리눅스 보안 (3)

*사용하지 않는 데몬 끄기

 

사용하지 않는 데몬이 불필요하게 리소스를 차지하고 있다면 아래의 명령으로 종료할 수 있습니다.

 우선 시스템의 runlevel을 확인 하신 후 아래와 같은 명령으로 부팅 시 자동 실행되는 데몬들을 확인 후

 

chkconfig --list | grep 5:on

 

불필요 데몬은 종료해 주시면 됩니다.

 

데몬 종료 명령은 rpm 으로 설치된 데몬은 다음과 같은 디렉토리에 실행 파일이 존재 하므로 이동하여  종료하시면 됩니다.

/etc/rc.d/init.d

./vsftpd stop

./xfs stop

 

*서버시간 매시간마다 동기화 설정

 

아래의 설정을 이용하면 서버시간을 매 시간마다 타임서버 (time.bora.net) 에서

표준시간 정보를 받아와 동기화 되도록 설정할 수 있습니다.

 

 * /etc/cron.hourly/time_sync.sh

 

 

*SYN_Flooding 공격 막기

 

SYN_Flooding 공격은 TCP 세션 연결 시 존재하는 취약성을 이용한 공격이며, DDoS 공격의 일종입니다.

일반적으로 TCP 세션은 보내는 서버와 받는 서버간의 몇 단계 확인 작업이 거쳐 패킷을 전송합니다.

SYN 과 ACK 패킷을 이용하여 송수신 준비를 합니다.

 

 

#cat /proc/sys/net/ipv4/tcp_syncookies

0

#cat /proc/sys/net/ipv4/tcp_max_syn_backlog

1024

 

SYN 패킷을 받은 서버는 SYN 과 ACK 패킷을 보내고, 소스서버에서 ACK 패킷을 보내기를 기다립니다.

이때, 백로그큐가 허용하는 공간에 연결 정보를 보관합니다.

이런 상태가 계속 쌓이면 목적지 서버의 서비스에 영향을 미치게 됩니다.

 

해당 공격을 차단하기 위해 두 가지 설정이 필요합니다.

1. 백로그큐 사이즈를 늘려준다.

2. tcp_syncookies 값을 "1" 로 설정한다.

 

정상적인 ACK 패킷이 도달하지 않으면 TCP 세션 연결을 위한 리소스 낭비를 하지 않게 됩니다.