Skip to content

2009.07.18 03:26

Linux Security

조회 수 9990 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
-----------------------------------------------------------------------------
--                            2003. 05. 26    ㅤJung.s.w
-- Linux Security [MK]
-- DNS & Sendmail(DRAC, SMTP) & Proftp
-----------------------------------------------------------------------------

1. DNS
2. Sendmail(DRAC,SMTP)
3. Proftp
4. WWW(Apache) + SSL(Secure Socket Layer)
5. 방화벽(ipchains, iptables)
6. 부하분산(RSYNC, NAT)

----------------------------------------------------
// DNS 설정

[root@localhost root]# vi /etc/resolv.conf
nameserver 211.169.219.96 -->  자신IP를 NameServer로 등록
nameserver 203.248.252.2
search localdomain


[root@localhost root]# vi /etc/named.conf

zone "mk.com" IN { --> mk.com 추가
     type master;
     file "mk.zone";
};


zone "pk.com" IN { --> pk.com 추가
     type master;
     file "pk.zone";
};

zone "219.169.211.in-addr.arpa" IN { -->자신 IP 세자리만 역으로해서 추가
     type master;
     file "mk.rev";
};


[root@localhost root]# cd /var/named/
[root@localhost root]# cp named.local mk.zone
[root@localhost root]# cp named.local pk.zone
[root@localhost root]# cp named.local mk.rev
[root@localhost root]# vi mk.zone --> mk.zone. pk.zone 설정, 여러개 설정가능
$TTL    86400
@       IN      SOA     ns.mk.com. root.mk.com.  (
                                      1997022700 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
              IN      NS      ns.mk.com.

              IN      A      211.169.219.96
ns            IN      A      211.169.219.96
www           IN      A      211.169.219.96
mail          IN      A      211.169.219.96
@             IN      MX        10      mail.mk.com.
ftp           IN      CNAME      @ --> 필요시 Alias지정

[root@localhost root]# vi mk.rev --> mk.rev 설정  .rev파일은 하나만 생성
$TTL    86400
@       IN      SOA     ns.mk.com. root.mk.com.  (
                                      1997022700 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
              IN      NS      ns.mk.com.
96       IN      PTR     localhost. --> IP 끝자리



[root@localhost root]# /etc/rc.d/init.d/named restart --> named 데몬 재시작

[root@localhost root]# nslookup --> DNS설정 확인 작업
Note:  nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead.  Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
> www.mk.com
Server:         211.169.219.96
Address:        211.169.219.96#53

Name:   www.mk.com
Address: 211.169.219.96

> mail.mk.com
Server:         211.169.219.96
Address:        211.169.219.96#53

Name:   mail.mk.com
Address: 211.169.219.96
>


----------------------------------------------------
// Sendmail 설정

[root@localhost root]# rpm -e --nodeps sendmail*

--Sendmail Package 파일 다운로드
ftp ftp.wowlinux.co.kr
/wow/7.3-ParanR2/i386/RedHat/RPMS


[root@localhost root]# rpm -ivh sendmail-8.12.5.-5wow


--수신자 설정
[root@localhost root]# vi /etc/mail/local-host-names
  jsw.lsrg.net             --> 추가
  mk.com
  pk.com
  mail.mk.com
  mail.pk.com


--RELAY 설정
1. 내부 클라이언트
   메일서버를 통해서 밖으로 메일전달 : RELAY
2. 외부있는 사람이 내부 메일 보낼수 없게(수신거부) : REJECT, DISCARD, 550
[root@localhost root]#vi /etc/mail/access
  211.169.219      RELAY       --> 내부 사용자가 밖으로 메일보내도록 설정 추가


[root@localhost root]# makemap hash /etc/mail/access < /etc/mail/access   --> access.db파일 생성
[root@localhost root]# db_dump -p /etc/mail/access.db   --> access.db파일 확인
VERSION=3
format=print
type=hash
h_nelem=4
HEADER=END
localhost.localdomain
RELAY
211.169.219
RELAY
localhost
RELAY
127.0.0.1
RELAY
DATA=END


[root@localhost root]# vi /etc/mail/sendmail.cf         --> /etc/sendmail/sendmail.cf 인 경우도 있음.

# SMTP daemon options

#O DaemonPortOptions=Port=smtp,Addr=127.0.0.1, Name=MTA   --> 이부분의 addr부분 삭제
    268 O DaemonPortOptions=Port=smtp, Name=MTA


[root@localhost root]# /etc/rc.d/init.d/sendmail restart --> sendmail데몬 재시작


--hostname 변경
[root@localhost root]# hostname            --> 현재 hostname확인
localhost.localdomain
You have new mail in /var/spool/mail/root

[root@localhost root]# hostname jsw.lsrg.net    --> hostname을 jsw.lsrg.net으로 변경, 재부팅하면 사라짐.
[root@localhost root]# hostname --> hostname변경 확인
jsw.lsrg.net

[root@localhost root]# vi /etc/sysconfig/network   --> 재부팅해도 사라지지않게 hostname을 설정
NETWORKING=yes
HOSTNAME=jsw.lsrg.net --> hostname을 jsw.lsrg.net으로 변경
GATEWAY=211.169.219.1

[root@localhost root]# vi /etc/hosts
211.169.219.96 jsw.lsrg.net              --> 추가




--mail testing
1. local --> local 메일보내기
[root@localhost root]# mail mk

2. local --> local 메일보내기
[root@localhost root]# mk@jsw.lsrg.net

3. local --> 외부
[root@localhost root]# mail jsw1721@hotmail.com

4. 외부 --> 내부
한메일, 야후,...   --> mk@jsw.lsrg.net

5. 내부 --> 내부(계정명@호스명)
[root@localhost root]# mail mk@kys.lsrg.net
hostname이 정확히 정의가 되어 있어야 한다.



----------------------------------------------------
// Sendmail에서 동적 IPㅤAccess허용
// 1.SMTP 인증


[root@localhost root]# rpm -qa |grep cyrus  --> linux 6.2 기본설치

[root@localhost root]# vi /etc/mail/sendmail.cf --> sendmail.cf 파일 수정

    144 #CL root
    145 C{TrustAuthMech}DIGEST-MD5 CRAM-MD5 LOGIN PLAIN --> 설정 추가
    146 C{E}root

    516 # list of authentication mechanisms
    517 #O AuthMechanisms=EXTERNAL GSSAPI KERBEROS_V4 DIGEST-MD5 CRAM-MD5
    518 O AuthMechanisms=DIGEST-MD5 CRAM-MD5 LOGIN PLAIN   --> 설정 추가

[root@localhost root]# vi /usr/lib/sasl/Sendmail.conf  --> ㅤSendmail.conf 파일 수정

    pwcheck_method:shadow --> pam을 shadow로 수정


[root@localhost root]# /etc/rc.d/init.d/sendmail restart --> sendmail데몬 재시작

--testing
[root@localhost root]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 jsw.lsrg.net ESMTP Sendmail 8.12.5/8.12.5; Mon, 26 May 2003 12:45:41 +0900
ehlo localhost --> 해당 명령 수행, 확인
250-jsw.lsrg.net Hello localhost.localdomain [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH LOGIN PLAIN
250-DELIVERBY
250 HELP

---------
// 2. DRAC

http://www.ls-l.net/drac/ 사이트에서
Additional packages:
- drac (RedHat 7.0)(RedHat 7.1)(RedHat 7.2)(RedHat 7.3)(RedHat 8.0)  --> 해당버전 다운로드(7.3)
- qpopper w/drac (RedHat 7.0)(RedHat 7.1)(RedHat 7.2)(RedHat 7.3) --> 해당버전 다운로드(7.3)



[root@jsw root]# rpm -ivh drac-1.11-1.i386.rpm
준비중...                  ########################################### [100%]
   1:drac                   오류: 아키이브를 푸는데 실패함 다음 파일의 /usr/man/man8/rpc.dracd.8.gz;3ed1a421: cpio: open 실패함
   - 디렉토리가 아닙니다.

