Linux_p #9

           프로세스 모니터링 하기

어느 프로그램을 실행해서 생성되는 프로세스(process)는 해당 프로그램을 실행한 사용자의 권한으로 실행되므로 역으로 프로세스를 보면 해커에 의한 침투 프로세스를 알아낼 수 있다. 'ps 옵션' 형식으로 프로세스를 보는데 많은옵션이 있다.

ps ef ~ OR ps aux ~ 해서 외부에서 연결된 프로세스 번호를 보고 kill -9 PID 해서 연결을 끊을 수 있다.

 

 

 

ps aux 로 pid 확인

 

find 명렁어 확인

 

 find 명령어에서 여러 옵션 ( -perm(권한), -name(파일_명), -type f/d(파일/디렉터리), -not(부정), -iname(대소문자 무시 파일_명), -user(사용자), -used(사용기간), -inum(i-node 숫자), -empty(빈 파일/디렉터리), -size ! +100M(100M 이해), …)을 사용해서 파일을 찾은 뒤 , 에 -exec명령어 {} \; 를 추가해서 한 번에 처리 시킬 수 있다.

 

 

           kernel에서 실행될 수 있는 최대 파일 수와 프로세스 수를 지정해 두기

770000보다 높으면 외부에서 악성코드가 들어와 작업중일 수 있다.

 

           root 사용자의 열수 있는 최대 파일수나 실행할 수 있느 프로세스 수를 별도로 조정해두면 해커가 침투해서 root 권한으로 설정된 파일 수나 작업(프로세스) 수를 넘기는 작업ㄹ을 수행할수 없게된다.

도메인과 타입과 아이템과 벨류로 구성되어 있는데. 도메은 사용자나 그룹이나 *, % 타입은 두 밸류 ( 소프트, 하드) 아이템은 (코어와 맥스로 지정하는 데이터)

 

 

           누구나 들어와서 작업할 수 있는 /tmp 디렉터리 내의 파일 수를 점검하기

->t : 누구나 사용, 작업 가능

 

 

 

 

 

 

           ClamAV

Linux에서의 디포트 AV

# yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

 

 

$ clamscan

 

 

 

 

 

보안 도구 몇 가지를 살펴보자.

 

타겟에 관한 광범위한 정보를 알려주는

- Nmap

----BT(back track)

 

 

->어떤포트가 열려있고 어떤 서비스 실행중인

 

->오픈포트하고 서비스버전

 

->utp를 검사하는거

 

->운영체제를 검사해서 도메인을 알아낸다

 

->어떤포트가 열려 있는지

 

 

 

만능 보안도구인 - NetCat

 

->20-1000포트까지

 

 

 

 

 

->centos나 BT에서 입력하면 반대에 바로 보임

 

 

패킷 분석에 쓰이는 - TCPdump

 

 

 

 

 

파일의 변조 유무를 알아내는 - TripWire

 

설치 {

Postfix Configuration - ok

all - ok

Get site passphrase - rootoor

repeat - rootoor

local key passphrase - rootoor

repeat - rootoor

 

Get local passphrase (Tripwire has been installed) - ok

}

 

 

->centos에서 ubuntu 연결

 

 

 

 

 

파일시스템 변경을 모니터링 하는 - RPM과 AIDE

침입 등으로 인해서 시스템에 파일이 생성되거나

yum -y install aide

man aide.conf

aide -c /etc/aide.conf --init

aide -c /etc/aide.conf --check

(30분씩 걸림)

 

 

 

외부에서 시스템 포트를 스캔하는지 실시간으로 검사하는 - PortSentry

nmap이 외부에서 타겟 시스템의 포트를 스캔해주는 침투도구라면 portsentry는 실시간으로 메모리에 상주하면서 nmap과 같은 외부에서 해당 시스템의 포트 스캔을 탐지해서 막아주는 방어도구.

 

---ubuntu

# apt -y install portsentry

 

 

 

135,6 줄 0->1

->ssh 연결 막기

 

->blocked확인

 

 

          Rootkit 탐지하기

루트 킷의 주된 목적은 백도어

# apt -y install chkrootkit

---BT

scp -r /root/Desktop/SHARE/VI ubuntu@192.168.100.131. ~

unzip 3-1 trojan_9

passwd : enfected

 

---ubuntu

chkrootkit

 

 

루트킷을 찾아내는 - chkrootkit과 chkproc, shkwtmp

 

 

->그리고 3개다 exit

 

->두번이상 연결되면 거부해라 22번 포트에

 

 

 

 

----BT

bt에서 centos로 로그인ㅇ할 때 3번째는 접속이 불가해야한다.

로그는 db서버에 두지말고 로그서버를 구축하여 관리해야 한다.