카테고리 Archives: linux

CentOS 7 에서 systemd 의 쓸모 없는 로그를 필터링

시스템 로그 분석을 매주 진행하는데 systemd 에서 아래와 같은 메세지가 많이 표현됨.

Sep 23 00:00:00 HOSTNAME systemd: Started Session XXXXXXXX of user root.

Sep 23 00:00:00 HOSTNAME systemd: Starting Session XXXXXXXX of user root.

Sep 23 00:00:00 HOSTNAME systemd: Removed session XXXXXXXX.

Sep 23 00:00:00 HOSTNAME systemd: Starting User Slice of root.

Sep 23 00:00:00 HOSTNAME systemd: Stopping User Slice of root.

Sep 23 00:00:00 HOSTNAME systemd: Created slice user-X.slice.

Sep 23 00:00:00 HOSTNAME systemd: Removed slice user-X.slice.

Sep 23 00:00:00 HOSTNAME systemd: Starting user-X.slice.

Sep 23 00:00:00 HOSTNAME systemd: Stopping user-X.slice.

로그 분석할때 쓸모가 없기 때문에 rsyslog 에서 예외 적용 한다.

~]# echo 'if $programname == "systemd" and ($msg contains "Removed session" or $msg contains "Starting User Slice of" or $msg contains "Stopping User Slice of" or $msg contains "Created slice" or $msg contains "Removed slice" or $msg contains "Starting user-" or $msg contains "Stopping user-" or $msg contains "Started Session" or $msg contains "Starting Session") then stop' > /etc/rsyslog.d/ignore-systemd-session-slice.conf

~]# systemctl restart rsyslog

출처 : https://access.redhat.com/solutions/1564823

aws ubuntu 18.04 자동 업데이트 끄기

aws 에서 서버운영을 하는데

가장 작은 디스크 크기 8GB 으로 생성하고 1년정도 운영을 했을때 디스크가 초반에 4.XX GB만 사용이 되다가 점점 사용량이 증가 되었음 ‘ㅅ’a

ubuntu 의 경우 자동 업데이트로 꾸준히 커널을 업데이트 하기 때문에 발생하는 문제이고

특정한 서비스 포트만 열고 서비스 하는 서버이기 때문에 업데이트가 필요 없다고 판단되어 자동업데이트를 끄는 것으로…

~]# echo 'APT::Periodic::Update-Package-Lists "0";

APT::Periodic::Download-Upgradeable-Packages "0";

APT::Periodic::AutocleanInterval "0";

APT::Periodic::Unattended-Upgrade "0";' > /etc/apt/apt.conf.d/10periodic

~]# echo 'APT::Periodic::Update-Package-Lists "0";

APT::Periodic::Unattended-Upgrade "0";' > /etc/apt/apt.conf.d/20auto-upgrades

이후 apt-get 을 이용하여 불필요한 패키지를 삭제한다 ‘ㅅ’a

1	~]# apt-get autoremove

linux-headers가 업데이트가 된 경우 재 부팅 이후에 autoremove를 해야할 수 있다.

혹은 너무 쌓여서 broken 이 된경우 /usr/src 에서 사용되고 있는 headers 를 제외하고 삭제를 해야 할 수 있겠다 ‘ㅅ’a

nginx 에서 특정 국가 와 IP 허용 하기 (centos7)

nginx 에서 IP를 제한 하는 방법은 아래와 같다.

server {

listen 80;

root /path/dir/;

location / {

allow 111.111.111.111/32;

deny all;

}

허용된 IP 외에는 403 에러가 발생한다.

