태그 Archives: ubuntu

우분투 20.04 의 xrdp에서 로그인창 반복 문제

우분투 20.04 버전에서 xrdp 를 설치하고 원격 데스크톱을 연결했을때 로그인을 한 뒤에 아래와 같이

인증이 필요합니다

시스템 저장소를 새로 고치려면 인증해야 합니다

라는 메세지가 나오게 되고 패스워드 입력창이 반복되면 실제 로그인시 로그인을 실패를 하는것이 확인되었다.

실제 ubuntu 계정의 패스워드를 입력해도 정상 로그인이 불가능한 상태 이다.

/var/log/auth.log 파일에서는 아래와 같은 로그가 확인 되었다.

1	Jan 4 17:47:39 ubuntu-server polkit-agent-helper-1[2918]: pam_tally2(polkit-1:auth): user ubuntu (1000) tally 50, deny 5

xrdp의 버그인 것으로 아래와 같이 터미널에서 polkit 룰을 추가함으로서 해결 되었다.

polkit.addRule(function(action, subject) {

if ((action.id == "org.freedesktop.color-manager.create-device" ||

action.id == "org.freedesktop.color-manager.create-profile" ||

action.id == "org.freedesktop.color-manager.delete-device" ||

action.id == "org.freedesktop.color-manager.delete-profile" ||

action.id == "org.freedesktop.color-manager.modify-device" ||

action.id == "org.freedesktop.color-manager.modify-profile") &&

subject.isInGroup("{users}")) {

return polkit.Result.YES;

}

});

위 파일을 터미널을 통해 생성한뒤에 로그아웃 -> 로그인을 하면 사라진다 @_@b

출처 : https://devanswers.co/how-to-fix-authentication-is-required-to-create-a-color-profile-managed-device-on-ubuntu-20-04-20-10/

ssh (sftp) 속도 저하 이슈.

ssh 또는 sshd 의 내장된 sftp 를 이용하여 파일을 업로드 할때 가끔 속도가 저하되는 이슈가 있다 ‘ㅅ’a

sftp의 경우 데이터를 암호화 해서 통신을 하기 때문에 cpu와 네트워크(1Gbps)가 좋다면 일반적으로 20Mbps ~ 60Mbps 정도로 측정이 된다.

다만 resolve 가 정상적이지 않을때 속도 저하가 발생할 수 있는데 이때 sshd_config를 수정해서 DNS 확인을 하는 옵션을 꺼둠으로서 속도 저하를 예방할 수 있다.

일반적으로 CentOS 에서는 아래와 같은 설정 값을 가진다.

~]# grep -E "UseDNS|GSSAPIAuthentication" /etc/ssh/sshd_config

GSSAPIAuthentication yes

#UseDNS yes

이를 수정을 해주고 sshd를 재 시작 한다.

~]# sed -ie 's/GSSAPIAuthentication yes/GSSAPIAuthentication no/g;s/#UseDNS yes/UseDNS no/g' /etc/ssh/sshd_config

~]# grep -E "UseDNS|GSSAPIAuthentication" /etc/ssh/sshd_config

GSSAPIAuthentication no

UseDNS no

~]# systemctl restart sshd.service

~]# systemctl status sshd.service

● sshd.service - OpenSSH server daemon

Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)

Active: active (running) since Mon 2022-01-03 08:32:48 UTC; 11s ago

Docs: man:sshd(8)

man:sshd_config(5)

Main PID: 25479 (sshd)

CGroup: /system.slice/sshd.service

└─25479 /usr/sbin/sshd -D

상태 active (running) 을 확인 한뒤에 추가적으로 ssh 접속을 시도해 본다. (sshd 설정을 건들 경우에는 새로운 접속이 가능한지 확인해보는것이 좋다.)

ubuntu의 경우에는 기본 설정 값이 틀리기 때문에(주석으로 막혀있는 구조) 아래의 명령어를 사용한다.

