Glacier

암호를 아무리 길고 사전에 없는 해괴한 형태로 만든다 한 들, 인간이 암기하고 입력할 수 있는 암호에는 기억력과 시간의 한계가 있다. 반면 컴퓨터의 처리속도는 인간의 것에 비할 바가 아니기에 Brute-force 공격앞에 당해낼 재간이 없다. 모든 경우의 수를 빠르고, 누락되는 것 없이, 쉬지도 않고 될 때까지 시도한다. 따라서 아무나 접근할 수 있는 공개된 네트워크에서 서버를 보호하려면 일반적인 계정 인증이 아닌 다른 인증 방법을 심도있게 고려하여야 한다.

공개키 인증방식은 임의의 장문을 생성하여 보관하고 그것으로 데이터를 암호화, 복호화 한다. 그리고 암호화, 복호화에 사용되는 키가 다르므로 대칭키에 비하여 키의 유출로 인한 위협을 줄일 수 있다. 나아가 그 개인키도 공인인증서처럼 암호를 걸어 사용할 수 있다. 대신 개인키를 잃어버리면 주인도 못 들어간다.

암호를 사용한 SSH 접속의 설정을 완료한 상태에서 시작합니다.

암호 인증 SSH부터 구축하려면: 2018/09/04 - [CentOS 7] 내가 정한 포트로 SSH 구현하기

공개키, 개인키는 단일 장치에서 동시에 만들어서 공개키는 서버에 두고, 개인키는 사용자가 보유해야한다.

키 쌍은 서버에서도, 클라이언트에서도 만들 수 있으나 개인키의 보안이 훨씬 중요하므로 클라이언트에서 만들고 키 쌍을 만들고 공개키를 서버에 업로드 하는 것이 바람직 할 것이다. 물론 반대로 해도 안되는 것은 아니다.

윈도우에서는 Xshell이나 Putty, 리눅스에서는 ssh-keygen 등을 사용해 키 쌍을 만들 수 있다.

키는 대체로 1024 비트 이상이 권장된다.

위의 것이 개인키, 아래의 것(*.pub)이 공개키이다.

[glacier@glacier ~]$ mkdir ~/.ssh -m 700
[glacier@glacier ~]$ ls -al ~ | grep ssh
drwx------.  2 glacier glacier 4096 12월 24 12:36 .ssh

[glacier@glacier ~]$ vi ~/.ssh/authorized_keys
[glacier@glacier ~]$ chmod 600 ~/.ssh/authorized_keys 

SCP도 좋고 파이프도 좋지만 가장 쉬운 방법, 공개키를 텍스트에디터로 열어서 복사, vi열고 붙여넣기 해도 된다.

[glacier@glacier ~]$ ls -alZ ~/.ssh
drwx------. glacier glacier unconfined_u:object_r:ssh_home_t:s0 .
drwx------. glacier glacier unconfined_u:object_r:user_home_dir_t:s0 ..
-rw-------. glacier glacier unconfined_u:object_r:ssh_home_t:s0 authorized_keys

[glacier@glacier ~]$ sudo vi /etc/ssh/sshd_config

StrictModes yes
#로그인을 허가하기 전 사용자의 홈폴더 권한을 검사
PubkeyAuthentication yes
#공개키인증 활성화
AuthorizedKeysFile .ssh/authorized_keys
#공개키경로 지정
ChallengeResponseAuthentication no
#로그인 시도에 대하여 답변 메시지를 보내지 않음

#RSAAuthentication yes
#설정할 필요 없음. SSHv1에서만 사용되는 옵션.
#UsePAM no
#설정금지. RHEL 미지원으로 문제가 발생할 가능성 있음.

[glacier@glacier ~]$ sudo systemctl restart sshd

[glacier@glacier ~]$ sudo vi /etc/ssh/sshd_config

PasswordAuthentication no

[glacier@glacier ~]$ sudo systemctl restart sshd

참고:

https://www.server-world.info/en/note?os=CentOS_7&p=ssh&f=4

https://www.hugeserver.com/kb/secure-ssh-on-centos-7/

https://www.digitalocean.com/community/tutorials/how-to-set-up-ssh-keys-on-centos7

https://www.ibm.com/support/knowledgecenter/ko/SSIGMP_1.0.0/pim/unixandlinux/install_config/t_key_unilinux.htm?cp=SSRMWJ_7.0.1.10

https://www.ibm.com/support/knowledgecenter/ko/SSPFMY_1.3.3/com.ibm.scala.doc/config/iwa_config_secure_streaming.html

https://wiki.centos.org/HowTos/Network/SecuringSSH#head-9c5717fe7f9bb26332c9d67571200f8c1e4324bc