아래는 허용된 IP 및 특정한 국가 코드(KR,SG) 와 IP (111.111.111.111)를 허용 하는 방법이다.

map $geoip_country_code $allowed_countrys {

KR 1;

SG 1;

}

geo $remote_addr $allowed_ips {

127.0.0.1 1;

111.111.111.111/32 1;

}

server {

listen 80;

root /path/dir/;

location / {

if ($allowed_countrys = 1) {

set $allowed_ips "1";

}

if ($allowed_ips != 1) {

return 403;

}

위에서 map $geoip_country_code 를 활용하기 때문에 아래와 같이

nginx 에서 GeoIP.dat 를 불러와야 한다.

http {

....;

geoip_country /usr/share/GeoIP/GeoIP.dat;

....;

}

GeoIP.dat 는 아래와 같이 설치를 해야 한다.

1	yum install GeoIP nginx-module-geoip

GeoIP data 파일은 주기적인 업데이트를 해야 한다. (매월 초 업데이트 된다.)

#!/bin/bash

##############################################################################################

# GeoIP legacy dat files build from mmdb.

# at CRON => 00 06 07 * * bash /usr/share/GeoIP/geoip_dat_update_from_mmdb.sh

# by Enteroa ( enteroa.j@gmail.com )

##############################################################################################

REPLACEDATA="30"

### config - DISABLE city it'll be need free memory 2GB

CITYDATA="N"

### avoid overlap

lockfile=/var/lock/$(basename $0)

if [ -f $lockfile ];then

P=$(cat $lockfile)

if [ -n "$(ps --no-headers -f $P)" ];then

exit 1

echo $$ > $lockfile

trap 'rm -f "$lockfile"' EXIT

### install dependances

if [[ -z $(which git) ]];then sudo yum -y install git > /dev/null 2>&1 ;fi

if [[ -z $(which pip) ]];then sudo yum -y install python2-pip > /dev/null 2>&1;fi

if [[ -z $(pip list|grep pygeoip) ]];then sudo pip install pygeoip > /dev/null 2>&1 ;fi

if [[ -z $(pip list|grep ipaddr) ]];then sudo pip install ipaddr > /dev/null 2>&1 ;fi

### link path for iptables(xt_geoip)

GEOIPDIR="/usr/share/GeoIP"

DATALINK="/usr/share/xt_geoip /var/lib/GeoIP"

if [[ ! -d $GEOIPDIR ]];then

mkdir -p $GEOIPDIR

for a in $DATALINK

if [[ ! -d $a ]];then

if [[ $(readlink $a) != $GEOIPDIR ]];then

rm -rf $a;ln -s $GEOIPDIR $a

fi;fi

done

### https://github.com/sherpya/geolite2legacy

cd $GEOIPDIR

if [ ! -e $GEOIPDIR/geolite2legacy/geolite2legacy.py ];then

git clone https://github.com/sherpya/geolite2legacy.git

### make GeoIP.dat files

if [ -d $GEOIPDIR/geolite2legacy ];then

cd $GEOIPDIR/geolite2legacy

COUNTRY="GeoLite2-Country-CSV.zip"

CITY="GeoLite2-City-CSV.zip"

if [[ -z $(find $GEOIPDIR/geolite2legacy -maxdepth 1 $ -name $COUNTRY -o -name $CITY $ -mtime +$REPLACEDATA) ]];then

rm -f $COUNTRY $CITY

wget "https://geolite.maxmind.com/download/geoip/database/GeoLite2-Country-CSV.zip" > /dev/null 2>&1

if [[ $CITYDATA == "Y" ]];then

wget "https://geolite.maxmind.com/download/geoip/database/GeoLite2-City-CSV.zip" > /dev/null 2>&1

if [ -e $GEOIPDIR/geolite2legacy/$COUNTRY ];then

python geolite2legacy.py --input-file $COUNTRY --fips-file geoname2fips.csv --output-file GeoIP.dat

python geolite2legacy.py --input-file $COUNTRY -6 --fips-file geoname2fips.csv --output-file GeoIPv6.dat

if [[ $CITYDATA == "Y" ]];then

python geolite2legacy.py --input-file $CITY --fips-file geoname2fips.csv --output-file GeoLiteCity.dat