[root@jsw root]# cd /usr/man/
[root@jsw man]# ls
man1/  man3/  man4*  man5*  man8*
[root@jsw man]# rm man8 --> man8이란 파일 삭제(동일한 이름의 man8디렉토리 생성이 않되므로 삭제시킴)
rm: remove `man8'? y

[root@jsw man]# cd /root
[root@jsw root]# rpm -ivh drac-1.11-1.i386.rpm
준비중...                   ########################################### [100%]
   1:drac                   ########################################### [100%]
[root@jsw root]# rpm -ivh qpopper-3.1.2-1.i386.rpm
준비중...                   ########################################### [100%]
   1:qpopper                ########################################### [100%]
xinetd ¸를 정지함: [  확인  ]
xinetd (을)를 시작합니다: [  확인  ]


[root@jsw root]# vi /etc/mail/sendmail.cf  --> 파일수정

     95 Fw/etc/mail/local-host-names
     96 # dynamic relay authorization control map   --> 추가
     97 Kdrac btree /etc/mail/dracd     --> ?煞?

   1190 SLocal_check_rcpt
   1191 # allow recent POP/IMAP mail clients to relay --> 추가
   1192 R$*                     $: $&{client_addr} --> 추가
   1193 R$+                     $: $(drac $1 $: ? $) --> 추가
   1194 R?                      $@ ? --> 추가
   1195 R$+                     $@ $#OK --> 추가

   주의사항 : R$뒤는 tab로 공간을 뛰우고... 뒤의 $부분은 spacebar로 뛰움...


[root@jsw root]# /etc/rc.d/init.d/sendmail restart

[root@jsw root]# /etc/rc.d/init.d/portmap restart

[root@jsw root]# /etc/rc.d/init.d/dracd restart


[root@jsw root]# vi /etc/xinetd.d/ipop3

      1 # default: off
      2 # description: The POP3 service allows remote users to access their mail \
      3 #              using an POP3 client such as Netscape Communicator, mutt, \
      4 #          or fetchmail.
      5 service pop3
      6 {
      7     disable = yes --> yes인지 확인...
      8     socket_type     = stream
      9     wait            = no
     10     user            = root
     11     server          = /usr/sbin/ipop3d
     12     log_on_success  += HOST DURATION
     13     log_on_failure  += HOST
     14 }


[root@jsw root]# /etc/rc.d/init.d/xinetd restart --> xindet데몬 재시작


[root@jsw root]# telnet 211.169.219.91 110 --> QPOP을 이용하여 인증을 거침...
Trying 211.169.219.91...
Connected to 211.169.219.91.
Escape character is '^]'.
+OK QPOP (version 3.1.2) at kys.lsrg.net starting.
user mk --> 계정
+OK Password required for user.
pass 123 --> 암호
+OK user has 0 visible messages (0 hidden) in 0 octets.
list
+OK 0 visible messages (0 octets)
.
quit --> 종료
+OK Pop server at kys.lsrg.net signing off.
Connection closed by foreign host.


[root@jsw root]# db_dump -p /etc/mail/dracd.db
VERSION=3
format=print
type=btree
HEADER=END
211.169.219.91 --> 해당 IP가 등록됨....
1053930171
DATA=END


[root@jsw root]# telnet 211.169.219.91 25 --> 메일서버를 통해 메일발송 testing
Trying 211.169.219.91...
Connected to 211.169.219.91.
Escape character is '^]'.
220 kys.lsrg.net ESMTP Sendmail 8.12.5/8.12.5; Mon, 26 May 2003 15:00:48 +0900
mail from : mk@jsw.lsrg.net --> jsw.lsrg.net의 mk계정에 메일 보내기
250 2.1.0 mk@jsw.lsrg.net... Sender ok
rcpt to : jsw1721@yahoo.co.kr --> 외부 yahoo에 메일 발송
250 2.1.5 jsw1721@yahoo.co.kr... Recipient ok
data -->
354 Enter mail, end with "." on a line by itself
abcdefg --> 메일 내용 작성
.
250 2.0.0 h4Q60mO8003470 Message accepted for delivery

500 5.5.1 Command unrecognized: ""
data
503 5.0.0 Need MAIL command
quit
221 2.0.0 kys.lsrg.net closing connection
Connection closed by foreign host.


----------------------------------------------------
//ssh

[root@jsw root]# /etc/rc.d/init.d/sshd restart
sshd (을)¸종료함:                                        [ 확인 ]
sshd를 시작함:                                           [ 확인 ]

[mk@kys mk]$ ssh -l mk 211.169.219.105
The authenticity of host '211.169.219.105 (211.169.219.105)' can't be established.
RSA1 key fingerprint is 23:44:b0:8a:63:7f:ef:cb:c3:71:24:9d:53:cd:82:67.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '211.169.219.105' (RSA1) to the list of known hosts.
mk@211.169.219.105's password:
Last login: Mon May 26 15:38:34 2003 from 211.169.219.91
No mail.


----------------------------------------------------
//ftp

--설치
[root@jsw root]# rpm -qa |grep proftpd
[root@jsw root]# rpm -ivh proftpd-1.2.5-2wow

-- portsentry 제거
[root@jsw root]# vi /etc/rc.d/rc.local --> 원할한 작업을 위해 portsentry를 자동실행파일에서 주석처리
       # /usr/local/psionic/portsentry/portsentry -atcp

--설정파일
[root@jsw root]# vi /etc/proftpd.conf --> 7.0
[root@jsw root]# vi /etc/proftpd/conf/proftpd.conf --> 7.1
[root@jsw root]# vi /etc/proftpd/proftpd.conf --> 7.3

[root@jsw root]# vi /etc/proftpd/proftpd.conf
      7 ServerName              "Proftpd FTP Server"    --> ServerName 지정
     21 DeferWelcome            off --> ServerName사용을 위해 off로 설정

[root@jsw root]# /etc/rc.d/init.d/proftpd restart --> proftpd데몬 재시작

--inetd로 수행
[root@jsw root]# vi /etc/proftpd/proftpd.conf --> inetd로 실행
      8 #ServerType             standalone --> #을 이용하여 주석처리
      9 ServerType              inetd --> #제거

[root@jsw root]# /etc/rc.d/init.d/proftpd stop

[root@jsw root]# vi /etc/xinetd.d/proftpd-xinetd
      6     disable = no --> no로 설정

