를 사용하여 내부 네트워크를 보호하는데 관심이 있다면
ipchains HOWTO를 읽어보고 다양한 트래픽 필터 설정을 해보기 바란다.

ipchains 설정을 변경하는 것은 단지 현재 동작하고 있는 커널에만
적용된다. 시스템이 다시 부팅된다면 여태 해놓은 설정은 사라지게 된다.
시스템이 다시 부팅 된 후에는 다시 설정을 해주어야 하기 때문에
ipchains에 관한 설정은 부팅 스크립트에 넣어 두는 것이 좋다.

일단 기본적인 필터의 설정을 마치기만 하면, 썩 괜찮은 오픈소스
방화벽을 구축한 것이다. 리눅스 전도사들은 이러한 것들을 윈도우즈에는
없는 리눅스의 장점으로 꼽는다. 윈도우즈에서 지원하는 트래픽 필터링은
제한적이고, 무료 방화벽 소프트웨어도 거의 없다.


[ tar를 이용한 백업 (1) ]

본 글에서는 tar라는 유틸리티를 이용하여 백업하는 법을 배워보기로 한다.


tar를 통해 우리는 파일을 백업할 수 있고 복원할 수 있다. tar와 cron을
연동해서 잘만 사용하면 비싼 백업유틸리티를 사지 않아도 훌륭한
백업작업을 할 수 있다.

우선 tar 명령어를 사용하는 법 부터 배워 보자.

O tar 옵션 정리
사용법: tar 옵션 파일1 [파일2 파일3 ...] 디렉토리1 [디렉토리2
디렉토리3 ...]

-c 디렉토리를 포함하여 여러개의 파일들을 묶을 때 사용한다(Create).

-x 디렉토리를 포함하여 묶인 파일의 압축을 풀겠다는 것을 tar에게
알린다(eXtract).
-t tar 파일안에 있는 파일이나 디렉토리 목록을 볼 때 사용하는
옵션이다(lisT).
-f <파일명>
파일을 묶을 때는 출력 파일, 파일의 압축을 풀때는 입력 파일을 이
옵션 뒤에 써 준다(File). <파일명>에는 /dev 디렉토리 밑의
장치명이 올 수도 있다. 이 때는 그 장치명에 해당하는 장치를
출력으로 하거나 입력으로 한다.
-v 작업 진행 상황을 화면에 표시한다(Verbose).
-C <디렉토리>
tar 동작을 개시하기 전에 명시한 <디렉토리>로 디렉토리를 바꾼 후
작업한다. 기본적으로 현재 디렉토리를 대상으로 작업하지만 다른
디렉토리에 압축을 풀 때 유용한 옵션이다.
-M -f 옵션 뒤에 미디어 장치명(플로피나 DAT같은)이 올 때 멀티 볼륨
백업을 하거나 복원할 때 사용한다(Multi-volume). 파일이
많아서 한장의 미디어로 모든 파일을 백업이나 복원할 수 없을
때 사용한다.
-G 이 옵션은 부분 백업(incremental backup)할 때 사용한다.
부분 백업은 어떤 기준을 정하고 그 기준과 다른 파일들만
부분적으로 백업하는 것을 말한다.
-V <볼륨명>
볼륨명을 정한다. 현재 백업되어 묶인 파일에 특별한 이름을
부여하는 것이다.
-N <날짜>
지정된 날짜 이후에 만들어진 파일이나 디렉토리를 대상으로
한다(Newer).

O 파일을 묶어 보자.

다음 처럼 하면 파일을 묶을 수 있다.

$ tar -c -v -f ex1.tar file1 file2 dir1/ dir2/

위의 예는 file1, file2 두개의 파일과 dir1과 dir2 두개의 디렉토리를
위디렉토리를 포함하여 한개의 파일인 ex1.tar(`-f ex1.tar')로 묶어
주라(`-c')는 것이다. 진행상황(`-v')도 화면에 표시한다.

뒤에 오는 file1, file2, dir1, dir2에는 얼마든지 묶고자 하는
파일이나
디렉토리 목록이 올 수 있으며, 그 순서는 상관없다.

다음처럼 하면

$ tar -c -v -f ex2.tar file3 file4 /home/sylee/dir3
/home/sylee/dir4

/home/sylee/dir3, /home/sylee/dir4 디렉토리를 묶는 것이지만 실제로
묶을 때는 제일 앞의 '/'을 제거한다. 즉 절대 경로명이 아니라 상대
경로명으로 묶게된다. 잠시 후에 알아 보겠지만 절대 경로가 아니라 상대
경로로 기록해 두게 되면 사용자가 풀고자 하는 디렉토리를 정할 수 있게
된다.