python geolite2legacy.py --input-file $CITY -6 --fips-file geoname2fips.csv --output-file GeoLiteCityv6.dat

if [ -e GeoIP.dat ];then

find $GEOIPDIR -maxdepth 1 -type f -name "*.dat" -mtime +$REPLACEDATA -exec rm -f {} \;

if [[ $CITYDATA == "Y" ]];then

mv -f Geo{IP,IPv6,LiteCity,LiteCityv6}.dat $GEOIPDIR/ > /dev/null 2>&1

else

mv -f Geo{IP,IPv6}.dat $GEOIPDIR/ > /dev/null 2>&1

fi;fi;fi

unset GEOIPDIR DATALINK CITY COUNTRY CITYDATA REPLACEDATA

exit 0

cron 에서는 매월 7일 오전 6시에 실행 하도록 처리하였다.

1 2	### GeoIP.dat - update 00 06 07 * * bash /usr/share/GeoIP/geoip_dat_update_from_mmdb.sh

Docker for windows – centos8(php, httpd) 설치

Centos 8.1.1911 이 배포 되었다.

당장 OS 를 올릴 필요는 없지만 새로운 OS 가 추후에는 사용이 될것이기 때문에

Docker 환경에서 연습이 필요로 하다고 판단되어 Windows for Docker 를 이용하여 컨테이너를 생성하여 설치 테스트 및 작동 테스트를 해보았다 ‘ㅅ’a

사전에 c 드라이브를 분배 하여 w 드라이브에 workspace 를 생성 하였으며 컨테이너 웹 디렉토리와 연결한다. (windows 환경에서 php 개발 편의성)

물론 Docker 부분만 제외 한다면 Centos 8 에서 같은 방법으로 설치가 가능하다.

docker 에 centos 8 공식 이미지를 통해 컨테이너 생성을 한다.

> docker pull centos

> docker run --privileged -d --name centos8 -p 80:80 -v w:/php73-fpm:/var/www/html --restart unless-stopped centos init

### [관리자권한] [컨테이너이름] [포트포워딩] [디스크마운트:컨테이너마운트] [자동재시작-계획없는정지시] [이미지]

> docker exec -it centos8 bash

Remi’s 레포지토리 추가 및 php 7.3 설치 (httpd 는 의존성에 의해 OS 기본 제공 되는 2.4.37이 설치 된다.)

~]# dnf install dnf-utils http://rpms.remirepo.net/enterprise/remi-release-8.rpm

~]# dnf module list php

~]# dnf module reset php

~]# dnf module enable php:remi-7.3

~]# dnf install php php-common php-opcache php-gd php-curl \

php-mysqlnd php-pecl-mcrypt php-bcmath \

php-pecl-igbinary php-intl php-pecl-memcached \

php-pecl-zip httpd mod_ssl

apache 설정 (웹 디렉토리는 /var/www/html 으로 진행 하였음.)

~]# sed -i 's+ UserDir disabled+ UserDir html+g' /etc/httpd/conf.d/userdir.conf

~]# sed -i 's+tory "/home/\*/public_html">+tory "/var/*/html">+g' /etc/httpd/conf.d/userdir.conf

~]# sed -i 's+ServerName www.example.com:80+ServerName '$(hostname)'+g' /etc/httpd/conf/httpd.conf

php-fpm 설정

~]# sed -i 's+;listen.owner = nobody+listen.owner = apache+g' /etc/php-fpm.d/www.conf

~]# sed -i 's+;listen.group = nobody+listen.group = apache+g' /etc/php-fpm.d/www.conf

~]# sed -i 's+listen.acl_users+;listen.acl_users+g' /etc/php-fpm.d/www.conf

php.ini 설정 (파일 업로드 100M 와 숏코드만 사용 만 수정)