[root@jsw root]# /etc/rc.d/init.d/xinetd restart --> xinetd데몬 재시작

--standalone
[root@jsw root]# vi /etc/xinetd.d/proftpd-xinetd
      6     disable = yes --> yes로 설정

[root@jsw root]# /etc/rc.d/init.d/xinetd restart --> xinetd데몬 재시작

[root@jsw root]# vi /etc/proftpd/proftpd.conf --> standalone로 실행
      8 ServerType             standalone --> #제거
      9 #ServerType              inetd --> #로 주석처리

[root@jsw root]# /etc/rc.d/init.d/proftpd restart --> proftpd데몬 재시작



---Root로 Login 할 수 있게 하는 방법

-proftp
[root@jsw root]# vi /etc/proftpd/ftpusers
root --> root 제거

[root@jsw root]# vi /etc/proftpd/proftpd.conf
RootLogin on --> on으로 설정

-ssh
[root@jsw root]# vi /etc/ssh/sshd_conf
PermiRootLogin yes --> yes로 수정

-telnet
[root@jsw root]# vi /etc/pam.d/login 파일의 두번째줄 주석처리
      2 #auth       required /lib/security/pam_securetty.so   --> 주석처리



---루트디렉토리 설정
[root@jsw root]# vi /etc/proftpd/proftpd.conf
     23 DefaultRoot             ~ !mk --> 모든사용자는 자신의 디렉토리가 루트(/)
         mk사용자는 제외 시킴
[root@jsw root]# /etc/rc.d/init.d/proftpd restart --> 데몬 재시작


* 7.1에선 proftp데몬 버그로 계정생성후 telnet은 로그인되는데 ftp가 안되는 경우
  /etc/rc.d/init.d/proftpd restart 데몬을 재시작해야됨.



------------------
     7 ServerName    "Jung's FTP Server"  --> ServerName사용하기 위해 DeferWelcome항목 off설정
     8 #ServerType       standalone --> standalone방식
     9 ServerType        inetd --> xinetd방식

     19 RootLogin        off     --> Root로 로그인하려면 on으로하고 /etc/proftpd/ftpusers에서 root삭제

     21 DeferWelcome    off     --> 자신의 서버 이름을 표시하기 위해선 off로 설정

     23 DefaultRoot             ~ !mk

     33 TimeoutIdle             0 --> 해당 시간동안 작업이 없으면 종료시킴, 0은 무제한
     34 TimeoutNoTransfer       0 --> 해당 시간동안 전송작업이 없으면 종료시킴, 0은 무제한
     35 TimeoutLogin            300 --> 로그인후 해당시간동안 작업이 없으면 종료시킴
     36
     37 MaxClientsPerHost       2   "Only one client is allowed to connect" --> 한 계정으로 최대 접속인원 지정
     38
     39 DisplayLogin            /etc/proftpd/welcome.msg --> ftp 로그인시 메시지 지정파일
     DefaultRoot항목에서 ~mk지정시  welcome.msg파일을 mk홈디렉토리에 복사하던지
위 설정에서 경로를 삭제하고 welcome.msg파일명만 설정해야한다.

     42 <Directory /*> --> /*는 루트를 포함한 모든 서브디렉토리 포함
     43   AllowOverwrite        on --> 덮어씌우기 설정
     44 </Directory>
     45

     46 <Anonymous ~ftp> -->  ~ftp는 익명자 로그인시 들어갈 디렉토리 /var/ftp,
     47   User                  ftp      <Anonymous /ftp>처럼 없는 디렉토리 설정하면 익명자 접속 불가능
     48   Group                 ftp
     49   UserAlias             anonymous ftp
     50   MaxClients            10 "Sorry, maxium users %m -- try again later"
     51   MaxClientsPerHost     2 "Sorry, Over 2 connection not allow"
     52   DisplayLogin          welcome.msg
     53   DisplayFirstChdir     .message
     54   RequireValidShell     off --> 익명자로 로긴할수 있게 설정, 0n설정시 익명자 로그인할수 없음.


     64 # Anonymous's Uploads Directory --> 익명자의 업로드 디렉토리 설정
     65   <Directory incoming/*> --> incoming밑의 서브디렉토리 포함
     66     AllowOverwrite          on
     67     AllowRetrieveRestart    on --> 다운로드시 이어받기 설정
     68     AllowStoreRestart       on --> 업로드시 이어올리기 설정
     69     <Limit DELE> --> 삭제 제한
     70       DenyAll
     71     </Limit>
     72     <Limit READ STOR MKD RMD> --> 읽기, 저장, 디렉토리생성, 디렉토리삭제 제한
     73       AllowAll
     74     </Limit>
     75   </Directory>


     77 # Anonymous's Public Directory --> 익명사용자가 절대 사용할 수 없는 디렉토리
     78   <Directory pub/*>
     79     <Limit READ>
     80       AllowAll
     81     </Limit>
     82     <Limit STOR DELE RMD MKD>
     83       DenyAll
     84     </Limit>
     85   </Directory>
     86
     87 </Anonymous>

--
[root@jsw mp3]# vi /etc/proftpd/welcome.msg --> ftp로그인 메시지 파일 설정
%U 사용자님이 접속하셨습니다.
현재 접속자는 %N명 입니다.
사용가능한 용량은 %F
문의 사항은 %E로 날려주세요.

-----------------------------------------------------------------------------
--                            2003. 05. 27    ㅤJung.s.w
-- Linux Security [MK]
-- Apache & SSL
-----------------------------------------------------------------------------
-- Apache 환경
1. RPM
   홈디렉토리 : /var/www/html
   설정파일 : /etc/httpd/conf/httpd.conf
   데몬구동 : /etc/rc.d/init.d/httpd restart

2. SOURCE
   홈디렉토리 : /usr/local/apache/htdocs
   설정파일 : /user/local/apache/conf/httpd.conf
   데몬구동 : /usr/local/apache/bin/apachectl/apachectl restart

----------------------------------------------------
--  사용자 홈페이지 띄우기 설정
[root@jsw mk]# mkdir public_html --> mk사용자 홈페이지 디렉토리 생성
[root@jsw mk]# cd public_html
[root@jsw public_html]# vi index.html --> 홈페이지 내용작성
[root@jsw mk]# chmod 701 /home/mk --> 브라우저로 mk사용자 홈에 접근하기위해 권한부여



--  홈디렉토리 설정

    446 DocumentRoot "/var/www/html" --> 홈디렉토리 변경시 설정

    456 <Directory /> --> 위의 홈디렉토리 변경시 같이 변경해줘야함.
    457     Options FollowSymLinks
    458     AllowOverride None
    459 </Directory>

--  디렉토리에서 가장 먼저 읽어올 파일 설정
    533 <IfModule mod_dir.c> --> 디렉토리에서 가장 먼저 읽어올 파일 설정
    534     DirectoryIndex index.html index.htm index.shtml index.php index.php4 index.php3 index.phtml index.cgi
    535 </IfModule>


--  Alias 설정
    716     Alias /data/ "/home/data/" --> 가상디렉토리 설정
    717 --> DocumentDirectory를 제외한 디렉토리에서
    718     <Directory "/home/data"> --> 파일을 읽어올 땐 Alias(가상디렉토리)로 지정
    719         Options Indexes MultiViews
    720         AllowOverride None
    721         Order allow,deny
    722         Allow from all
    723     </Directory>