~]# sed -ie 's/#GSSAPIAuthentication no/GSSAPIAuthentication no/g;s/#UseDNS no/UseDNS no/g' /etc/ssh/sshd_config

~]# grep -E "UseDNS|GSSAPIAuthentication" /etc/ssh/sshd_config

GSSAPIAuthentication no

UseDNS no

~]# systemctl restart sshd.service

~]# systemctl status sshd.service

sudo – Heap buffer overflow 취약점 Baron Samedit [CVE-2021-3156]

sudo 명령의 -s 옵션 또는 -i 옵션을 이용하여 이스케이프(‘\’) 으로 Heap buffer overflow 취약점이 발견 되었음 ‘ㅅ’a

root 권한 탈취가 가능하므로 심각한(important) 취약점 이라고 볼수 있다.

취약점 테스트

1 2	~]# sudoedit -s '\' `perl -e 'print "A" x 65536'` Segmentation fault

위와 같이 Segmentation fault 가 발생한다면 취약한 버전 으로 업데이트가 필요로 하다 ‘ㅅ’a

업데이트 CentOS 7 ~ 8

1	~]# yum install sudo

업데이트 Ubuntu 14.04 ~ 21.04

1	~]# apt-get update && apt-get install sudo

시스템 재 부팅은 불필요 하다 ///ㅅ///

https://access.redhat.com/ko/security/vulnerabilities/5740281

https://ubuntu.com/security/CVE-2021-3156

aws ubuntu 18.04 자동 업데이트 끄기

aws 에서 서버운영을 하는데

가장 작은 디스크 크기 8GB 으로 생성하고 1년정도 운영을 했을때 디스크가 초반에 4.XX GB만 사용이 되다가 점점 사용량이 증가 되었음 ‘ㅅ’a

ubuntu 의 경우 자동 업데이트로 꾸준히 커널을 업데이트 하기 때문에 발생하는 문제이고

특정한 서비스 포트만 열고 서비스 하는 서버이기 때문에 업데이트가 필요 없다고 판단되어 자동업데이트를 끄는 것으로…

~]# echo 'APT::Periodic::Update-Package-Lists "0";

APT::Periodic::Download-Upgradeable-Packages "0";

APT::Periodic::AutocleanInterval "0";

APT::Periodic::Unattended-Upgrade "0";' > /etc/apt/apt.conf.d/10periodic

~]# echo 'APT::Periodic::Update-Package-Lists "0";

APT::Periodic::Unattended-Upgrade "0";' > /etc/apt/apt.conf.d/20auto-upgrades

이후 apt-get 을 이용하여 불필요한 패키지를 삭제한다 ‘ㅅ’a

1	~]# apt-get autoremove

linux-headers가 업데이트가 된 경우 재 부팅 이후에 autoremove를 해야할 수 있다.

혹은 너무 쌓여서 broken 이 된경우 /usr/src 에서 사용되고 있는 headers 를 제외하고 삭제를 해야 할 수 있겠다 ‘ㅅ’a

취약점 패치 CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Intel cpu 의 Meltdown,

Intel, AMD, ARM 등 대부분의 cpu 취약점인 Specter 가 발견 되어 운영 중인 모든 컴퓨터 ( PC, 서버, 핸드폰 등등 ) 의 업데이트가 필요 하다.

시스템의 느려짐 ( 특히 I/O 속도 ) 이 발생한다고 하나..

간단한 자바스크립트 정도로 cpu의 시스템 에서 생성한 정보확인이 가능하다고 하니 꼭 진행하는 편이 좋다.

서버 ( centos, ubuntu )

리눅스의 경우 커널 업데이트 이기 때문에 커널 업데이트 후에 시스템 재시작이 필요하다.

1.CentOS

~]# yum -y update yum

~]# yum -y update

2. Ubuntu

~]$ sudo apt-get update

~]$ sudo apt-get dist-upgrade

위 스크린샷 화면은 ubuntu 설치할때 업데이트 설정에 따라 나오지 않을수도 있습니다.

윈도우

1. 윈도우 10 사용자는 자동 패치 (KB4056892) 가 된다.

2. 윈도우7 : http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897

3. 윈도우8 : http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898

PS. 아이폰의 경우 IOS 11.2.2 버전이 관련 패치 이며 가급적 패치 진행을 하는것이 좋을듯 ‘ㅅ’a

kernel 의 change log 를 확인하여 패치가 되었는지 확인한다.

1	rpm -q --changelog kernel\|grep -E "CVE-2017-5715\|CVE-2017-5753\|CVE-2017-5754"