~]# sed -i "s+^post_max_size = 8M+post_max_size = 120M+g" /etc/php.ini

~]# sed -i "s+^upload_max_filesize = 2M+upload_max_filesize = 100M+g" /etc/php.ini

~]# sed -i "s+^short_open_tag = Off+short_open_tag = On+g" /etc/php.ini

apache 및 php-fpm 시작 및 활성화

1 2	~]# systemctl enable --now php-fpm ~]# systemctl enable --now httpd

docker hub: https://hub.docker.com/r/san0123/centos8-apache24-php73

도커 이미지(latest)의 경우 php-fpm 이 아닌 libphp7.so 으로 httpd-profork 방식으로 설정 되어 있다. (ssl, http2 등 사용 불가)

php 7.4 : https://hub.docker.com/r/san0123/centos8-apache24-php74

ps. MariaDB 10.4 설치

mariadb 는 centos 에서 10.3.17 이 제공되지만 업데이트는 잘되지 않기 때문에 mariadb 에서 제공 되는 repo를 추가하고 설치한다.

~]# echo '# MariaDB 10.4 CentOS repository list - created 2020-05-18 08:32 UTC

# http://downloads.mariadb.org/mariadb/repositories/

[mariadb]

name = MariaDB

baseurl = http://yum.mariadb.org/10.4/centos8-amd64

module_hotfixes=1

gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB

gpgcheck=1' > /etc/yum.repos.d/MariaDB.repo

1	~]# dnf -y install MariaDB-server MariaDB-client

mariadb 시작 및 활성화

1	~]# systemctl enable --now mariadb

정보보호 관리체계(ISMS) – centos 서버 패치

Information Security Management System(ISMS) / 한국 정보보호 관리체계 인증(K-ISMS)

사실 처음 공부를 시작할때 개발자 vs 엔지니어 로 고민 했던 사람들이 많았다.

그런 우리의 고민을 모든 날려버린 직업이 발생하는데 바로 DevOps 이다.

개발자에게 엔지니어의 역할을 맞기거나 엔지니어에 개발을 요구 하는…

그래서 숙련 되지 않는 엔지니어를 위해서(혹은 개발자지만 엔지니어 역량이 요구되는 직무인 사람) 서버 기본 보안 설정에 대한 글을 포스팅 하게 되었다.

(ISMS 혹은 K-ISMS 에 필요한 포스팅을 했을때 블로그에 해당 링크를 통해 유입 되는 사람이 많다.)

사실 한국 과학기술정보통신부에서 발행하는 문서 “201712_주요정보통신기반시설_기술적_취약점_분석평가_가이드” 에 따라

centos 7 에서 설정해줘야 하는 부분만 스크립트로 작성 하였다.

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

#!/bin/bash

### 루트 권한 check

U=$(env | grep "^SUDO_USER=" | cut -d"=" -f2)

if [[ x$U == "x" ]];then

echo "should get super user permition with ( sudo -i )"

exit 1

## root 계정의 원격 접속 제한

TARGET=/etc/ssh/sshd_config

CHECK=$(grep -n ^PermitRootLogin $TARGET)

if [[ -n $CHECK ]];then

TNUM=$(cut -d':' -f1 <<< $CHECK)

TSTR=$(cut -d':' -f2 <<< $CHECK)

if [[ $(echo $CHECK | grep -i yes$) ]];then

sed -i "${TNUM}s/$TSTR/PermitRootLogin no/g" $TARGET

else

echo "PermitRootLogin no" >> $TARGET

unset TARGET CHECK TNUM TSTR

## 계정 잠금 임계값 설정

if [[ -z $(grep "pam_tally2.so" /etc/pam.d/password-auth-ac) ]];then

sed -i '5 i\auth required pam_tally2.so deny=5 magic_root unlock_time=600;

11 i\account required pam_tally2.so' /etc/pam.d/password-auth-ac

if [[ -z $(grep "pam_tally2.so" /etc/pam.d/system-auth-ac) ]];then

sed -i '5 i\auth required pam_tally2.so deny=5 magic_root unlock_time=600;