Samba 서버를 CentOS에서 구축할 때, 메뉴얼의 절반 이상이 SELinux를 끄라고 한다. 그 이유는 아마도 SELinux에 대한 자료가 많이 없어서 정확한 설정이 어렵기 때문일 것이다. 나도 그동안 SELinux를 딱히 신경쓰지 않았지만 이번에 새롭게 CentOS 7 서버를 구축하면서 정석대로 해보기로 했다. 본래 눈앞의 쉬운 길도 돌아가는 성격인데다, 보안만큼은 타협하고 싶지 않았기 때문이다. 거기다 SELinux는 사실 NSA가 개발한 보안 커널을 리눅스에 이식한 것이라고 한다. 미 국가안보국의 보안 커널이 구동되는 서버라니 말만 들어도 멋지지 않은가.

자업자득이라고, 그 결과로 SMB 서버를 구축하는데 이틀이란 시간이 걸리게 되었다. SELinux의 개념이 생소해서 명령의 의미를 정확히 하기가 쉽지 않았다. 그리고 사실 완성은 하루만에 했지만 다음날 다시 안되서 삽질을 하루 더 했다는 슬픈 이야기. 거짓말 조금 보태서 항목 하나 바꾸고 서비스 재가동, 그리고 확인하기를 한 300번은 한 것같다. 그리고 남은건 데이터를 충실히 암호화하고 필요하지 않은 권한을 주지 않는 정말 믿음직한 서버.

쓸데 없는 설정은 빼고, SELinux를 끄지 않은 상태에서 정석대로 구축해

현재까지 실제로 매우 원활하게 사용하고 있는 설정입니다.

최신 버전의 업데이트가 설치된 CentOS 7에서 구축하였습니다. (2018.12.24 기준)

[glacier@glacier ~]$ rpm -qa samba
samba-4.8.3-4.el7.x86_64

[glacier@glacier ~]$ sudo groupadd testgroup
[glacier@glacier ~]$ sudo useradd testuser1
[glacier@glacier ~]$ sudo useradd testuser2
[glacier@glacier ~]$ sudo passwd testuser1
testuser1 사용자의 비밀 번호 변경 중
새  암호:
새  암호 재입력:
passwd: 모든 인증 토큰이 성공적으로 업데이트 되었습니다.
[glacier@glacier ~]$ sudo passwd testuser2
testuser1 사용자의 비밀 번호 변경 중
새  암호:
새  암호 재입력:
passwd: 모든 인증 토큰이 성공적으로 업데이트 되었습니다.
[glacier@glacier ~]$ sudo usermod testuser1 -a -G testgroup
[glacier@glacier ~]$ sudo usermod testuser2 -a -G testgroup
[glacier@glacier ~]$ sudo groupmems -g testgroup -l
testuser1  testuser2

[glacier@glacier home]$ sudo smbpasswd -a testuser1
New SMB password:
Retype new SMB password:
[glacier@glacier home]$ sudo smbpasswd -a testuser2
New SMB password:
Retype new SMB password:
Added user testuser2.

[glacier@glacier ~]$ sudo mkdir /samba
[glacier@glacier ~]$ sudo mkdir /samba/test
[glacier@glacier ~]$ sudo chown testuser1:testgroup /samba/test -R
[glacier@glacier ~]$ sudo chmod 770 /samba/test -R
[glacier@glacier ~]$ ls -al /samba/test
drwxrwx---.   2 testuser1 testgroup  4096 12월 21 18:26 test

[glacier@glacier ~]$ sudo vi /etc/samba/smb.conf

#[global] 항목은 samba 전역에 적용되는 설정,
#[test] 항목은 test 에만 적용되는 설정이다.

[global]
        workgroup = WORKGROUP
        security = user

        passdb backend = tdbsam

        netbios name = glacier
        server max protocol = SMB3_11
        #서버에서 구동할 최고 신형 버전 지정
        server min protocol = SMB2_10
        #서버에서 구동할 최고 구형 버전 지정(Windows 7해당)
        smb encrypt = required
        #데이터를 반드시 암호화
        kerberos encryption types = strong
        #아래는 수정하지 않으면 적용되는 기본값으로 입력할 필요 없음.
        #guest ok = no
        #disable netbios = no
        #server role = standalone
        #encrypt passwords = yes
        #client plaintext auth = no
        #unix charset = UTF=8
        #deadtime = 0
        #max connections = 0
        #hide dot files = yes

[test]
        writeable = yes
        path = /samba/test
        hosts allow = 192.168.23.0/255.255.255.0
        valid users = @testgroup
        write list = testuser1, testuser2
        force create mode = 0770
        create mask = 0770
        force directory mode = 0770
        directory mask = 0770
        force group = testgroup
        #아래는 수정하지 않으면 적용되는 기본값으로 입력할 필요 없음.
        #available = yes
        #browseable = yes

#null passwords 옵션은 구식으로 사용 금지.

