Born2beroot

GPL 라이센스

General Public License 은 저작권 개념이다. 결론적으로 GPL 프로그램의 결과물이 GPL의 코드 일부 혹은 전체를 포함하는 프로그램이거나 GPL 프로그램의 일부로 구성되는 경우에는 그 결과물에 GPL 라이선스가 적용될 수도 있지만, 이러한 경우는 드물게 발생하는 만큼 프로그램이 생성하는 결과물에 GPL 라이선스가 적용되지 않는 것으로 이해하면 됩니다.

kernel 커널

컴퓨터 운영체제의 핵심이 되는 컴퓨터 프로그램으로, 시스템의 모든 것을 완전히 통제한다. 운영체제의 다른 부분 및 응용 프로그램 수행에 필요한 여러 가지 서비스를 제공한다. 핵심이라고도 한다.

커널은 컴퓨터 하드웨서와 프로세스의 보안을 책임지고, 자원 관리 부분에서 한정된 시스템 자원을 효율적으로 관리하여 프로그램의 실행을 원활하게 한다. 특히 프로세스에 처리기를 할당하는 것을 스케줄링이라고 한다. 추상화 부분에서 같은 종류의 부품에 대해 다양한 하드웨어를 설계할 수 있기 때문에 하드웨어에 직접 접근하는 것은 문제를 매우 복잡하게 만들 수 있다. 일반적으로 커널은 운영 체제의 복잡한 내부를 감추고 깔끔하고 일관성 있는 인터페이스를 하드웨어에 제공하기 위해 몇가지 하드웨어 추상화들을 구현한다. 이 하드웨어 추상화는 프로그래머가 여러 장비에서 작동하는 프로그램을 개발하는 것을 돕는다.

커널의 종류에는 단일형, 마이크로, 혼합형(수정 마이크로), 나노, 엑소 커널들이 존재한다.

CentOS

Red Hat 엔터프라이즈 리눅스와 완전하게 호환되는 무료 기업용 리눅스 운영체제이다. 운영체제는 컴퓨터 하드웨어 자원 및 프로세스를 관리하는 소프트웨어이며 서버 하드웨어를 사용하기 위해서는 반드시 설치해야 하는 소프트웨어이다. CentOS를 서비스용 시스템의 운영체제로 사용하는 곳이 많은데 가장 큰 장점은 비용을 절감할 수 있다는 점이다. 인터넷 포털, 게임, 웹호스팅 같은 업체에서 Fedora 나 CentOS를 많이 사용한다. RPM패키지 형식 (YUM과 DNF를 프로그램의 설치,제거,업그레이드 구성을 관리하는 패키지 관리자로 사용)

Debian

기본적으로 리눅스를 커널로 사용한다. 데비안은 다른 GNU/Linux 배포판과 다른 가장 큰 특징은 패키지 관리 시스템입니다. 데비안 시스템 관리자는 시스템에 설치된 패키지에 대해 하나의 패키지 설치에서 운영 체제 전체 자동 업데이트까지 완벽하게 제어할 수 있습니다. 개별 패키지를 업데이트하지 않도록 설정할 수 있습니다. 직접 컴파일한 소프트웨어에 대한 종속성을 설정할 수 있습니다. DEB패키지 형식 (dpkg와 APT를 프로그램의 설치,제거,업그레이드 구성을 관리하는 패키지 관리자로 사용)

KDump

커널 패틱 이벤트 시에 충돌 덤프를 생성하는 리눅스 커널의 한부분이다. KDump가 발생하면 디버깅 목적으로 분석될 수 있고 충돌의 원인을 결정할 수 있는 메모리 이미지(vmcore)를 익스포트한다.

