- 계정 관리
식별 : 어떤 시스템에 로그인하려면 자신이 누군지를 알려야 함
인증: 로그인 허용 위한 확인
how?
1. 머릿속에 기억하고 있는 정보를 이용하여 인증
2. 신분증,OTP
3. 생체 정보
4. 접속 위치, 콜백
운영체제 : 시스템을 구성하고 운영하기 위한 가장 기본적인 SW
운영체제에 대한 권한을 가진다? 그러면 해당 시스템의 다른 응용 프로그램에 대해서도 권한 지님
일반 사용자 권한의 계정도 시스템 상당 부분에 읽기 권한ㅇㅇ
- 윈도우의 계정관리
(cmd) net localgroup administrators 명령어 : 관리자 그룹의 계정의 존재 형태 확인
별칭 administrators
설명 컴퓨터 도메인에 모든 액세스 권한을 가진 관리자입니다.
구성원
-------------------------------------------------------------------------------
82103
Administrator
명령을 잘 실행했습니다.
net localgroup : 시스템에 존재하는 그룹 목록 확인
\\LAPTOP-UTTJ6DLE에 대한 별칭
-------------------------------------------------------------------------------
*Administrators
*Device Owners
*Distributed COM Users
*Event Log Readers
*Guests
*Hyper-V Administrators
*IIS_IUSRS
*Performance Log Users
*Performance Monitor Users
*Remote Management Users
*System Managed Accounts Group
*Users
명령을 잘 실행했습니다.
+) administrators, power users, backup operators, users, guests
- 유닉스(리눅스) 계정 관리
cat /etc/passwd : 계정 목록 확인
cat /etc/group : 그룹 확인
stud2222:x:2222:2200:,,,:/home/stud2222:/bin/bash
차례대로 사용자계정, 패스워드가 암호화되어 shdow 파일에 저장되어 있음을 나타냄, ..., 사용자의 홈 디렉터리 설정 /home 디렉터리 하위에 위치하며 사용자의 셸을 정의 기본은 bash
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:syslog,com
tty:x:5:syslog
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
더 많지만.. 몇개만 올려봄
- DB에서의 계정 관리
운영체제처럼 계정이 존재한다. MS-SQL : sa, 오라클 : sys,system.
*sys와 system의 차이: 둘다 관리자 계정이지만 system은 데이터베이스 생성 불가.
- 세션 : 사용자와 시스템 사이 또는 두 시스템 사이의 활성화된 접속
세션은 지속적인 인증을 통해서 관리한다. 세션을 유지하기 위한 보안 사항 중 하나로 인증에 성공한 후에 인증된 사용자가 처음의 사용자인지 지속적으로 재인증 작업을 거친다.
- 접근 제어 : 적절한 권한을 가진 인가자만 특정 시스템이나 정보에 접근하도록 통제IP와 서비스 포트가 가장 기본적인 수단임. 텔넷 사용포트 23.... 알쥐?
- 운영체제 접근제어 : 불필요한 인터페이스를 제거함위 과정에서 접근 가능한 인터페이스를 확인했으면 불필요한 인터페이스를 제거해야 함. 이때 사용할 인터페이스에 보안 정책 적용 가능 유무 판단해야 함.
inted 데몬 : 클라이언트로부터 inetd가 관리하는 텔넷이나 SSH, FTP에 대한 연결 요청 받음. 해당 데몬을 활성화해서 데몬과 클라이언트의 요청을 연결함
TCPWrapper 가 설치되면 inetd 데몬은 TCPWrapper이 tcpd 데몬에 연결 넘겨줌. 그러면 tcpd 데몬이 접속을 요구한 클라이언트에 적절한 접근 권한이 있는지 확인하고 해당 데몬에 연결을 넘겨준다.