[glacier@glacier ~]$ testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[test]"
Loaded services file OK.
Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions
^C

[glacier@glacier ~]$ sudo systemctl restart smb
[glacier@glacier ~]$ sudo systemctl enable smb
Created symlink from /etc/systemd/system/multi-user.target.wants/smb.service to /usr/lib/systemd/system/smb.service.
[glacier@glacier ~]$ systemctl status smb
● smb.service - Samba SMB Daemon
   Loaded: loaded (/usr/lib/systemd/system/smb.service; enabled; vendor preset: disabled)
   Active: active (running) since 금 2018-12-21 18:56:12 KST; 28s ago
     Docs: man:smbd(8)
           man:samba(7)
           man:smb.conf(5)
Main PID: 66117 (smbd)
   Status: "smbd: ready to serve connections..."
   CGroup: /system.slice/smb.service
           ├─66117 /usr/sbin/smbd --foreground --no-process-group
           ├─66123 /usr/sbin/smbd --foreground --no-process-group
           ├─66124 /usr/sbin/smbd --foreground --no-process-group
           └─66125 /usr/sbin/smbd --foreground --no-process-group

12월 21 18:56:12 glacier systemd[1]: Starting Samba SMB Daemon...
12월 21 18:56:12 glacier smbd[66117]: [2018/12/21 18:56:12.253372,  0] ../lib/util/become_daemon.c:138(daemon_ready)
12월 21 18:56:12 glacier smbd[66117]:   daemon_ready: STATUS=daemon 'smbd' finished starting up and ready to serve c...ctions
12월 21 18:56:12 glacier systemd[1]: Started Samba SMB Daemon.
Hint: Some lines were ellipsized, use -l to show in full.

[glacier@glacier ~]$ sudo firewall-cmd --zone=public --add-service=samba --permanent
success
[glacier@glacier ~]$ sudo firewall-cmd --reload
success
[glacier@glacier ~]$ sudo firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources:
  services: ssh dhcpv6-client samba
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

[glacier@glacier ~]$ getsebool -a | grep samba
samba_create_home_dirs --> off
samba_domain_controller --> off
samba_enable_home_dirs --> off
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_load_libgfapi --> off
samba_portmapper --> off
samba_run_unconfined --> off
samba_share_fusefs --> off
samba_share_nfs --> off
sanlock_use_samba --> off
tmpreaper_use_samba --> off
use_samba_home_dirs --> off
virt_use_samba --> off
[glacier@glacier ~]$ sudo setsebool -P samba_export_all_rw on

[glacier@glacier ~]$ sudo semanage boolean -l | grep samba
samba_export_all_rw            (비활성  , 비활성 )  Allow samba to export all rw
samba_domain_controller        (비활성  , 비활성 )  Allow samba to domain controller
samba_portmapper               (비활성  , 비활성 )  Allow samba to portmapper
samba_export_all_ro            (비활성  , 비활성 )  Allow samba to export all ro
use_samba_home_dirs            (비활성  , 비활성 )  Allow use to samba home dirs
samba_create_home_dirs         (비활성  , 비활성 )  Allow samba to create home dirs
virt_use_samba                 (비활성  , 비활성 )  Allow virt to use samba
tmpreaper_use_samba            (비활성  , 비활성 )  Allow tmpreaper to use samba
samba_share_fusefs             (비활성  , 비활성 )  Allow samba to share fusefs
samba_share_nfs                (비활성  , 비활성 )  Allow samba to share nfs
samba_run_unconfined           (비활성  , 비활성 )  Allow samba to run unconfined
samba_load_libgfapi            (비활성  , 비활성 )  Allow samba to load libgfapi
sanlock_use_samba              (비활성  , 비활성 )  Allow sanlock to use samba
samba_enable_home_dirs         (비활성  , 비활성 )  Allow samba to enable home dirs

[glacier@glacier ~]$ sudo semanage fcontext -a -t samba_share_t "/samba(/.*)?"
[glacier@glacier ~]$ sudo semanage fcontext --list | grep samba_share_t
/samba(/.*)?                                   all files          system_u:object_r:samba_share_t:s0

[glacier@glacier ~]$ sudo restorecon -R -v /samba
restorecon reset /samba context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:samba_share_t:s0
restorecon reset /samba/test context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:samba_share_t:s0
[glacier@glacier ~]$ sudo ls -alZ /samba/test
drwxrwx---. testuser1 testgroup unconfined_u:object_r:samba_share_t:s0 .
drwxrwx---. testuser1 testgroup unconfined_u:object_r:samba_share_t:s0 .. 