LVM

Logical Volume Manager이란 Logical Volume을 효율적이고 유연하게 관리하기 위한 커널의 한 부분이자 프로그램이다. 기존방식이 파일시스템을 블록 장치에 직접 접근해서 읽고 쓰기를 했다면, LVM은 파일시스템이 LVM이 만든 가상의 블록 장치에 읽고 쓰기를 하게 됩니다. 이처럼 LVM은 물리적 스토리지 이상의 추상적 레이어를 생성해서 논리적 스토리지(가상의 블록 장치)를 생성할 수 있게 해줍니다. 직접 물리 스토리지를 사용하는 것보다 다양한 측면에서 유연성을 제공하는데, 유연한 용량 조절, 크기 조정이 가능한 스토리지 풀(Pool), 편의에 따른 장치 이름 지정, 디스크 스트라이핑, 미러 볼륨 등을 제공합니다.

LVM의 주요 5가지 용어는 다음과 같다.

PV(Physical Volume)

LVM에서 블록 장치(블록 단위로 접근하는 스토리지. 하드 디스크를 예시로 들 수 있다.)를 사용하려면 PV로 초기화 해야한다. 즉, 블록 장치 전체 또는 그 블록 장치를 이루고 있는 파티션들을 LVM에서 사용할 수 있게 변환하는 것이다. PV는 일정한 크기의 PE들로 구성이 된다.

PE(Physical Extent)

PV를 구성하는 일정한 크기의 블록으로 LVM2(LVM1도있는데 단순히 2가 개선된 버전이라 생각하면 된다.)에서는 기본 크기가 4MB이다. LV의 LE들과 1:1로 대응된다. 그렇기에 PE와 LE의 크기는 동일하다.

VG(Volume Group)

PV들의 집합으로 LV를 할당할 수 있는 공간이다. 즉, PV로 초기화된 장치들을 VG로 통합한다. 사용자는 VG안에서 원하는대로 공간을 쪼개서 LV로 만들 수 있다.

LV(Logical Volume)

사용자가 최종적으로 다루게 되는 논리적 스토리지이다. 생성된 LV는 파일 시스템 및 애플리케이션(Database 등)으로 사용된다. 위에서도 언급했듯이 LV를 구성하는 LE들은 PV의 PE들과 맵핑하며 존재하게 된다. LE와 PE가 맵핑되면서 총 3가지의 유형의 LV가 생성되는데 선형, 스트라이프 된, 미러된 LV의 형태이다.

LE(Logical Extent)

LV를 구성하는 일정한 크기의 블록으로 기본크기는 PE와 마찬가지로 4MB이다 .

LVM 은 이름처럼 파티션대신 볼륨이라는 단위로 저장 장치를 다룰 수 있으며, 물리 디스크를 볼륨 그룹으로 묶고 이것을 논리 볼륨으로 분할하여 관리합니다. 스토리지의 확장이나 변경시 서비스의 변경을 할 수 있으며 특정 영역의 사용량이 많아져서 저장 공간이 부족할 경우에 유연하게 대응할 수 있습니다.

apt VS Aptitude

Apt : Advanced Packaging Tool 로 소프트웨어의 설치와 제거를 처리하는 패키지 관리 툴이다. 초기에는 .deb패키지를 관리하기 위해 만들었지만 현재는 rpm패키지 매니저와도 호환된다. apt는 그래픽 인터페이스 없이 명령어를 사용하여 자동으로 설치한다. 또한 굉장히 유연해서 사용자가 직접 새로운 소스 목록을 추가하거나 시스템이 업그레이드 되도 해당 패키지를 업데이트 하지 않게 해 현재 버전을 계속 사용하는 등의 작업을 할 수있다.

Aptitude 는 사용자 인터페이스를 추가하여 사용자가 대화형으로 패키지를 검색해 설치, 제거할 수 있는 high - level 패키지 관리 도구이다 . 데비안을 위해 만들어 졌지만 rpm 기반 패키지 까지 확장된다. 그리고 텍스트 기반 대화형 인터페이스와 비대화형 command line 모드에서도 작동한다.