11 i\account required pam_tally2.so' /etc/pam.d/system-auth-ac

## 패스워드 복잡성 설정 - 패스워드 최소 길이 설정

TARGET=/etc/login.defs

CHECK=$(grep -n ^PASS_MIN_LEN $TARGET)

if [[ -n $CHECK ]];then

TNUM=$(cut -d':' -f1 <<< $CHECK)

TSTR=$(cut -d':' -f2 <<< $CHECK)

TVELUE=$(awk '{print $2}' <<< $TSTR)

if [ $TVELUE -lt 8 ];then

sed -i "${TNUM}s/$TSTR/PASS_MIN_LEN\t8/g" $TARGET

else

echo "PASS_MIN_LEN\t8" >> $TARGET

## 패스워드 복잡성 설정 - 패스워드 최대 사용 기간 설정

TARGET=/etc/login.defs

CHECK=$(grep -n ^PASS_MAX_DAYS $TARGET)

if [[ -n $CHECK ]];then

TNUM=$(cut -d':' -f1 <<< $CHECK)

TSTR=$(cut -d':' -f2 <<< $CHECK)

TVELUE=$(awk '{print $2}' <<< $TSTR)

if [ $TVELUE -gt 90 ];then

sed -i "${TNUM}s/$TSTR/PASS_MAX_DAYS\t90/g" $TARGET

else

echo "PASS_MAX_DAYS\t90" >> $TARGET

## 패스워드 복잡성 설정 - 패스워드 최소 사용 기간 설정(0 일 설정 금지)

TARGET=/etc/login.defs

CHECK=$(grep -n ^PASS_MIN_DAYS $TARGET)

if [[ -n $CHECK ]];then

TNUM=$(cut -d':' -f1 <<< $CHECK)

TSTR=$(cut -d':' -f2 <<< $CHECK)

TVELUE=$(awk '{print $2}' <<< $TSTR)

if [ $TVELUE -eq 0 ];then

sed -i "${TNUM}s/$TSTR/PASS_MIN_DAYS\t1/g" $TARGET

else

echo "PASS_MIN_DAYS\t1" >> $TARGET

## ssh - Session Timeout 설정

if [[ -z $(grep "^TMOUT=600" /etc/profile) ]];then

echo "TMOUT=600" >> /etc/profile

## UMASK 설정 관리

TARGET=/etc/login.defs

CHECK=$(grep -n ^UMASK $TARGET)

if [[ -n $CHECK ]];then

TNUM=$(cut -d':' -f1 <<< $CHECK)

TSTR=$(cut -d':' -f2 <<< $CHECK)

TVELUE=$(awk '{print $2}' <<< $TSTR)

if [ $TVELUE -lt 22 ];then

sed -i "${TNUM}s/$TSTR/UMASK\t\t22/g" $TARGET

else

echo "UMASK\t\t22" >> $TARGET

## cron 파일 소유자 및 권한 설정 (권한 제한(only root))

echo root > /etc/cron.allow

## 패스워드 파일 보호 / /etc/passwd 파일 소유자 및 권한 설정

chmod 400 /etc/shadow

chown root:root /etc/shadow

## 로그온시 경고 메세지 제공

echo -e "\e[31;1m

o o O o o o o o-O-o o o o-o

| | / \ |\ | |\ | | |\ | o

o o o o---o | \ | | \ | | | \ | | -o

\ / \ / | | | \| | \| | | \| o |

o o o o o o o o o-O-o o o o-o

\e[32;1m

This Server useable to Authorization User Only.

if you not of that. go away!

