출처 :  http://www.hyungjun.kr/47


이번에는 IBM 한국 DeveloperWorks의 Linux  관련 자료 중에서 괜찮은 글을 발견했습니다.
물론 부담없이 읽을 수 있는 한글로된 문서입니다. :)
[리눅스 철통 보안]이라는 제목의 2회 연재분량의 글입니다. 원래 Part 1만 나왔을때 소개하려다가 2회 연재가 끝나길 기다렸다가 이제야 소개하게 되었습니다.

Part 1 : 쉘 제거하기(한글)
Part 2 : 서명된 바이너리만 실행하기(한글)


1. Part 1에서는 리눅스의 자유로운 맞춤 설정 기능을 통제해야 하는 이유을 알려주고 가짜 사용자가 기본 설치 상태를 바꾸는 것을 막기 위해 표준 리눅스 배포판을 잠그는 조심스러운 첫 걸음을 뗄 것이다. 이 1단계 작업은 이 연재 Part 2의 기초 작업으로 서명된 바이너리만 사용할 수 있게 강제하는 커널을 빌드함으로써 잠금 과정을 마무리한다.

 - 대규모 리눅스 시스템을 지원할 때 고려해야 하는 보안 문제와 위험과 비용을 최소화하는 법을 배운다.
 - 기본 시스템이 변경되는 것을 막기 위해 하드웨어와 펌웨어를 셋업하는 법을 살펴본다.
 - 사용자가 승인되지 않은 코드를 보안 환경에서 실행하는 위험을 최소화하기 위해 표준 리눅스 인터프리터를 제거한다.
 - 감사와 승인을 하지 않은 애플리케이션을 끼워넣을 수 없는 산업 등급의 보안을 갖춘 리눅스 배포판을 설정한다.


2. Part 2에서는 리눅스의 자유로운 맞춤 설정 기능을 통제해야 하는 이유를 알려주고 가짜 사용자가 기본 설치 상태를 바꾸는 것을 막기 위해 표준 리눅스 배포판을 잠그는 법을 다룬 Part 1의 내용을 확장한다. Part 2에서는 여러분이 지원하는 각 머신에서 서명된 바이너리만 사용할 수 있도록 하는 커널을 만들어 철통 보안 과정을 마무리한다.


 - 대규모 리눅스 머신 설치 유지 보수에서 인증된 실행 파일만 실행하도록 특별히 만들어진 커널을 운영하는 데 필요한 관리 문제와 과정을 배우게 될 것이다. 각각의 실행 파일은 Part1에서 다룬 기본적인 철통 보안 프로세스에서 설정됐다.
 - 시스템을 유지하는 데 필요한 암호화 된 데이터를 관리하는 방법을 다룰 것이고, 마지막으로 관리되지 않은 실행 파일이 안전한 환경에서 실행되지 않도록 막는 방법을 다룰 것이다.
 - 개인적으로 감사(audit) 및 승인하지 않은 애플리케이션을 끼워 넣을 수 없는, 산업 등급의 보안을 갖춘 리눅스 시스템을 설정할 수 있을 것이다.


이 글의 저자는 망가뜨려도 상관 없는 오래 된 리눅스 컴퓨터가 필요하다고 얘기하고 있습니다.
따라서 기나긴 리눅스 설정 삽질을 시작할때와 마찬가지로 중요한 데이터는 꼭 Backup 하시길 바랍니다.
되도록이면 보조 PC나 테스트 장비 등에서 시험해보는게 좋을것 같네요.

다음에 여분의 PC가 생기면 한번 시도해 봐야겠습니다. 근데 이렇게 해놓으면 관리자도 불편해하지 않을까합니다...
걍  한번 시도해보는걸로 만족하렵니다. :) 생각해보니 전산실에서
구형 서버라도 한대 빌려서 해보면 될것 같네요.
근데 구형 장비가 남아있으려나...




'::: OS ::: > Linux' 카테고리의 다른 글

리눅스 자동 백업 스크립트  (0) 2010.08.20
정규 표현식  (0) 2010.05.04
압축 명령어 모음  (0) 2009.09.08
vsftpd 서비스 접속 제한  (0) 2009.06.01
Linux find 명령어 완전 정복 가이드  (0) 2009.05.17

+ Recent posts