차이점

Aptitude가 더 방대하고 apt-get, apt-cache를 포함한 기능들을 포함한다. apt-get이 패키지 설치, 업그레이드, 시스템 업그레이드, 종속성 검사 등을 한다면 Aptitude는 설치된 패키지 목록, 패키지를 자동 또는 수동으로 설치하도록 표시, 업그레이드에 사용할 수 없는 패키지 보관등 더 많은 일을 할 수 있다.

이외의 차이점으로는 어떠한 패키지를 삭제할때 Aptitude는 사용하지 않는 패키지까지 삭제하지만 apt는 따로 명시해주어야한다. 또한 Aptitude는 “why”, “why-not”과 같은 명령어를 통해 어떤 동작이 왜 안되고 되는지 파악 할 수있다. apt는 설치, 제거 중 충돌이 일어날경우 종료되지만 Aptitude는 해결방법을 제시 할 수 있다.

접근 통제

디렉토리나 파일, 네트워크 소켓 같은 시스템 자원을 적절한 권한을 가진 사용자나 그룹이 접근하고 사용할 수 있게 통제하는 것이다. 접근 통제에서 시스템 자원을 객체(object)라고 하며 자원에 접근하는 사용자나 프로세스를 주체(subject)라 한다.

DAC (임의적 접근 통제, Discrtionary Access Control)

주체(소유자/사용자)가 속해있는 그룹의 신원에 근거하여 객체에 대한 제안하는 방법이다. 객체의 주체가 접근 여부를 결정하고(분산형 보안관리), 하나의 주체마다 객체에 대한 접근 권한을 부여해야 한다.

장점

객체 별 세분화된 접근제어

특정 주체가 다른 주체에게 임의적인 접근 제어 가능

유연한 접근 제어 서비스

단점

시스템 전체 차원에서의 일관성 있는 접근 제어 부족

각종 바이러스에 취약

MAC (강제적 접근 통제, Mandatory Access Control)

자원의 보안 레벨과 사용자의 보안 취금 인가를 비교하여 접근 제하는 방식이다. 즉, 정의된 정책을 활용해 사용자와 프로세스의 행동을 제어하는 것이다.

장점

매우 엄격한 보안

모든 객체(파일)에 대한 관리가 용이

단점

구현, 운영이 복잡

모든 접근에 대해 확인해야 하므로 성능 저하

상업적인 환경에 부적합

SELinux

Security-Enhanced Linux는 관리자가 시스템 액세스 권한을 효과적으로 제어할 수 있게 하는 Linux 시스템용 보안 아키텍처이다. 이전에는 리눅스가 오픈 소스코드이기 때문에 보안이 취약했는데 이를 보안한게 SELinux이다. 레드햇 계열 운영체제(RHEL, Fedora, CentOS)에서 많이 사용되며, MAC이 적용되었다. 시스템 전체에 대한 보안 설정이 가능하다.

장점

사전 정의된 통제 정책 탑제

"Deny All, Permit Some"(모든 것을 차단하고 필요한 것만 허용) 정책으로 잘못된 설정 최소화

권한 상승 공격에 의한 취약점 감소

잘못된 설정과 버그로부터 시스템 보호

한계

SELinux의 주요 목표는 잘못된 설정이나 프로그램의 보안 버그로 인해 시스템이 공격 당해도 시스템과 데이터를 보호하고 2차 피해를 막는 것

즉, 여러 가지 보안 요소 중에 하나이며 모든 보안 요건이 충족되지는 않음

따라서 SELinux는 침입 차단 시스템(IPS; Intrusion Protection System), 침입 탐지 시스템(IDS; Intrusion Detection System)이나 바이러스 백신이 아니므로 여러 보안 요소와 혼용하여 사용해야 한다.

AppArmor

AppArmor(Application Armor)는 시스템 관리자가 프로그램 프로필 별로 프로그램의 역량을 제한할 수 있게 해주는 리눅스 커널 보안 모듈이다.

SUSE 계열(SUSE Linux), 데비안 계열(Debian, Ubuntu) 운영체제에서 주로 사용되며, MAC이 적용되었다. (전통적인 Linux는 DAC)개별 응용프로그램을 보호하는 일에 집중되어 있으며, 응용프로그램 단위의 보안 모델이 구현되어 있다.

