p1) 보안

제가 쓰는 keyword 들 중 최신이 있다면 댓글 바랍니다.


ex) 가령 zterm을 쓰면 된다고 했는데... 요즘 잘 안쓰잖아요. putty를 더 많이 쓰지...



<초기 세팅>



자 우선 리눅스에 접속을 해 봅시다. 저 같은 경우 서버를 원격에 두고 Xmanager의 Xshell을 씁니다.

샀어요. 20만원 이었던가 30만원 이었던가... 저도 개발자라... Turbo C++ 3.0도 중학교 때 사서 쓰고 그랬죠. 뭐 활동도는 낮았지만.

3.5 디스크 몇장에 18만원 주고 샀던(그 때가 새우깡이 200원 했던가... 100원했던가 ^^) 물론, 일년인지 이년인지 용돈 없었습니다.

넷사랑에서 나온 Xmanager 학생용 버전이나 뭐 그렇게 나오면 더 많이 팔릴텐데 그렇게 많이 팔릴거라고 생각은 안되는데 좀 비싼감이 있네요.





다시 돌아와서 원래는 putty랑 Xming을 썼었습니다. putty는 SSH 접속 툴이고 Xming은 X윈도우를 띄워주는 툴이죵. 인터넷에 많습니다.

Xmanager는 이 둘의 기능이 들어가 있는 국산 원격 접속 프로그램인데요.

좋은 점이라고 하면 putty Xming은 좀 자주 뻗는 경향이 있는데 Xmanager는 그런 적이 없다는 거죠.



리눅스 서버에 sshd 깔려있고 설정이 되어 있다면 바로 접속이 됩니다.

apt-get install sshd 하면 바로 sshd 설정이 되나요? 우분투에서.

yum -i 던지 install 인지 모르지만 페도라 시리즈는 윰을 쓰시면 되구요.

믓튼 여튼 설치하고 나면 /etc 밑에 ssh나 sshd가 생깁니다.

우분투는 ssh네요



/etc/ssh/sshd_config에서



X11Forwarding yes

X11DisplayOffset 10

PrintMotd no

PrintLastLog yes

TCPKeepAlive yes



요부분... X11Forwading yes가 되어 있어야 X윈도우를 쓸 수가 있습니다.

putty를 쓰시는 분들도 putty안에 X11Forwading 체크 박스가 있는데 default가 체크 안되어 있어서 Xwindows 쓰시려면 체크를 해줘야 합니다.



이제 세팅도 다 되었고,



http://linux.softpedia.com/dyn-postdownload.php?p=2417&t=0&i=1



가서 패스워드 생성기 받아서 돌려볼까요?



root 따는 명령어는 su - 입니다. sudo -s 도 되구요(요건 작업 디렉토리 안 바꾸는 거라 더 유용)

su root해도 되구요.

자신이 sudoers에 등록되어 있다면 root 비번없이 sudo passwd root 로 root를 딸 수도 있습니다.



그런데 비번 모르니까 비밀번호 생성기를 이용하는 거죠. 상대방 생일을 알면 생일도 한번 쳐보고 왠지 이런 느낌일 것 같다는 것 한번 쳐보고.





이래서 언제 비번을 뚫을 것 같냐고요?



맞습니다. 비번을 언젠가는 뚫겠지만 시간이 문제죠. 또 이미 해봤던 비번으로 다시 중간에 바뀔 수도 있기에 영영 비번을 모를수도 있습니다.



제가 말씀드리고 싶은 것은 root 권한을 획득하는데에 가장 고전적인 방법으로 비밀번호 패턴 DB를 이용해서 패스워드 크렉 방법도 있고 여전히



사용되고 있습니다.



http://www.architectingsecurity.com/2010/09/11/password-patterns/ 에 보시면 어떤 패턴으로 되는지 간단히 나와 있구요.



사실 사람이 일일이 수동으로 넣어 주는건 한계가 있기 때문에 자동으로 스크립트를 짜야 합니다.



웹의 경우에는 비번 몇번 틀리면 이상한 문자 보여주고 입력하라고 하죠?(사실 사람이 봐도 어렵습니다)



하지만 sshd에는 그런 설정을 줄 수가 없습니다. 뭐 다른 방법이 있는데 마지막 부분에 링크와 설명을 달겠습니다.



일단 그렇게 안 되어 있으니 컴퓨터로 자동화 해서 root 패스워드를 따면 됩니다. 위의 링크에서 password generator 소스를 참고해서 고쳐서



자동 입력하게끔해도 되구요. autohotkey를 이용해도 됩니다. www.autohotkey.com/



아니면 쉘 스크립트를 이용해도 되겠네요. http://osix.net/modules/article/?id=570



자바 스크립트도 있구요. http://www.codeproject.com/KB/scripting/Password_Validation.aspx



이래서 필요한 것이 구글링 능력이랑 여러 프로그램들의 코드를 이해할 줄 아는 능력이 필요해지는 겁니다. 사실 위의 링크들은 들어가서 이것저것 작업을



해줘야 해요. 저야 안 뚫릴 것을 알고 더 좋은 방법들이 있으니까 더 나은 방법들을 이야기 하고 나중에 여러 방법들을 실재적으로 이용하는 방법들을



알아 봅시다(지금은 초급이니까 길만 잡아 본다는 식으로)





사실 리눅스 쪽은 네트워크 해킹에 가깝습니다. 쿨 소프트는 파일 리버싱에 가까워서 거리가 조금 멀 수도 있지만 이런이런 것들이 있다는 것 정도는



알아봐야 겠죠?