--  PHP4 버젼 설정 --> Apache 1.3.27버전에는 이부분이 없음. 추가 입력시킴
    960     <IfModule mod_php4.c> --> 소스로 설치할 경우 일부 버전에선 없으므로 수동으로 입력
    961         AddType application/x-httpd-php .php .php4 .php3 .phtml
    962         AddType application/x-httpd-php-source .phps
    963     </IfModule>


--- VirtualHosting(웹서버 하나에 여러개의 도메인 설정)

   1207 NameVirtualHost 211.169.219.96 -->IP주소 설정
   1208
   1209 <VirtualHost 211.169.219.96> -->mk도메인 설정, 맨 위 설정 도메인은 servername만 설정
   1210     ServerName www.mk.com    www.mk.com와 Alias로 mk.com 설정
   1211     ServerAlias mk.com mail.mk.com
   1212 </VirtualHost>
   1213 <VirtualHost 211.169.219.96>
   1214     ServerAdmin webmaster@pk.com
   1215     DocumentRoot /var/pk
   1216     ServerName www.pk.com
   1217     ServerAlias pk.com  mail.pk.com
   1218     ErrorLog logs/pk.com-error_log
   1219     CustomLog logs/pk.com-access_log common
   1220 </VirtualHost>

  [Tip]
   : .,+8 s/dummy-host.example.com/mk.com/g --> vi에서 mk.com으로 해당부분 변경

[root@jsw pk]# /etc/rc.d/init.d/httpd restart --> apache 데몬 재시작

[root@jsw data]# /etc/rc.d/init.d/named restart --> named 데몬 재시작

[root@jsw data]# ping www.mk.com --> www.mk.com 설정확인 ip확인
PING www.mk.com (211.169.219.96) from 211.169.219.96 : 56(84) bytes of data

[root@jsw data]# ping www.pk.com --> www.pk.com 설정확인 ip확인
PING www.pk.com (211.169.219.96) from 211.169.219.96 : 56(84) bytes of data.

[root@jsw data]# mkdir /var/pk --> pk.com의 루트디렉토리 생성
[root@jsw var]# cd /var/pk
[root@jsw pk]# vi index.html

[root@jsw pk]# lynx -dump http://www.pk.com
[root@jsw pk]# lynx -dump http://pk.com

----------------------------------------------------
telnet ssh
ftp scp, sftp
web ssl
mail gnupg, pgp
----------------------------------------------------
--- SSL

Apache(source)  +     mod_ssl      +   Openssl(source) 연결
ㅤ웹서비스         apache와 ssl연결          암호화


-- Apache 1.3.27 Source Download
http://httpd.apache.org     -->  apache_1.3.27.tar.gz 다운로드

-- Openssl 0.9.7b Source Download
http://www.openssl.org -->  openssl-0.9.7b.tar.gz 다운로드

-- Modssl mod_ssl-2.8.14-1.3.27.tar.gz  Source Download(Apache와 같은 버젼 다운로드)
http://www.modssl.org -->  mod_ssl-2.8.14-1.3.27.tar.gz 다운로드

--
주의 : 한번 Apache를 source로 설치하고 덮어씌우면 에러남..삭제후 재설치
[root@jsw root]# cd /usr/local
[root@jsw local]# rm -rf apache

-- Source /usr/local/src/로 이동 및 압축해제
[root@jsw root]# mv apache_1.3.27.tar.gz openssl-0.9.7b.tar.gz  mod_ssl-2.8.14-1.3.27.tar.gz  /usr/local/src/
[root@jsw root]# cd /usr/local/src/

[root@jsw src]# tar xvfz apache_1.3.27.tar.gz
[root@jsw src]# tar xvfz openssl-0.9.7b.tar.gz
[root@jsw src]# tar xvfz mod_ssl-2.8.14-1.3.27.tar.gz

-- openssl 설치
[root@jsw src]# cd openssl-0.9.7b
[root@jsw openssl-0.9.7b]# ./config
[root@jsw openssl-0.9.7b]# make
[root@jsw openssl-0.9.7b]# make install



--ㅡ
[root@jsw openssl-0.9.7b]# vi /etc/profile
     41 PATH=/usr/local/ssl/bin:$PATH     -->   path 추가

[root@jsw openssl-0.9.7b]# source /etc/profile -->   profile 업데이트
[root@jsw openssl-0.9.7b]# echo $PATH -->   PATH설정 확인
/usr/local/ssl/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/root/bin:/root/bin

[root@jsw openssl-0.9.7b]# vi /etc/ld.so.conf -->   동적 라이브러리 추가
      9 /usr/local/ssl/lib -->   추가
[root@jsw openssl-0.9.7b]# ldconfig -->   동적 라이브러리 업데이트


---Verisign의 인증서를 발급

[root@jsw md5]# openssl md5 * > rand.dat
[root@jsw md5]# openssl genrsa -rand rand.dat -des 1024 > serv.key ->  rand.dat를 이용하여 Server key생성
48 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
.................++++++
.......................++++++
e is 65537 (0x10001)

[root@jsw md5]# openssl req -new -key serv.key -out serv.csr --> 인증서명 요청서 생성
Using configuration from /usr/share/ssl/openssl.cnf
Enter PEM pass phrase:
Verifying password - Enter PEM pass phrase:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:kr
State or Province Name (full name) [Berkshire]:seoul
Locality Name (eg, city) [Newbury]:seoul
Organization Name (eg, company) [My Company Ltd]:iei
Organizational Unit Name (eg, section) []:edu
Common Name (eg, your name or your server's hostname) []:jsw
Email Address []:jsw1721@hanmail.net

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: --> Enter key
An optional company name []: --> Enter key

[root@jsw md5]# cat serv.csr --> 인증서명 요청서 내용 확인
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----


https://digitalid.crosscert.com/trialserver/trialserver/index.html

[신청]-[계속]-[계속]- 위의 serv.csr내용을 복사해서 붙여넣기 -[계속]-
신상정보입력-[승인]

해당 메일로 날라온 인증서를 파일로 serv.crt로 생성


[root@jsw mod_ssl-2.8.14-1.3.27]# cd /usr/local/src/mod_ssl-2.8.14-1.3.27
[root@jsw mod_ssl-2.8.14-1.3.27]# ./configure --with-apache=../apache_1.3.27

[root@jsw mod_ssl-2.8.14-1.3.27]# cd ../apache_1.3.27
[root@jsw apache_1.3.27]# SSL_BASE=/usr/local/ssl
[root@jsw apache_1.3.27]# ./configure --enable-shared=max  --enable-module=ssl
[root@jsw apache_1.3.27]# make
[root@jsw apache_1.3.27]# make certificate TYPE=existing CRT=/root/md5/serv.crt KEY=/root/md5/serv.key
[root@jsw apache_1.3.27]# make install

[root@jsw apache_1.3.27]# /etc/rc.d/init.d/httpd stop
[root@jsw apache_1.3.27]# /usr/local/apache/bin/apachectl stop

[root@jsw apache_1.3.27]# /usr/local/apache/bin/apachectl startssl
Apache/1.3.27 mod_ssl/2.8.14 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide us with the pass phrases.