장점

제로 데이 공격을 비롯한 외부 또는 내부 위협으로부터 운영 체제와 애플리케이션을 보호한다.

"좋은 행동"이 시행되고 알려지지 않은 애플리케이션 결함을 통한 악용을 완화한다.

AppArmor 보안 정책은 개별 애플리케이션이 액세스할 수 있는 시스템 리소스와 권한을 정의한다.예를 들어: 네트워크 액세스. 원시 소켓 액세스. 특정 경로에서 파일 읽기, 쓰기 또는 실행 권한

단점

스냅에 중점을 두고 있으며, 기본 정책은 시스템의 프로그램을 거의 제한 하지 않고 지원하는 정책 모듈(프로파일)이 부족하다.

정책 규칙이 세분화되지 않고 유연성이 부족하다.

네트워크 규칙에 대한 권한이 없다.

SSH

Secure Shell Protocol, 즉 네트워크 프로토콜 중 하나로 컴퓨터와 컴퓨터가 인터넷과 같은 Public Network를 통해 서로 통신을 할 때 보안적으로 안전하게 통신을 하기 위해 사용하는 프로토콜이다. 대표적으로 데이터 전송(깃과같은)과 원격 제어(AWS)에 사용되어진다. SSH는 FTP나 Telnet 과 같은 다른 프토토콜 보다 보안적으로 훨씬 안전한 채널을 구성한뒤 정보를 교환한다. SSH는 Public Key 와 Private Key 한쌍을 사용하여 컴퓨터 끼리 인증과정을 거친다. 간단히 말하면 private key는 절대 외부로 노출이 되어서는 안되고 통신하고자 하는 컴퓨터에 암호화된 public key를 복사하여 저장하여, 요청을 보내는 클라이언트 사이드 컴퓨터에서 접속 요청을 할 때 응답을 하는 서버 사이드 컴퓨터에 복사되어 저장된 Public Key 와 클라이언트 사이드에 해당 Public Key와 쌍을 이루는 Private Key와 비교하여 서로 쌍을 이루는지 검사한다. 쌍이 맞는게 확인이 되면 두 컴퓨터 사이에 암호화된 채널이 형셩이 되어 Key를 활용해 메시지를 암호화하고 복호화하여 주고 받을 수 있게 된다.

부트로더

MBR 또는 GUID 파티션 테이블에 저장된 작은 프로그램으로, 운영 체제를 메모리에 로드하는데 도움이 된다. 부트로더가 없으면 운영 체제를 메모리에 로드 할 수 없다.

GNU GRUB

LILO(Linux Loader)

BURG

시스리눅스

Linux 부트 로더(BOOT LOADER) : 개념, 종류, 추천

시스템을 켜면 POST(Power On Self Test)가 성공적으로 완료된 직후 BIOS는 구성된 부트 미디어를 찾아 부트 미디어의 첫 512바이트인 마스터 부트 레코드(MBR) 또는 GUID 파티션 테이블에서 일부 지침을 읽습니다. MBR에는 두 가지 중요한 정보 집합이 포함되어 있습니다. 하나는 부팅 로더이고, 다른 하나는 파티션 테이블입니다.

https://jjeongil.tistory.com/611

TTY

teletype의 약자이다.

기본적으로 tty는 로컬 시스템에서의 가상터미널을 의미하고 pts는 원격터미널을 의미한다.