[glacier@glacier ~]$ sudo smbstatus

Samba version 4.8.3
PID     Username     Group        Machine                                   Protocol Version  Encryption           Signing              
----------------------------------------------------------------------------------------------------------------------------------------
89907   testuser1    testuser1    192.168.23.1 (ipv4:192.168.23.1:56591)    SMB3_11           AES-128-CCM          partial(AES-128-CMAC)

Service      pid     Machine       Connected at                     Encryption   Signing     
---------------------------------------------------------------------------------------------
test         89907   192.168.23.1  월 12월 24 14시 02분 05초 2018 KST AES-128-CCM  AES-128-CMAC

Locked files:
Pid          Uid        DenyMode   Access      R/W        Oplock           SharePath   Name   Time
--------------------------------------------------------------------------------------------------
89907        1001       DENY_NONE  0x100080    RDONLY     NONE             /samba/test   .   Mon Dec 24 14:02:05 2018

참고:

https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html

https://selinuxproject.org/page/SambaRecipes

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/sect-security-enhanced_linux-working_with_selinux-selinux_contexts_labeling_files

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security-enhanced_linux/sect-security-enhanced_linux-selinux_contexts_labeling_files-persistent_changes_semanage_fcontext

https://www.lesstif.com/pages/viewpage.action?pageId=18219472

[keysco@server ~]$ sudo yum install tigervnc-server

[keysco@server ~]$ sudo firewall-cmd --add-service=vnc-server --permanent
[keysco@server ~]$ sudo firewall-cmd --reload

[keysco@server ~]$ vncpasswd
Password:
Verify:

[keysco@server ~]$ vncserver :1

CentOS7에는 기본으로 OpenSSH 서버가 설치된다.

따라서 별도의 설치가 필요하지 않으나, 설치여부를 확인할 필요는 있다.

[keysco@server ~]$ rpm -qa openssh-server
openssh-server-6.6.1p1-11.el7.x86_64
[keysco@server ~]$

OpenSSH 서버 패키지가 설치되어 있는지 확인하고,

[keysco@server ~]$ systemctl status sshd
sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled)
   Active: active (running) since 화 2018-09-04 15:29:12 KST; 2min 44s ago
 Main PID: 1122 (sshd)
   CGroup: /system.slice/sshd.service
           └─1122 /usr/sbin/sshd -D

[keysco@server ~]$ 

sshd 데몬(서비스)의 가동 여부를 확인한다.

[keysco@server ~]$ sudo vi /etc/ssh/sshd_config

SSH 포트번호를 바꾸고 싶다면 "sshd_config" 파일을 열어서 "#Port 22" 를 "Port xxxx"로 바꿔준다.

[keysco@server ~]$ sudo service sshd restart
Redirecting to /bin/systemctl restart  sshd.service 

SSH 데몬을 재시작한다.

[keysco@server ~]$ ss -nalt
State      Recv-Q Send-Q                                      Local Address:Port                                        Peer Address:Port 
LISTEN     0      128                                                     *:22                                                     *:*     
LISTEN     0      128                                             127.0.0.1:631                                                    *:*     
LISTEN     0      100                                             127.0.0.1:25                                                     *:*     
LISTEN     0      128                                                    :::22                                                    :::*     
LISTEN     0      128                                                   ::1:631                                                   :::*     
LISTEN     0      100                                                   ::1:25                                                    :::*     
[keysco@server ~]$ 

새로 지정한 포트가 리스닝 상태인지 확인하고

만약 새로 지정한 포트가 없다면 SELinux의 SSH포트 정의에 추가해줘야 한다.

[keysco@server ~]$ sudo semanage port -l | grep ssh
ssh_port_t                     tcp      22
[keysco@server ~]$ 

현재 SSH포트를 확인하고

[keysco@server ~]$ sudo semanage port -a -t ssh_port_t -p tcp 12345
[keysco@server ~]$ 

ssh_port_t 정의에 TCP 포트 xxxx를 추가한다.