\e[0m" > /etc/motd

### 어드민 그룹(wheel) 현재 접속한 ID 설정

ADMINGROUP="wheel"

if [[ ! -z $U ]];then

ACID=$U

## 어드민 그룹이 없을 경우 생성한다.

if [[ ! -z $(id $ACID 2>/dev/null) ]];then

if [[ -z $(grep ^$ADMINGROUP: /etc/group) ]];then

groupadd -r $ADMINGROUP

## root 계정 su 제한

chgrp $ADMINGROUP $(which su)

chmod 4750 $(which su)

## SUID, SGID, Sticky bit 설정 파일 점검

chgrp $ADMINGROUP $(which newgrp)

chmod 4750 $(which newgrp) $(which unix_chkpwd)

## 불필요한 계정 제거

ID_LIST=( adm lp sync shutdown halt news uucp operator games gopher nfsnobody squid ftp www-data list )

for a in ${ID_LIST[@]}

if [[ ! -z $(id $a 2>/dev/null) ]];then

userdel $a

DELLIST="$DELLIST $a"

done

if [[ ! -z $DELLIST ]];then echo -e "\e[31;1m"$DELLIST" art deleted.\e[0m";fi

unset ID_LIST DELLIST ADMINGROUP

## 홈 디렉토리의 존재 관리

echo "아래 리스트는 계정별 홈디렉토리를 나타낸다. / 홈디렉토리가 없는 계정이 존재해서는 안된다."

for b in $(awk -F: '!/^#/&&$6!~/^\/dev\/null$/&&$6!~/^\/$/{print $1":"$6}' /etc/passwd)

USERNAME=$(cut -d: -f1 <<< $b)

USERHOME=$(cut -d: -f2 <<< $b)

if [ ! -d $USERHOME ];then

echo "$USERNAME"

else

if [[ -z $(ls -dal $USERHOME|grep ^d......--.) ]];then

echo -en "\e[31;1m$USERNAME"

ls --time-style=long-iso -dal $(readlink -f $USERHOME)|awk '{print "\t"$1"\t"$3"\t"$4"\t"$8}'

fi;fi

done

echo -e "\e[0m"

## 계정이 존재하지 않는 GID 금지

echo "아래 리스트는 그룹별 속한 아이디를 보여 준다. / 속한 아이디가 없는 그룹은 삭제해야 한다."

for a in $(cat /etc/group|grep -v ^#)

GROUPNAME=$(cut -d: -f1 <<< "$a")

GROUPNUM=$(cut -d: -f3 <<< "$a")

ACCHECK=$(awk -F: '!/^#/&&$4~/^'$GROUPNUM'$/{print $1}' /etc/passwd)

if [[ -z $ACCHECK ]];then

if [[ $GROUPNAME == "cdrom" ]] || [[ $GROUPNAME == "floppy" ]] ||

[[ $GROUPNAME == "tape" ]] || [[ $GROUPNAME == "dialout" ]];then

echo -e "\e[34;1m$GROUPNAME group for default devices\e[0m" #> /dev/null

elif [[ $GROUPNAME == "disk" ]] || [[ $GROUPNAME == "sys" ]] ||

[[ $GROUPNAME == "mem" ]] || [[ $GROUPNAME == "kmem" ]] ||

[[ $GROUPNAME == "man" ]] || [[ $GROUPNAME == "systemd-journal" ]] ||

[[ $GROUPNAME == "lock" ]] || [[ $GROUPNAME == "man" ]] ||

[[ $GROUPNAME == "input" ]];then

echo -e "\e[34;1m$GROUPNAME group for Linux kernel\e[0m" #> /dev/null

elif [[ $GROUPNAME == "man" ]];then

echo -e "\e[34;1m$GROUPNAME group for manual\e[0m" #> /dev/null

else

if [[ -z $(groupmems -l -g $GROUPNAME) ]];then

if [[ -z $(find / -xdev -group $GROUPNAME) ]];then

echo -e "\e[31;1m$GROUPNAME group is empty\e[0m"

else echo -e "\e[34;1m$GROUPNAME group has some file and folder.\e[0m"

else echo -e "\e[32;1m$GROUPNAME group has [ $(groupmems -l -g $GROUPNAME) ]\e[0m"

fi;fi

else

echo -e "\e[32;1m$GROUPNAME group has [ "$ACCHECK" ]\e[0m"

unset ACCHECK GROUPNUM GROUPNAME

done

“계정이 존재하지 않는 GID 금지 / 홈 디렉토리의 존재 관리” 항목은 보여줄뿐 수동으로 맞추어야 한다.