Server jsw.lsrg.net:443 (RSA)
Enter pass phrase: --> 패스워드 입력 1234

Ok: Pass Phrase Dialog successful.
/usr/local/apache/bin/apachectl startssl: httpd started


웹브라우저를 통해 https://localhost 로 확인


----------------------------------------------------
--일반 Log
/var/log

wtmp(2진파일) --> 로그인, 로그아웃, 로그실패 정보
[root@jsw log]# last -f wtmp -->  wtmp파일 보기
last --> 최근 한달동안 로그인 한 정보
lastlog --> 각 사용자의 마지막 로그인 정보
secure --> 인증을 통한 접속 telnet, ssh, ftp, pop3.... 정보
message --> 커널의 정보, 로그인정보, 사용자 삭제, 데몬 구동, 기타 등등.....
dmesg --> 부팅시 메시지 정보

-- Web Log (access_log, error_log)
/var/log/httpd --> rpm인 경우
/usr/local/apache/logs --> source인 경우

[root@jsw log]# cd /usr/local/apache/logs
[root@jsw logs]# ls -l access_log --> 내 시스템에서 무엇을 가져갔는지..
-rw-r--r--    1 root     root         2115  5월 27 16:51 access_log
[root@jsw logs]# ls -l error_log --> 에러에 관한 정보
-rw-r--r--    1 root     root          319  5월 27 16:51 error_log
[root@jsw logs]# tail -f access_log
[root@jsw logs]# tail -f error_log



-----------------------------------------------------------------------------
--                            2003. 05. 28     Jung.s.w
-- Linux Security [MK]
-- Samba & ipchains & iptables
-----------------------------------------------------------------------------
-- X-windows 안되는경우
xfs데몬이 안띄워진 경우, /가 100% 찬 경우
[root@jsw root]# chkconfig --list xfs
xfs             0:해제  1:해제  2:해제  3:활성  4:해제  5:활성  6:해제
You have new mail in /var/spool/mail/root
[root@jsw root]# ps -aux |grep xfs
xfs        899  0.1  1.9 11096 9892 ?        S    08:51   0:02 xfs -droppriv -da
root      1704  0.0  0.1  2552  664 pts/2    R    09:21   0:00 grep xfs


-- 자료공유
ftp --> win-Linux. Unix-Linux, Linux-Linux, Unix-Win
    디렉토리 복사는 지원 않됨

Samba --> Win-Linux, Win-Unix, Linux-Linux(프린터 공유시 사용)
    SMB프로토콜을 이용하여 windows와 Linux간 자료공유

NFS --> Linux-Linux, Linux-Unix, Unix-Unix
    Unix계열에서 사용


-- Samba Package 확인
[root@jsw root]# rpm -qa |grep samba
samba-client-2.2.3a-6
samba-2.2.3a-6
samba-common-2.2.3a-6


-- Samba 주석
# --> 설명문에 대한 주석
; --> 명령문에 대한 주석

[root@jsw root]# vi /etc/samba/smb.conf
     14 #======================= Global Settings =====================================
     15 [global]
     16
     17 # workgroup = NT-Domain-Name or Workgroup-Name
     18    workgroup = class601 --> workgroup 설정
     19
     20 # server string is the equivalent of the NT Description field
     21    server string = Wooni Samba Server --> Server 설명

     52 # security_level.txt for details. --> security = user/share/server/domain
     53    security = user --> 계정 인증을 통해 접속, share 인증없이 아무나 접속
         server/domain은 samba가 windows측에 가서 인증 하는것

--> 위의 security = user로 설정하면 아래 두줄을 열어줄것
     70    encrypt passwords = yes --> wind 98이상은 암호화로 yes설정, win 95는 plan text 이용
     71    smb passwd file = /etc/samba/smbpasswd --> samba passwd와 /etc/passwd는 계정을 따로 관리.


     windows를 linux samba에서 연결시 system 계정, samba계정 두개가 필요
     windows 계정의 ID, Password와 Linux samba 서버의 samba계정 ID, Password가 같으면 인증없이 연결


    237 [smbtest] --> 공유디렉토리 설정
    238    comment = home directory
    239    path = /home
    240    browseable = yes --> Browser를 통해 보여주기위한 설정
    241    public = yes
    242    writable = yes --> 쓰기권한 부여(시스템의 쓰기권한과 yes로 설정되어야 쓰기가능)
    243    printable = no
    244  ; writable list = mk pk --> mk, pk유저만 쓰기 가능(writable = no로 설정된 경우에만 의미가 있음,
        writable = yes로 하면 list설정이 의미가 없음)


[root@jsw root]# testparm --> smb.conf파일의 구문 에러 체크
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Processing section "[smbtest]"
Loaded services file OK.
Press enter to see a dump of your service definitions --> Enter

[root@jsw root]# /etc/rc.d/init.d/smb restart --> samba데몬 재시작


-- 1. 인증없이 연결
[global]

     53    security = share --> share로 설정, 아무나 연결

[root@jsw root]# /etc/rc.d/init.d/smb restart --> samba데몬 재시작


-- 2. 사용자 인증 거치기(system account와 samba account가 같은 경우)
[global]

     53    security = user --> user로 설정, 인증을 통한 연결

     70    encrypt passwords = yes
     71    smb passwd file = /etc/samba/smbpasswd

[root@jsw root]# /etc/rc.d/init.d/smb restart --> samba데몬 재시작

[root@jsw root]# smbadduser mk:mk -->  시스템 mk계정으로 Samba계정 생성
Adding: mk to /etc/samba/smbpasswd
Added user mk.
----------------------------------------------------------
ENTER password for mk
New SMB password: --> Samba계정 패스워드(시스템계정과 패스워드는 따로 관리)
Retype new SMB password:
Password changed for user mk.
[root@jsw root]# cat /etc/samba/smbpasswd
mk:503:87C30837053A29ACAAD3B435B51404EE:57242BFB814A1FA7C0054496B6004EB5:[UX]:LCT-3ED41529:

[root@jsw root]# smbpasswd mk --> samba계정 mk 패스워드 변경
[root@jsw root]# smbpasswd -x mk --> Samba계정 mk 삭제
Deleted user mk.


-- 3.사용자 인증 거치기(system account와 samba account가 다른 경우)
[global]

     53    security = user

     70    encrypt passwords = yes
     71    smb passwd file = /etc/samba/smbpasswd

     96    username map = /etc/samba/smbusers  --> 시스템계정과 삼바계정이 다른경우 주석처리된 ;를 제거


[root@jsw root]# /etc/rc.d/init.d/smb restart --> samba데몬 재시작

[root@jsw root]# useradd pk
[root@jsw root]# passwd pk

[root@jsw root]# smbadduser pk:sk -->  시스템계정 pk를 Samba계정 sk로 설정
Adding: pk to /etc/samba/smbpasswd
Added user pk.
Adding: {pk = sk} to /etc/samba/smbusers
----------------------------------------------------------
ENTER password for pk
New SMB password:
Retype new SMB password:
Password changed for user pk.