[keysco@server ~]$ sudo service sshd restart
Redirecting to /bin/systemctl restart  sshd.service
[keysco@server ~]$ ss -nalt
State      Recv-Q Send-Q                                      Local Address:Port                                        Peer Address:Port 
LISTEN     0      128                                                     *:12345                                                   *:*     
LISTEN     0      128                                             127.0.0.1:631                                                    *:*     
LISTEN     0      100                                             127.0.0.1:25                                                     *:*     
LISTEN     0      128                                                    :::12345                                                  :::*     
LISTEN     0      128                                                   ::1:631                                                   :::*     
LISTEN     0      100                                                   ::1:25                                                    :::*     
[keysco@server ~]$ 

다시 SSH 데몬을 돌리고 포트를 확인한다.

이제 포트는 열렸지만 SSH접속은 아직도 불가능하다. 방화벽에서 차단되었기 때문이다.

[keysco@server ~]$ firewall-cmd --list-all
public (default, active)
  interfaces: enp2s1
  sources: 
  services: dhcpv6-client ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 
  
[keysco@server ~]$

현재의 방화벽 상태 확인

[keysco@server ~]$ sudo firewall-cmd --permanent --zone=public --add-port=12345/tcp
success
[keysco@server ~]$ 

새로운 포트를 방화벽 허용규칙에 추가해주고

[keysco@server ~]$ sudo firewall-cmd --reload
success
[keysco@server ~]$

방화벽 재시작

[keysco@server ~]$ firewall-cmd --list-all
public (default, active)
  interfaces: enp2s1
  sources: 
  services: dhcpv6-client ssh
  ports: 12345/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 
  
[keysco@server ~]$ 

변경된 방화벽 확인.

Copyright (c) 2002-2017 NetSarang Computer, Inc. All rights reserved.

Type `help' to learn how to use Xshell prompt.
[c:\~]$ ssh 192.168.10.1 12345


Connecting to 192.168.10.1:12345...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

Last login: Tue Sep  4 15:30:21 2018
[keysco@server ~]$ 

마지막으로 변경된 SSH포트로 접속 테스트.

yum group list 입력해서 Available Groups: Development Tools이 있는지 확인

sudo yum group install "Development Tools" 입력하면 C, C++, 관련된 패키지가 모두 설치됨

whereis gcc 명령으로 GCC 패키지 위치 확인

gcc --version 명령으로 GCC 버전확인

CentOS7 (RedHat7) 부터 시스템의 런레벨을 변경하는 방법이 바뀌었다.

기존의 6 버전까지는 /etc/inittab 파일의 id값만 변경하면 런레벨이 변경되었다.

하지만 7 버전부터는 inittab파일을 열어보면 systemctl 명령을 통해 런레벨을 변경하도록 안내한다.

systemctl get-default 

현재의 런레벨 확인하고

systemctl set-default multi-user.target

런레벨3로 변경

systemctl isolate multi-user.target

지금 바로 런레벨3로 바꾸기

1. FileSystem Device Name

파티션의 위치를 지정.

/dev/sda1식으로 쓸수도 있고, 라벨을 이용해서 지정할수도 있다.

2. Mount Point

등록할 파티션을 어느 디렉토리에 연결할 것인지 지정.

3. FileSystem Type

파티션 생성시 정해줬던 파일시스템의 종류 지정.

4. Mount Option

파일시스템에 맞게 사용되는 옵션을 설정.

default - rw, nouser, auto, exec, suid 적용

auto - 부팅시 자동 마운트

noauto - 부팅시 자동마운트를 하지 않음.

exec - 실행파일이 실행되는 것을 허용

noexec - 실행파일이 실행되는 것을 불허용

suid - SetUID, SetGID 사용을 허용

nosuid - SetUID, SetGID 사용을 불허용

ro - 읽기전용

rw - 읽기/쓰기 전용

user - 일반사용자 마운트 가능

nouser - root만 마운트 가능

quota - quota 설정 가능

noquota - quota설정 불가능

5. Dump

0 - Dump Disable

1 - Dump Enable

6. File Sequence Check Option

0 - 무결성 검사 하지 않음

1 - 우선순위 1, 대부분 루트부분에 적용

2 - 우선순위 2

fstab 수정한 뒤....

mount -a 로 모두 마운트하고

df 명령으로 마운트 내역 확인할 것

UUID확인은 blkid 명령..