~]# usermod 유져명 -d /홈/디렉토리

~]# groupdel 그룹명

가이드 라인 문서중 apache / NFS / ftp / sendmail 은 사용 여부에 따라 추가적인 보안 조치를 해야 한다.

아래는 가이드 라인 문서에 따른 점검 항목 및 centos 에서의 처리 방법 예제 이다.(hwp 로 제작된 pdf 라서 복사가 안됨….)

계정 관리

root 계정 원격 접속 제한 (상) 스크립트

패스워드 복잡성 설정 (상) 서버관리자 숙지

계정 잠금 임계값 설정 (상) 스크립트

패스워드 파일 보호 (상) 스크립트

root 이외의 UID가 '0' 금지 (상) 일반적으로 문제 없음

root 계정 su 제한 (하) 스크립트

패스워드 최소 길이 설정 (상) 스크립트

패스워드 최대 사용 기간 설정 (상) 스크립트

패스워드 최소 사용 기간 설정 (상) 스크립트

불필요한 계정 제거 (하) 스크립트(list 수동)

관리자 그룹에 최소한의 계정 포함 (하) 스크립트(list 수동)

계정이 존재하지 않는 GID 금지 (하) 일반적으로 문제 없음

동일한 UID 금지 (상) 일반적으로 문제 없음

사용자 shell 점검 (하) 일반적으로 문제 없음

Session Timeout 설정 (하) 스크립트

파일 및 디렉터리 관리

root 홈, 패스 디렉터리 권한 및 패스 설정 (상) 일반적으로 문제 없음

파일 및 디렉터리 소유자 설정 (상) 일반적으로 문제 없음

/etc/passwd 파일 소유자 및 권한 설정 (상) 스크립트

/etc/shadow 파일 소유자 및 권한 설정 (상) 스크립트

/etc/hosts 파일 소유자 및 권한 설정 (상) *위험수용*

/etc/(x)inetd.conf 파일 소유자 및 권한 설정 (상) 일반적으로 문제 없음

/etc/syslog.conf 파일 소유자 및 권한 설정 (상) 일반적으로 문제 없음

/etc/services 파일 소유자 및 권한 설정 (상) 일반적으로 문제 없음

SUID. SGID, Stick bit 설정 파일 점검 (상) 일반적으로 문제 없음

사용자, 시스템, 시작파일 및 환경 파일 소유자 및 권한 설정 (상) 일반적으로 문제 없음

world writable 파일 점검 (상) 일반적으로 문제 없음

/dev에 존재하지 않는 device 파일 점검 (상) 일반적으로 문제 없음

HOME/.rhosts, hosts.equiv 사용 금지 (상) 일반적으로 문제 없음

접속 IP 및 포트 제한 (상) *서비스에 따라 개별설정 필요*

hosts.lpd 파일 소유자 및 권한 설정 (하) 일반적으로 문제 없음

NIS 서비스 비활성화 (상) 일반적으로 문제 없음

UMASK 설정 관리 (상) 스크립트

홈디렉토리 소유자 및 권한 설정 (상) 스크립트(list 수동)

홈디렉토리로 지정한 디렉토리의 존재 관리 (상) 스크립트(list 수동)