- 운영체제 권한 관리
속성-보안 탭에서 사용 권한 쉽게 볼 수 있음 .*
모든 권한 : 디렉터리 접근 권한 / 소유권 변경 / 하위 디렉터리 파일 삭제 가능
수정 : 디렉터리 삭제 가능 = rwx 권한 주어짐
쓰기 : 해당 디렉터리에 하위 디렉터리 및 파일 생성, 소유권이나 접근 권한 설정 내용 확인 가능
권한의 규칙 1 : 접근 권한이 누적
권한의 규칙 2 : 파일 접근 권한 > 디렉터리 접근 권한
권한의 규칙 3 : 거부 > 허용
- 데이터베이스 권한 관리
뷰 : 참조 테이블의 각 열에 대해 사용자의 권한 설정하는 것은 매우 불편. 따라서 가상의 테이블을 만들었음. 생성된 뷰에 대한 권한 설정은 테이블에 대한 권한 설정과 같다.
- AAA 요소 : 시스템 사용자가 로그인한 후 명령을 내리는 과정에 대한 sys의 동작
Authentication(인증), Authorization(권한 부여), Accounting(계정 관리)
- 운영체제의 로그 관리
utmp : 유닉스 시스템의 가장 기본적인 로그. (w,who,users...)
02:16:41 up 2 days, 17:31, 3 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
stud2222 pts/1 203.252.66.179 00:15 1:48m 0.02s 0.02s -bash
com :0 :0 화09 ?xdm? 1:31m 0.00s /usr/lib/gdm3/g
stud2222 pts/2 112.167.12.219 01:55 0.00s 0.04s 0.00s w
wtmp : 사용자 로그인, 로그아웃, 시스템 재부팅에 대한 정보 확인
stud2222 pts/2 112.167.12.219 Thu Apr 14 01:55 still logged in
stud2235 pts/2 210.115.43.81 Thu Apr 14 00:57 - 01:40 (00:43)
stud2222 pts/1 203.252.66.179 Thu Apr 14 00:15 still logged in
stud2222 pts/1 203.252.66.179 Wed Apr 13 23:36 - 00:15 (00:38)
stud2222 pts/2 211.218.176.12 Wed Apr 13 21:56 - 22:02 (00:05)
stud2228 pts/1 14.41.30.133 Wed Apr 13 21:37 - 21:58 (00:21)
stud2219 pts/1 218.237.106.158 Wed Apr 13 21:11 - 21:12 (00:01)
+) 페도라, CentOs, 레드햇..등의 리눅스는 secure에 로그 저장함. cat secure
- 데이터베이스 로그 관리(MySQL)
Error 로그 | 확장자 .err의 파일로 데이터 디렉터리에 생성. MySQL의 구동과 모니터링, 쿼리 에러에 관련된 메시지 포함. 기본적으로 남는 로그임 |
General 로그 | MySQL에서 실행되는 전체 쿼리를 저장함. 현재 설정 확인 |
Slow Query 로그 | 쿼리가 정상 완료 되기까지, 즉 실행된 시간가지 입력하기 때문에 실행 도중에 에러가 발생한 쿼리에 대해서는 로그로 남기지 않음. |
Binary & Relay 로그 | Binary 로그는 db 변경 및 테이블 변경 사항들이 기록되는 바이너리 형태의 파일로.... MySQL 복제 구성 혹은 특정 시점 복구 시 사용됨. |
+)오라클은 나중에....
* 데이터베이스 모니터링 : 네트워크 트래픽 모니터링 할 수 있는 태핑 장비 네트워크에 설치하고 네트워크 패킷 중에서 데이터베이스 질의문을 확인해서 이를 로그로 남긴다. 잘못된 접근 시도와 질의문 입력 모두 모니터링
* 대부분의 네트워크 장비에는 로그를 저장할 저장공간이 없어 로그 서버를 따로 두고 운영함. 로그 서버를 운용하면 해커가 어떤 네트워크 장비에 침입해도 자신의 흔적을 지우기가 쉽지 않다.
*응용 프로그램 제작사가 배포한 패치를 적용해서 시스템 자체의 취약점을 보완하기도 한다.
'Major > Security' 카테고리의 다른 글
Network Security (0) | 2022.04.16 |
---|