참고로 love123, franky93__ 이런 암호는 금방 뚫린답니다. 계속 입력할수만 있으면요.



그리고 비밀번호는 실재적으로 /etc/passwd 속으로 들어가는데 웹에서 가입하는 방식은 실재 리눅스 계정이 만들어 지는 방식이 아닙니다.



모두 DB로 들어가서 관리자가 볼 수 있습니다. DB에 저장하고 DB에서 불러와서 패스워드를 확인하는 방식이죠.



관리자가 맘만 먹으면 그 ID와 passwd를 다른 포털 사이트에 접속해보면 열에 1~2개는 똑같습니다. 뭐 해 본건 아니지만... 저도 웹 호스팅 사업을 잠깐



했었고. 그럴것 같아서 ^^;; 흐흐. 해본건 아니예요.



저 같은 경우엔 포털 사이트 이용하는 암호와 일반 사이트 암호, 돈 들어가는 사이트 암호군이 다 다릅니다. 사이트 마다 다르게 할려니 자꾸 까먹어서리 ^^



비번 해킹 하는 방법에는 여러 방법이 있습니다. 그 중에 괜찮은데 fishing site라는 건데요. 자기가 사이트를 하나 만들어서 운영하는 것도 방법이지만.





예를 들어 네이버 초기 화면하고 똑같은 화면을 만들고 www.nvaer.com을 삽니다. 들어오는 사람 많아요 ^^ 그럼 거기다가 아이디랑 비번을 입력하면



그것을 저장하고 진짜 naver.com으로 연결시켜 줍니다. 사용자는 어라? 비번 잘못입력했나? 하고 머리 긁적이고 맙니다.



이게 피싱 사이트의 원리죠.



그리고 일전에 학창시절 때 제가 라우터에서 무차별 모드로 서버를 하나 연결하고 tcpdump를 돌려놨는데 로그를 보니 정말 ID랑 패스워드가 바로 보였습니다.



이걸로 세미나를 한번 했는데 그 다음부터 비번을 수시로 바꾸는 후배들도 생겨났더랬죠. (웹 보안 단계가 없던 시절)



이것 때문에 사이트에서 1단계 보안 2단계 보안 3단계 보안이 나온거예요. 사실 1단계 보안이면 ID랑 비번을 그냥 뿌리고 다닌다고 생각하시면 되요.



자세하게 적진 않았지만 질문 있으시면 성실하게 답변할 것이고. 제가 알려드린 키워드로 구글링 해 보시면 수많은 크레킹 방법이 나와 있습니다.



그럼 마지막으로 우리는 어떻게 보안을 해야 하는가?



위에서 말하고자 했던



SSH 보안 http://system.neulwon.com/xe/1457 사이트에 자세히 나와 있습니다.



crontab이란건 주기적으로 실행되는 예약 명령어 인데 거기다가 로그를 분석하는 쉘 스크립트를 만들어서 연속적으로 입력하는 IP를 서비스 거부 설정 파일에

넣어서 접속을 못하게 하는 방식이죠.



물론, 실재 적용해보면 고쳐야할 것이 있을수도 있지만. 이런게 있다는 것을 아는 것과 모르는 것도 큰 차이가 나는거죠.



그리고 자신이 정말 애용하는 사이트는 비번을 자주 바꾸시구요(특정한 패턴으로 바꾸시면 됩니다. 가령 12쿨러 였으면 쿨러#13, 14쿨#러, #쿨러15 이런식으로



정하면 되죠. 바꾸시기 싫으시면 웹 사이트에는 큰 비중을 두지 마시고 중요 자료 보관을 안하면 됩니다.



피싱 사이트는 웹 브라우저의 기능들을 켠 다음 이용하시면 되겠네요. 사실 일일이 주의하면서 살기는 힘드니까요.



공인 인증서 사용하는데는 괜찮지 않느냐? 얼마전 뉴스에서 공인 인증서도 복사하는게 나온 것도 있지만 5년전에 친구 한 녀석이 윈도 디바이스 드라이버 후킹해서



비번 치는대로 화면에 나오고 가져오는거 만들 것을 본 적이 있습니다.



완벽한 보안은 없다고 생각하시면 되요. 다만 시간이 걸릴 뿐이고 우린 그 시간을 길게 해 주어야 하는 거죠.