Linux에서 TTY 란 무엇입니까? (tty 명령 사용법) - 최신

June Marie Sobrito / Shutterstock.com 무엇을 tty 명령? 사용중인 터미널의 이름을 인쇄합니다. TTY는 "teletypewriter"의 약자입니다. 사령부의 이름 뒤에 숨겨진 이야기는 무엇입니까? 좀 더 설명이 필요합니다. 1800 년대의 텔레 프린터 1830 년대와 1840 년대에는 텔레 프린터로 알려진 기계가 개발되었습니다. 이러한 기계는 유형이 지정된 메시지를"아래로"먼 위치로 보낼 수 있습니다. 발신자는 일종의 키보드로 메시지를 입력했습니다.

http://choesin.com/linux%EC%97%90%EC%84%9C-tty-%EB%9E%80-%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C-tty-%EB%AA%85%EB%A0%B9-%EC%82%AC%EC%9A%A9%EB%B2%95

사용자관리 USERMOD

usermod [option] 사용자계정

사용자 아이디 변경할때 : usermod -l <새로운계정><기존계정>

주의할점은 사용자 ID를 변경할 경우에는 사용자의 홈 디렉토리도 같이 고려되어야 한다. 따라서 -d,-m옵션도 같이 사용해주어야 한다.

[리눅스/유닉스] 사용자관리 usermod 명령어, 사용자 아이디 변경, 임시 계정 발급, usermod 옵션, 사용 예시

리눅스/유닉스 LINUX/UNIX 포스팅 링크 모음 바로가기] 안녕하세요~! 오늘도 제 블로그를 방문해주시는 분들 반갑습니다. 오늘은 오랜만에 리눅스유닉스 카테고리 글을 작성해보려고 하는데요, 오늘은 관리자 역할 사용자계정을 관리하는 usermod에 대해 알아보도록 할거예요. 이번에는 이미 생성된 사용자들을 변경하는 시간입니다. 사용자 추가(useradd)에 대한 내용이 궁금하면 아래 포스팅을 참조해주세요!

https://jhnyang.tistory.com/259

[리눅스/유닉스] 사용자관리 usermod 명령어, 사용자 아이디 변경, 임시 계정 발급, usermod 옵션, 사용 예시

UFW, firewall

Uncomplicated Firewall은 데비안 계열 및 다양한 리눅스 환경에서 작동되는 사용하기 쉬운 방화벽 관리 프로그램이다. UFW는 사용하기 쉽게 설계된 넷필터 방화벽을 관리하는 프로그램으로 간단한 명령 및 명령수가 적은 명령줄 인터페이스를 사용하는 것이 특징이며 프로그램 구성에는 iptables를 사용한다. UFW는 기본적으로 18.04 LTS 이후의 모든 데비안 및 우분투(Ubuntu)에서 사용할 수 있다.

Firewall : 방화벽은 기본적으로 외부의 침입을 막기 위해 실행되며, 콘솔이 아닌 외부에서 원격 접속을 위해 기본포트 22번, SSH만 허용되어진다.

Debian 9에서 UFW로 firewall 설정하는 방법

UFW, uncomplicated Firewall은 기본적으로 Debian에 포함되어 있는 firewall을 구성하는 절차를 단순...

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=jodi999&logNo=221409997866

apt install net-tools

debian root에서 ls가 안되는이유 : root는 다른말로 /로 나타낼 수 있는데 디스크의 시작 포인트라고 할 수 있다. 우리가 생각하는 것은 기본적으로 /root라는 루트디렉토리인것이고 그냥 / 은 나의 파일시스템의 root라는 의미인 것이다.

평가준비


평가 전에 그룹 지정
groupadd user42
usermod -aG sudo,user42 <사용자이름>
usermod -g user42 <사용자이름>
vm을 상태 저장하면서 종료

스냅샷을 남긴다.

터미널에서 cd /goinfre/intra id/vm이름 으로 가상머신이 설치된 폴더로 진입

shasum vm이름.vdi 를 실행

잠시 기다리면 가상머신의 서명이 나옴

여러차례 실행하면서 바뀌는지 확인

shasum vm이름.vdi > signature.txt 에 넣고 git push 해서 평가준비

가상머신의 작동방식

하나의 물리 서버에서 여러개의 운영체제를 구동할 수 있도록 하는 기술이다. 이번 과제에서 사용한 VirtualBox는 Hypervisor위에서 작동을 하는데 두가지 유형중 host OS 위에서 실행되는 방식이다. 물리 하드웨어를 host, VM을 guest라 한다.

