Engineer's Note

접근 제어DAC임의적 접근 제어 (Discretionary Access Control)UNIX, Linux의 전통적 접근 제어 방식파일이나 프로세스에 소유자와 권한을 설정하는 방식접근 주체의 신분에 따라 접근이 제한되며, root 사용자는 전체 권한을 갖는다장점구현이 쉬우며 권한 변경이 유연단점각 주체마다 객체 접근 권한을 부여해야한다ID 도용 시 통제 불능, 트로이 목마에 취약MACMandatory Access ControlSELinux 가 여기에 해당Rule 기반 강제적 접근 통제모든 사용자에게 적용특정 프로세스가 관련 파일, 디렉터리, 포트에 엑세스 하는 방법 정의기본적으로 명시적 규칙에세 엑세스 권한을 부여하지 않는 한 어떠한 엑세스도 허용하지 않음허용 규칙이 없는 경우 모든 액세스 불허SELin..

리눅스는 사용자 계정과 그 권한에 따라 기본적으로 적용되는 보안 설정이 다르다. 각 계정은 아래와 같다ROOT모든 권한을 가진 사용자UID (User ID) : 0보안을 위한 관리 권장 사항시스템 상 유일해야함PAM(리눅스 인증 모듈)을 통해 로그인 금지환경변수 TIMEOUT을 설정하여 자동 로그아웃 설정Root 계정 직접 사용을 지양하고 필요한 경우 sudo 사용초기 설정 시 이외에 ssh를 이용한 로그인 금지vi /etc/ssh/sshd_configPermitRootLogin noSystem Account리눅스 설치시 기본 생성 계정들시스템의 특정 서비스에 대한 권한 행사UID : 1~999User Account사용자가 사용할 계정, 시스템 파일과 디렉터리에 제한적으로 접근하도록 설정하여 시스템 보호..

방화벽의 동작리눅스의 소프트웨어 방화벽은 리눅스 커널에 포함된 Netfilter라는 기본적 패킷 필터링 프레임워크 위에 툴이 있어 그 툴을 통해 패킷을 필터링을 한다. 과거에는 iptables였고 최신 버전으로는 nftables라는 툴이 사용된다. 이러한 패킷 필터링을 관리하는 데몬이 바로 firewalld이다. nftables를 활용하면 더욱 복잡하고 세세한 방화벽을 설정할 수 있으나 본문에서는 firewalld만 다루기로 한다.Firewalld신뢰 수준에 따라 zone들이 지정되어 있고 zone에 따라 규칙을 설정할 수 있다.default zone 설정 : /etc/firewalld/firewalld.conf데몬 관리 (서비스 제어)systemctl [commands] firewalld#Command..

RSYNCremote syncClient/Server 모두 포함돼 있음Sever로 구동시873/tcp 포트 사용SSH/RSH Remote Shell Protocol 기반에서 동작 가능SSH 기반으로 RSYNC 사용시 방화벽 오픈 필요없이 사용 가능사용법#Local to Localrsync {option} {source path} {dest path}#Local to Remotersync {option} {source path} {user@remote_ip:path}#Remote to Localrsync {option} {user@remote_ip:path} {dest path}path 끝에 ‘/’ 유무에 따라 동기화하는 내용이 달라짐있음 : path 디렉터리 내용물 복사없음: path 디렉터리 자체 복사..

TarTape ARchive의 약자로, 파일 용량 변화없이 한 파일로 묶음#target file or directory는 묶는 경우에만 시용tar {option} [archive.tar] {target file or directory}option-f대상 tar 아카이브 지정 (기본 옵션)-A아카이브에 지정 파일 추가-c새 아카이브 생성 or 덮어쓰기-d아카이브와 파일시스템 차이-x아카이브에서 파일 추출-r아카이브에 파일 어펜드-v진행과정 출력-u아카이브 사본보다 최신만 추가-zgzip 압축 적용-k아카이브 추출시 기존 파일 유지-jbzip2 압축 적용-U아카이브 추출전, 기존 파일 삭제-t아카이브 내부 내용 확인-w모든 진행과정에서 확인요청-C대상 디렉터리 경로지정-e첫번째 에러 발생시 중지long op..