[root@jsw root]# cat /etc/samba/smbusers --> samba계정 확인
# Unix_name = SMB_name1 SMB_name2 ...
root = administrator admin
nobody = guest pcguest smbguest
pk = sk



-- Samba서버에서 Windows 파일 서버 사용
1) smbmount를 이용하는 경우(권장)
[root@jsw root]# smbmount //컴퓨터이름/공유디렉토리 /마운트할디렉토리    (windows98)
[root@jsw root]# smbmount //컴퓨터이름/공유디렉토리 /마운트할디렉토리 \  (windows2000)


[root@jsw root]# smbmount //211.169.219.80/temp /mnt/cdrom/ -o username=administrator
2350: session request to 211.169.219.92 failed (Called name not present)
2350: session request to 211 failed (Called name not present)
Password: --> 패스워드 입력

[root@jsw root]# umount /mnt/cdrom --> 공유 제거


2) smbclient를 이용하는 경우(ftp와 유사, 비권장)
[root@jsw root]# smbclient //컴퓨터이름/공유한디렉토리 (windows98)
[root@jsw root]# smbclient //컴퓨터이름/공유한디렉토리 -U 사용자이름 (windows2000)

[root@jsw root]# smbclient //211.169.219.80/temp -U administrator
added interface ip=211.169.219.96 bcast=211.169.219.255 nmask=255.255.255.0
session request to 211.169.219.80 failed (Called name not present)
session request to 211 failed (Called name not present)
Password:
Domain=[DS34] OS=[Windows 5.0] Server=[Windows 2000 LAN Manager]
smb: \> help
?              altname        archive        blocksize      cancel
cd             chmod          chown          del            dir
du             exit           get            help           history
lcd            link           lowercase      ls             mask
md             mget           mkdir          more           mput
newer          open           print          printmode      prompt
put            pwd            q              queue          quit
rd             recurse        rename         rm             rmdir
setmode        symlink        tar            tarmode        translate
!
smb: \>


-- Swat (Web으로 samba설정)
ftp ftp.wowlinux.co.kr에서 samba-swat-2.2.3a-6.i386.rpm 패키지 가져오기

[root@jsw root]# rpm -ql samba-swat |more
/etc/X11/applnk/System/swat.desktop
/etc/xinetd.d/swat --> swat도 service의 한부분
/usr/sbin/swat
/usr/share/man/man8/swat.8.gz
/usr/share/swat
/usr/share/swat/help
/usr/share/swat/help/CVS-Access.html
/usr/share/swat/help/DOMAIN_MEMBER.html
/usr/share/swat/help/ENCRYPTION.html
/usr/share/swat/help/Integrating-with-Windows.html
/usr/share/swat/help/NT_Security.html
........

[root@jsw root]# vi /etc/xinetd.d/swat
      5 service swat
      6 {
      7     port        = 901
      8     socket_type = stream
      9     wait        = no
     10     only_from   = 127.0.0.1 --> Remote로 자신만 이용하게 설정
     11     user        = root              Remote로 설정할 수 있는 IP 등록
     12     server      = /usr/sbin/swat
     13     log_on_failure  += USERID
     14     disable     = no --> SWAT를 사용하기위해 no로 설정
     15 }

[root@jsw root]# /etc/rc.d/init.d/xinetd restart --> xinetd데몬 재시작

Browser로 http://127.0.0.1:901/ 로 연결하여 Samba설정(root계정 패스워드 필요)
[주의] : text mode로 하거나, Web으로 하거나 한가지 방법으로 설정(주석부분이 없어지는 경우 발생)

-- Samba 취약점
sambal.c 공격코드를 통한 root계정 획득 가능
[root@jsw root]# gcc -o sambal sambal.c
[root@jsw root]# ./sambal  -p 139 -b 0 211.169.219.80

samba에 대한 업데이트 패키지를 다운로드 설치하도록....
http://www.rpmfind.net
ftp://ftp.readhat.com
ftp://ftp.bora.net
ftp://ftp.nuri.net


-----------------------------------------------------------------------------
-- ipchains & iptables

2.4.x이상 --> iptables, ipchains도 사용 가능
2.2.x --> ipchains
2.0.2 --> ipfwadm



-- 패키지 확인
[root@jsw root]# rpm -qa |grep iptables
iptables-1.2.5-3
iptables-ipv6-1.2.5-3
[root@jsw root]# rpm -qa |grep ipchains
ipchains-1.3.10-13
[root@jsw root]# ntsysv --> ipchains를 제외한 iptables,ip6tables데몬 선택 제거
[root@jsw root]# reboot --> Kernel 모듈을 업데이트하기위해


--1. Host 기반의 보안
-Tcpwrapper(/etc/hosts.deny, /etc/hosts.allow)

일반적으로 사용하는 기법
/etc/hosts.deny /etc/hosts.allow
ALL:ALL ALL:211.169.219. --> 가장 기초적인 방법
ALL:211.169.219.80 설정않함 --> 수상한 자만 deny에 등록, 로그분석 해야하는 귀차니즘..


     /etc/hosts.deny
     ALL: 211.169.219. --> xinet
     ALL: 211.169.219.0/24

     ALL: 211.169.219. --> Tcpwrapper
     ALL: 211.169.219.0/255

     참고 : allow가 deny보다 우선순위가 높음..

-xinet(only_from=IP, no_access=IP)
* Host기반의 보안은 xinet이나 inet으로 구동되는 서비스만 제한가능
   따라서, standalone방식의 서비스에는 iptables나 ipchains를 사용

    [root@jsw root]# vi /etc/xinetd.d/telnet

    service telnet
    {
    disable = no
    only_from = 211.169.219.0/24
    #only_from = 211.169.219.0/255.255.255.0  --> 등록된 IP만 허용
    #no_access   = 211.169.219.0/24  --> 등록된 IP접근을 막음
    flags       = REUSE
    socket_type = stream
    wait        = no
    user        = root
    server      = /usr/sbin/in.telnetd
    log_on_failure  += USERID
    }

    참고 : no_access가 only_from보다 우선순위가 높음.


--2. 사용자 기반의 보안
/etc/pam.d/.... --> 각 서비스의 사용자에 대한 제한

/etc/security/limits.conf --> 각 사용자들의 메모리 제한


--3. 커널 기반 보안
ipchains
iptables


------------------------------
-- ipchains
[root@jsw root]# ipchains -L --> 설정 확인
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):

[root@jsw root]# ping -c 1 127.0.0.1 --> 패킷 하나만 전송
PING 127.0.0.1 (127.0.0.1) from 127.0.0.1 : 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=255 time=0.116 ms

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% loss, time 0ms
rtt min/avg/max/mdev = 0.116/0.116/0.116/0.000 ms

[root@jsw root]# ipchains -A input -s 127.0.0.1 -p icmp -j DENY

[root@jsw root]# ipchains -L
Chain input (policy ACCEPT):
target     prot opt     source                destination           ports
DENY       icmp ------  localhost.localdomain anywhere              any ->   any
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT)


[root@jsw root]# ipchains -A input -s 211.169.219.91 -d 211.169.219.96 23 -p tcp -j REJECT
--> 211.169.219.91번에서 들어오는 것을 막음
[root@jsw root]# ipchains -F --> 방화벽 설정 모두 제거


-----------------------------------------------------------------------------
--                            2003. 05. 29     Jung.s.w
-- Linux Security [MK]
-- ipchains & iptables
-----------------------------------------------------------------------------
--


[root@jsw etc]# modprobe ipchains
[root@jsw etc]# ipchains -L
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):

[root@jsw etc]# ipchains -A input -s 127.0.0.1 -p icmp -j DENY

[root@jsw etc]# ipchains -L
Chain input (policy ACCEPT):
target     prot opt     source                destination           ports
DENY       icmp ------  localhost.localdomain anywhere              any ->   any
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):

[root@jsw etc]# ipchains-save > firewall --> 방화벽설정 내용 저장
Saving `input'.