CentOS 와 Debian 차이

기본적으로 둘다 리눅스 커널 + 자유소프트웨어 로 구성된 리눅스 배포판으로 오픈소스로 운영된다. CentOS의 경우 yum을 패키지 관리 툴로 사용되고 debian 에서는 dpkg 와 APT가 사용된다. CentOS는 주로 기업에서 많이 사용된다.

가상 머신의 목적

가상머신은 비용절감의 이점이 있고, 간편하고 속도가 빠르며, downtime이 최소화된다는 장점들이 있다.

aptitude 와 apt의 차이점, Apparmor란?

aptitude는 apt에서 프론트엔드의 기능이 생긴 툴이라 생각하면된다.

Apparmor란 리눅스 커널의 보안 모듈로 오픈 소스이고 생성한 개별 프로그램에 대한 profile 파일을 통해 아래와 같은 권한을 통제함으로써 개별 프로그램을 보호한다. 접근통제 방법중 MAC을 사용한다. mac의 경우 보안이 뛰어나다는 장점이 있지만 상업적으로는 사용이 어렵다(중앙집권적)

네트워크 액세스 권한

raw 소켓 액세스 권한

파일의 읽기, 쓰기, 실행 권한

dpkg -l | grep xorgs ( gui 확인 )

간단한 설정


sudo systemctl status ufw, ssh
uname -a

새로운 유저 생성 ,그룹 등록, 암호화 정책 및 확인


sudo adduser <new_user>
sudo groupadd eval
sudo usermod -aG eval <new_user>
vi /etc/login.defs
vi /etc/pam.d/com
grep /bin/bash /etc/passwd | cut -f1 -d: // 유저목록

requirtty란? : sudo명령을 사용하기 위해서는 tty에서만 가능하다는 의미이다. 예시로 원격접속을 할때 ssh id@ip -p 4242 sudo ls 와 같이 명령을 주면 실행이 안되게한다는 의미이다

호스트 이름 확인, 수정, 복원


hostnamectl
sudo hostnamectl set-hostname <new_name>
sudo reboot

가상머신 파티션 확인 : 보너스 예, LVM이란?


lsblk

기본적으로 물리적인 디스크를 논리 디스크로 만들어서 효율적으로 운영하는 방법이다.이때 lvm을 사용하기위해서 할당한 디스크를 PV으로 초기화해주는데 PV 는 PE(4MB)로 구성이된다.

이렇게 초기화한 PV들을 그룹지은것이 VG이고 이 VG을 논리적으로 이제 사용할 수 있게되어서 LV로 나누어준다. LE는 PE와 마찬가지로 4MB이고 각각 맵핑된다.

sudo 설치확인, 새사용자 할당, 수도 규칙, “/var/log/sudo/” 파일 존재 유무


sudo --version
sudo usermod -aG sudo <new_user>
visudo

secure_path ⇒ 명령을 수행하기 위해 sudo가 실행할 소프트웨어를 찾는 경로

/A:/B⇒ A가 없으면 B를 찾아라

ufw 설치확인, 작동확인, 포트 추가, 삭제 및 설명


sudo ufw --version
sudo ufw status verbose
sudo ufw allow 8080
sudo vim /etc/ufw/user.rules
sudo ufw status delete <number>

ssh 설치확인, 작동확인, 4242포트에서만 작동하는지 유무, ssh접근, root 접근 및 설명


sudo ssh -V
systemctl status ssh
sudo vi /etc/ssh/sshd_config
ssh <user>@<host_ip> -p 4242

monitoring.sh, cron이란??, 데몬이란?? 작동 방식, 1분마다로 수정, 실행시 적용안되게 수정 밑 설명


vim monitoring.sh
sudo crontab -e
sudo service cron restart
sudo systemctl disable cron
sudo reboot
sudo service cron status
sudo systemctl enable cron