SCPSSH 프로토콜 기반 Secure CoPy의 약자로 기본 포트는 22번이다.사용법From Local to Remotescp {option} [file] [remote_user]@[remote ip]:[remote path]파일 여러개를 보낼 때는 공백을 구분자로 사용하여 파일 이름 열거From Remote to Localscp {option} [remote user]@[remote ip]:[remote file path] [local file path]원격에서 여러개 가져 오는 경우 공백을 구분자로 열거하되 모든 파일들을 “” 으로 묶어야 한다option-r디렉터리 내 모든 파일/디렉터리 복사-p원본 권한 속성 유지 복사-P [num]포트 지정 복사-c압축-v과정 출력-a아카이브 모드 복사, 디렉터..

lsoflist open file의 약자사용법# 특정 사용자 지정lsof -u [username]#특정 파일 사용하는 프로세스 출력lsof [file path]#특정 디렉터리 내 열린 파일lsof +D [path]#특정 포트를 사용하는 파일lsof -i [Protocol]:[Port]lsof -i [Protocol]:[Port-Port] #포트 범위 지정#특정 명령어가 사용하는 파일lsof -c [command]기본 출력 필드lsofCOMMAND PID TID USER FD TYPE DEVICE SIZE/OFF NODE NAMEsystemd 1 root cwd DIR 253,0 271 64 / C..

파일 권한파일에 읽기/쓰기/실행 권한을 가리키며 8진수의 경우 세 자리 숫자, 알파벳의 경우 9게 문자로 표현된다.표기8진수첫 자리는 소유자, 둘째 자리는 그룹, 셋째 자리는 그 외 사용자의 권한을 표시한다가지고 있는 권한에 해당하는 숫자의 합으로 표시된다.읽기 : 4 / 쓰기 : 2 / 실행 : 1 / 권한 없음 : 0알파벳세 자리씩 끊어서 사용하며 각 집합마다 순서대로 소유자/그룹/그 외 사용자의 권한을 가리킨다.읽기 : r / 쓰기 : w / 실행 : x / 권한없음 : -설정chmod {option} [mode] [file]#alphabetic modechmod {u|g|o|a} [+|-|=] [r|w|x] [file]#Numeric modechmod xxx [file]option-R : 해당 파..

grep특정 파일에서 지정한 문자열이나 정규표현식을 포함한 행을 출력하는 명령어사용법grep {option} [pattern] [file]option-c 일치하는 행 수 출력-i대소문자 무시-v일차하지 않는 행만 출력-n포함된 행번호와 함께 출력-w단어와 일치하는 행만 출력-x라인과 일치하는 행만 출력-r하위 디렉터리를 포함한 모든 파일에서 검색-m num최대 표시 결과 제한-E찾을 패턴을 정규표현식으로 찾기 (=egrep)-F찾을 패턴을 정규표현식이 아닌 문자열 찾기 (=fgrep)zgrep : gz 로 압축된 파일 내 문자열 탐색

링크 종류심볼릭 링크단순히 원본 파일을 가리키도록 링크만 시켜둔 파일원본과 별개의 inode일종의 바로가기 역할원본의 파일 크기와 무관하며 원본이 존재하지 않을 경우 별도 표시하드 링크원본파일과 다른 이름으로 존재하는 동일한 파일원본과 inode 공유원본과 하드링크 중 하나 삭제해도 나머지 그대로 잔존원본 내용 변경시 하드 링크 내용 역시 변경i-node : 파일 시스템 페이지 EXT2 포맷 설명 탭에 상세히 설명 되어 있음링크 설정ln {option} [original file] [link file]옵션-s 심볼릭 링크, 이 옵션 없으면 하드링크 생성-f동명의 링크파일이 이미 존제하는 경우, 기존 링크 삭제후 신규 링크 생성-n심볼릭 링크 생성할 때, 기존 링크 이름이 디렉터리일 경우 디렉터리로 취급하..