[root@jsw etc]# cat firewall
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 127.0.0.1/255.255.255.255 -d 0.0.0.0/0.0.0.0 -p 1 -j DENY

[root@jsw etc]# ipchains -F

[root@jsw etc]# ipchains -L
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):

[root@jsw etc]# ipchains-restore < firewall --> 방화벽설정 내용 불러오기

[root@jsw etc]# ipchains -L
Chain input (policy ACCEPT):
target     prot opt     source                destination           ports
DENY       icmp ------  localhost.localdomain anywhere              any ->   any
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):


-----------------------------------------------------------------------------
--                            2003. 05. 30     Jung.s.w
-- Linux Security [MK]
-- Kernel Compile
-----------------------------------------------------------------------------
-- Booting
   1. Power on
   2. BIOS - H/w check
   3. 0 Sector MBR - LILO
   4. Kernel 메모리 적재
   5. 초기화 Process(init process) --> /etc/inittab  (runlevel, service, virtual terminal)
+--->  /etc/rc.d/rc.sysinit
   6. / mount
   7. mingetty --> login

--커널 정의
프로세서와 메모리, 디스크, 네크워크, 인터럽트 등 프로그램이 사용하는 모든 자원을 관리, 자원을 필요로 하는 프로세스에게
적절하게 배분을 하고, 자원을 잘못 사용하는것을 방지
H/W와 S/W 사이에 통신을 담당하고 이들을 관리하는 운영체제의 모든 기능을  담은 프로그램

-- 커널 버젼
[root@mk root]# uname -a --> 현재 사용중인 system의 모든 정보표시
Linux mk.com 2.4.18-4 #1 SMP Thu Aug 22 18:36:08 KST 2002 i686 unknown

[root@mk root]# uname -r --> 현재 사용중인 system의 kernel version을 표시
2.4.18-4

            2.          4. 18 -       4
Major version, Minor version, Sub level - Extra version 표시
|____________토발즈가 수정_____________|  |___사용자 수정___|

[주의] 반드시 커널 컴파일시 Extra version을 수정해야함(컴파일 실패시 다시 복구하기 위해서)  /lib/modules/


-- 새로운 커널 사용이유
1. 기존의 커널의 최적화 -->  불필요한 기능 삭제
2. 새로운 커널의 다운(새로운 장치 드라이브 사용)
3. 시스템 보안을 위해서


--커널의 종류
1. Monolithic
모든 디바이스 모듈을 커널에 직접적으로 포함시킴. 부팅 속도가 빠름, 커널 사이즈가 큼

2. Modular
로드할 수 있는 모듈을 분리함. 언제든지 필요한 모듈을 포함시킬수 있음. 부팅 속도가 느림, 커널 사이즈가 작음


커널버젼 2.2 2.4
CPU 16(8) 16(8)
MEM 1G/2G/4G 4G/64G --> 메모리 추가시 커널컴파일함
Process 256 무제한
사용자 65536 40억이상


메모리추가시 커널컴파일 해야하는데 해당 메모리보다 한단계 높은것으로 잡고 커널컴파일해야됨.
(1G인 경우 2G로 잡고 2G인 경우 4G로 잡고..컴파일해야지 메모리를 1G로 인식함)
4G --> BIGMEM Patch


Linux 좁은 의미 --> Kernel
넓은 의미 --> Kernel + Application


--
[root@mk src]# rpm -qa |grep kernel
kernel-2.4.18-4

[root@mk root]# rpm  -ivh kernel-source-2.4.18-4.i386.rpm
준비중....                  ########################################### [100%]
   1:kernel-source          ########################################### [100%]

[root@mk root]# cd /usr/src/linux-2.4

[root@mk linux-2.4]# vi Makefile
EXTRAVERSION = -sw -->  Extra version명 변경(3자 이내로 설정하는것이 좋음)

[root@mk linux-2.4]# vi README -->  설치 메뉴얼...

[root@mk linux-2.4]# make mrproper --> 혹시나 잘못된 오프젝트파일 삭제, 옵션사항

------------------------------------------------------------------------------------------------------------
[커널 한글문서로 변환]
http://kernel.pe.kr 의 옵션 한글화(http://option.kernel.pe.kr/)에서
★ 2.4.14 버전을 위한 옵션 100%번역된 버전 다운로드 : hanhelp.2.4.14.tar.gz ★ 다운로드

[root@mk root]# tar xvfz hanhelp.2.4.14.tar.gz
[root@mk root]# cp Configure.help.han.2.4.14.complete  /usr/src/linux-2.4/Documentation
[root@mk root]# cd /usr/src/linux-2.4/Documentation/

[root@mk Documentation]# ls -l Configure.help*
-rw-r--r--    1 root     root      1088329  8¿? 22  2002 Configure.help --> 커널 옵션 영문
-rw-r--r--    1 root     root      1683432  5¿? 30 12:11 Configure.help.han.2.4.14.complete --> 커널 옵션 한글
-rw-r--r--    1 root     root      1088102  8¿? 22  2002 Configure.help.htyunicon

[root@mk Documentation]# mv Configure.help Configure.help_old --> 영문파일 _old로 이름변경
[root@mk Documentation]# mv Configure.help.han.2.4.14.complete  Configure.help --> 한글파일을 Configure.help로 변경
-------------------------------------------------------------------------------------------------------------

[root@mk Documentation]# cd /usr/src/linux-2.4
[root@mk linux-2.4]# make menucofig 또는 make xconfig --> 커널 설정하기

[root@mk linux-2.4]# ls -l .config
-rw-r--r--    1 root     root        30691  5¿? 30 12:40 .config --> 설정내용 저장파일

[root@mk linux-2.4]# make dep && make clean && make bzImage && make modules && make modules_install

[root@mk linux-2.4]# ls /lib/modules/ --> 컴파일 성공하면 /lib/modules/ 디렉토리 밑에 커널버젼 디렉토리 생성됨.
2.4.18-4/  2.4.18-sw/


[root@mk root]# cd /boot

[root@mk boot]# ls -l vmlinu*
-rwxr-xr-x    1 root     root      4045504  8¿? 22  2002 vmlinux-2.4.18-4*
lrwxrwxrwx    1 root     root           16  5¿? 29 23:22 vmlinuz -> vmlinuz-2.4.18-4
-rw-r--r--    1 root     root      1464485  8¿? 22  2002 vmlinuz-2.4.18-4 --> 압축된 bzImage