숨겨진 파일 및 디렉토리 검색 및 제거 (하) 일반적으로 문제 없음

서비스 관리

finger 서비스 비활성화 (상) 일반적으로 문제 없음

Anonymous FTP 비활성화 (상) 일반적으로 문제 없음

r 계열 서비스 비활성화 (상) 일반적으로 문제 없음

cron 파일 소유자 및 권한 설정 (상) 스크립트

Dos 공격에 취약한 서비스 비활성화 (상) 일반적으로 문제 없음

NFS 서비스 비활성화 (상) 일반적으로 문제 없음

NFS 접근 통제 (상) 일반적으로 문제 없음

automountd 제거 (상) 일반적으로 문제 없음

RPC 서비스 확인 (상) 일반적으로 문제 없음

NIS, NIS+ 점검 (상) 일반적으로 문제 없음

tftp, talk 서비스 비활성화 (상) 일반적으로 문제 없음

Sendmail 버전 점검 (상) *서비스에 따라 개별설정 필요*

스팸 메일 릴레이 제한 (상) *서비스에 따라 개별설정 필요*

일반사용자의 Sendmail 실행 방지 (상) *서비스에 따라 개별설정 필요*

DNS 보안 버전 패치 (상) *서비스에 따라 개별설정 필요*

DNS Zone Transfer 설정 (상) *서비스에 따라 개별설정 필요*

Apache 디렉토리 리스팅 제거 (상) *서비스에 따라 개별설정 필요*

Apache 웹 프로세스 권한 제한 (상) *서비스에 따라 개별설정 필요*

Apache 상위 디렉토리 접근 금지 (상) *서비스에 따라 개별설정 필요*

Apache 불필요한 파일 제거 (상) *서비스에 따라 개별설정 필요*

Apache 링크 사용 금지 (상) *서비스에 따라 개별설정 필요*

Apache 파일 업로드 및 다운로드 제한 (상) *서비스에 따라 개별설정 필요*

Apache 웹 서비스 영역의 분리 (상) *서비스에 따라 개별설정 필요*

ssh 원격접속 허용 (상) 일반적으로 문제 없음

ftp 서비스 확인 (하) *서비스에 따라 개별설정 필요*

ftp 계정 shell 제한 (상) 일반적으로 문제 없음

Ftpusers 파일 소유자 및 권한 설정 (하) 일반적으로 문제 없음

Ftpusers 파일 설정 (상) 일반적으로 문제 없음

at 파일 소유자 및 권한 설정 (상) 일반적으로 문제 없음

SNMP 서비스 구동 점검 (상) 일반적으로 문제 없음

SNMP 서비스 커뮤니티스트링의 복잡성 설정 (상) 일반적으로 문제 없음

로그온 시 경고 메시지 제공 (하) 스크립트

NFS 설정 파일 접근 권한 (상) 일반적으로 문제 없음

expn, vrfy 명렁어 제한 (상) 일반적으로 문제 없음

Apache 웹 서비스 정보 숨김 (상) *서비스에 따라 개별설정 필요*

패치 관리

최신 보안패치 및 벤더 권고사항 적용 (상) 서버관리자 숙지

로그 관리

로그의 정기적 검토 및 보고 (상) 서버관리자 정기 점검

정책에 따른 시스템 로깅 설정 (하) 일반적으로 문제 없음

일반적으로 문제 없음 = centos 7 기본 설치 상태에서 문제가 이미 없거나 설치 되지 않는 서비스 및 명령어

스크립트 = 올려둔 스크립트로 패치가 되는 경우

스크립트(list 수동) = 올려둔 스크립트 실행시 관리자가 인지 할 수 있도록 리스트 출력 (관리자 개입 수정 필요)

서버 관리자 숙지 = 일회성이 아닌 지속 적으로 관리자가 신경 써야 하는 부분

위험 수용 = 사이드 라인을 따라 갈 경우 서버에 장애 발생

서비스에 따라 개별 설정 필요 = 서버 목적에 따라 설치시 별도로 보안 점검이 필요로 하는 부분