[root@mk boot]# cd /usr/src/linux-2.4
[root@mk linux-2.4]# cp arch/i386/boot/bzImage /boot/vmlinuz-2.4.18-sw
[root@mk linux-2.4]# cp System.map /boot/System.map-2.4.18-sw
[root@mk linux-2.4]# rm -rf /boot/System.map
[root@mk linux-2.4]# ln -s /boot/System.map-2.4.18-mk /boot/System.map

[root@mk linux-2.4]# vi /etc/lilo.conf
      1 prompt
      2 timeout=50
      3 vga=788
      4 default=linux
      5 boot=/dev/hda
      6 map=/boot/map
      7 install=/boot/boot.b
      8 message=/boot/message
      9 lba32
     10
     11 image=/boot/vmlinuz-2.4.18-sw --> 추가
     12     label=linux-up --> 추가
     13     read-only --> 추가
     14     root=/dev/hda2 --> 추가
     15
     16 image=/boot/vmlinuz-2.4.18-4
     17     label=linux
     18     initrd=/boot/initrd-2.4.18-4.img
     19     read-only
     20     root=/dev/hda2
     21
     22 other=/dev/hda1
     23     optional
     24     label=win2k

[root@mk linux-2.4]# lilo
Added linux-up
Added linux *
Added win2k


[root@mk linux-2.4]# ls -l /boot/vmlinuz*
lrwxrwxrwx    1 root     root           16  5¿? 29 23:22 /boot/vmlinuz -> vmlinuz-2.4.18-4
-rw-r--r--    1 root     root      1464485  8¿? 22  2002 /boot/vmlinuz-2.4.18-4
-rw-r--r--    1 root     root      1463512  5¿? 30 15:06 /boot/vmlinuz-2.4.18-sw


Reboot후 lilo에서 linux-up으로 부팅......


---------------------------------------------------------------------------
--부하분산(RSYNC)

[root@mk root]# nslookup
Note:  nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead.  Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
> www.yahoo.akadns.net
Server:         211.169.219.96
Address:        211.169.219.96#53

Non-authoritative answer:
Name:   www.yahoo.akadns.net
Address: 66.218.70.51
Name:   www.yahoo.akadns.net
Address: 66.218.71.84
Name:   www.yahoo.akadns.net
Address: 66.218.71.87
Name:   www.yahoo.akadns.net
Address: 66.218.71.88
Name:   www.yahoo.akadns.net
Address: 66.218.71.91
Name:   www.yahoo.akadns.net
Address: 66.218.71.92
Name:   www.yahoo.akadns.net
Address: 66.218.70.49
Name:   www.yahoo.akadns.net
Address: 66.218.70.50
>

[root@mk root]# vi /var/named/mk.zone
$TTL    86400
@       IN      SOA     ns.mk.com. root.mk.com.  (
                                      1997022700 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
              IN      NS      ns.mk.com.

              IN      A       211.169.219.96
ns            IN      A       211.169.219.96
www           IN      A       211.169.219.96
www           IN      A       211.169.219.91 --> www에 다른 ip설정 추가
mail          IN      A       211.169.219.96
@             IN      MX    10       mail.mk.com.


[root@mk root]# /etc/rc.d/init.d/named restart --> named데몬 재시작

[root@mk root]# nslookup
Note:  nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead.  Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
> www.mk.com
Server:         211.169.219.96
Address:        211.169.219.96#53

Name:   www.mk.com
Address: 211.169.219.91
Name:   www.mk.com
Address: 211.169.219.96


[root@mk root]# rpm -qa |grep rsync --> rsync패키지 확인
rsync-2.5.4-2

[root@mk root]# vi /etc/xinetd.d/rsync
# default: off
# description: The rsync server is a good addition to am ftp server, as it \
#   allows crc checksumming etc.
service rsync
{
    disable = no --> no로 설정
    socket_type     = stream
    wait            = no
    user            = root
    server          = /usr/bin/rsync
    server_args     = --daemon
    log_on_failure  += USERID
}


[root@mk root]# /etc/rc.d/init.d/xinetd restart --> xinetd데몬 재시작


[root@mk root]# vi /etc/rsyncd.conf --> 설정 내용을 생성함..
[www] --> 서비스명
path=/var/www/html --> 서비스할 디렉토리 위치
comment=webserver1 --> 서버설명
uid=nobody
gid=nobody
user chroot=yes --> path를 root 디렉토리로 사용
read>host allow=211.169.219.91 211.169.219.92 --> 접속허용할 주소
max connections=3 --> 동시접속자수
timeout 100


--Webserver1dml /var/www/html의 내용을 webserver2의 /home/data로 내용을 가져오기
-- rsync를 이용한 방법
[root@mk root]#  rsync -avz 211.169.219.91::www /home/data

-- ssh를 이용한 방법
[root@mk root]# rsync -avz -e ssh 211.169.219.91:/var/www/html/* /home/data  --> root로 하면 ssh에 root접속이 거부되어 않됨.
[root@mk root]# rsync -avz -e ssh mk@211.169.219.91:/var/www/html/* /home/data  --> 일반 mk사용자를 이용해서 가져오기


~
~


~

List of Articles
번호 제목 글쓴이 날짜 조회 수
48 SQL Injection tools 15종 ADMINPLAY 2009.09.25 12327
47 SYN Flooding공격에 대한 대비 ADMINPLAY 2009.09.24 13008
46 rootkit 검색 프로그램 rkhunter-1.3.4.tar.gz file ADMINPLAY 2009.09.22 9483
45 rootkit 검색 프로그램 rkhunter-1.2.9.tar.gz file ADMINPLAY 2009.09.22 9236
44 apache 웹방화벽 modsecurity용 웹설정 툴, Remo file ADMINPLAY 2009.09.09 9498
43 스위칭 허브 상에서의 sniffing 툴 file ADMINPLAY 2009.09.08 9637
42 시스템 로그를 메일로 - logcheck file ADMINPLAY 2009.09.08 8827
41 리눅스서버에서 ping(ICMP) 열기/닫기 ADMINPLAY 2009.08.18 14876
40 find 명령어 활용(보안관련) ADMINPLAY 2009.08.08 9638
39 Apache 에 ModSecurity 모듈 설치하기 ADMINPLAY 2009.08.03 10597
38 64bit 시스템에 ssl 설치 후 실행 시 X509_free 오류 ADMINPLAY 2009.07.19 9743
37 SSL 인증서문제 ADMINPLAY 2009.07.19 9528
» Linux Security ADMINPLAY 2009.07.18 9990
35 리눅스용 각종 보안도구 사이트모음 ADMINPLAY 2009.07.12 34046
34 Tcpdump 사용법 ADMINPLAY 2009.06.06 11208
33 리눅스용 백신 AVG ADMINPLAY 2009.06.04 9142
32 mod_security 설치 2.X ADMINPLAY 2009.06.04 9449
31 pam_abl 을 통한 SSH 무작위 공격 방어 ADMINPLAY 2009.06.04 8792
30 iptables 포트 포워딩 ADMINPLAY 2009.06.04 12093
29 iptables-connlimit & geoip 설치설정 ADMINPLAY 2009.05.28 10397
Board Pagination Prev 1 2 3 4 5 Next
/ 5

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234