가야태자의 블로그 1호점

 슈퍼 유져에 접근 할 수 있는 권한을 특정 그룹에만 할당하기
특정 유저만 su root 할수 있도록 설정하려면 다음과 같이한다. /etc/pam.d/su 파일의 처음에 다음을 추가한다.
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/Pam_wheel.so group=wheel


/etc/group 의 wheel 그룹에 su root를 허용하고자 하는 사용자 그룹 등록한다.
wheel:x:10:root,someone


wheel 그룹에만 할당 되어야할 프로그램들
아래의 프로그램들은 슈퍼 유져만이 권한을 가지는 것이 좋다. 일반 유져가 아래 파일들을 사용할 경우 사용자가 우리 서버를 해킹 하거나, 우리 서버를 경유해서 다른 서버를 해킹 할 수 있는 도구가 된다.
su
ps
netstat
uptime
nslookup
dig
df
top
telnet
ftp
ssh
lynx
whois
finger


위의 모든 프로그램의 사용자와 그룹을 다음과 같이 한다.
chown root.wheel 파일이름


위 모든 프로그램의 사용 권한을 750으로 설정한다.
chmod 750 파일이름


열려 있어도 되는 포트들
다음의 포트만 오픈한다.
21 : ftp
22 : ssh
25 : smtp
45 : dns
53 : dns
80 : http
110 : pop3


웹서비스 시에 home 디렉토리와 계정의 권한 설정
홈 디렉토리와 계정 디렉토리에 사용자 외에는 실행 할 수 있는 권한만 줌으로써, 정확한 경로를 모를 경우 찾지 못하게 할 수 있다.
chmod 701 home

chmod 701 /home/usernmae


FTP 데몬의 설정으로 일반 유져는 chroot가 되지 않도록 셋팅 한다.
PROFTPD의 경우
# User login 을 했을시에 user 들이 자신의 홈상위 디렉토리들을 마음대로 돌
# 아다니지 못하게 chroot() 를 설정한다. group 별로 설정을 하게 되며 "!"는
# 제외하라는 의미를 가지게 된다.
#DefaultRoot ~ !groupname


위 ?DefaultRoot 부분의 주석을 풀고 !groupname을 !wheel로 바꾼다. 그렇게 하면 휠 그룹을 제외하고는 root 디렉토리에 ftp 클라이언트로 접근이 불가능하다.


VSFTPD의 경우
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
위의 chroot_list_enable 앞의 주석을 지운다. 위의 chroot_list_file의 주석을 지운다. chroot_list_file을 만든다.
vi /etc/vsftpd.chroot_list
아래와 같이 써 넣는다.
username1
username2
username3

위 리스트에 포함된 사용자는 root 디렉토리로 이동하지 못한다.

Posted by 가야태자

어제와 마찬가지로 오늘도 열심히 마소의 예제를 따라 하기 위해서 노력 했습니다.

XP에서 eclipse + CDT + cygwin을 설치 하고 eclipse에서

프로젝트를 만들었습니다.

그런데 문제가 생겼습니다.

T.T

cygwin이 Tool Chain 란에 보이질 않는 겁니다.

그래서 cygwin을 여러번 재설치 했습니다

그런데 안되는 것이었습니다. ^^;;

에잇 짜증나 마지막으로 한번더 설치 해보고 안되면 접지 뭐 라고 생각하고

혹시나 해서 eclipse와 cygwin을 동일한 드라이버에 설치 했습니다.

d:\cygwin

d:\eclipse

에 각각 설치 했습니다.

그러니깐 ToolChain에 cygwin이 나타났습니다. ^^;;

저 처럼 실수 하지 마시구요.

동일한 디렉토리에 설치 하십시오 ^^;;

그리고, Vista에서 똑같은 환경을 구축하고 실행을 했습니다.

그런데 cygwin1.dll 파일이 없다고 뜨는 것이었습니다.

분명히 e:\cygwin\bin 폴더에 존재 하는데 말입니다.

예전에 몇가지 프로그램을 cygwin으로 컴파일 한 후에 Native 윈도우즈에서 실행해 본적이 있습니다.

그때 나타났던 문제 같아서 C:\windows\System32 폴더에 넣었습니다.

그래도 안됬습니다.

혹쉬나 해서 C:\windows 폴더에 넣으니깐

잘 돌아 갑니다.


eclipse 와 cygwin은 같은 드라이브에 깔아야지 Tool Chain 란에 cygwin이 나타 납니다.

오늘 Tip은 두가지 입니다.

cygwin 설치 폴더 밑에 bin 폴더에 보면 cygwin1.dll 이 있습니다. 여기 있는 것을

windows 설치 된 폴더로 이동 시키시면 cygwin의 gcc로 컴파일 한 바이너리가 실행 됩니다.

P.S
오늘 마소 예제를 공부하면서 알게된 QEMU에 Windows 에뮬레이터도 있습니다.

조만간 한번 저기다 리눅스를 깔고 인터넷이 되게 하는 법을 알아봐야겠습니다.

오늘 진행한 것은 QEMU-ARM을 가지고 진행 했습니다. 저기다가 debian을 깔고

gdbserver를 깐다음 몇가지 일을 진행 하는 것이었는데..

거기 까지는 잘 진행 되었습니다.

문제는 이클립스 플러그인 프로젝트에 대해서 잘 몰라서 멈췄지만요.

^^;;

이클립스 플러그인 프로젝트에 대해서 좀 공부하고 다시 시도해 봐야겠습니다.

Posted by 가야태자

오늘 제 노트북에 리눅스를 설치 했습니다. ^^;;

GRUB를 통해서 우분투와 윈도우즈를 사용하고 있습니다.

설치는 제가 한게 아니고 ^^;;

그때 전 라면 끓이고 있었습니다. ㅎㅎ

후지쯔 S6510 좋습니다.

거의 모든 드라이버를 정확하게 우분투에서 인식합니다.

심지어 블루투스 까지요.

그런데 좀 단점이 있습니다.

윈도우즈만 쓰다 보니 엠피3을 들으려니 멀티미디어 코덱을 설치한다고 했는데 아직까지 설치 중입니다.

조만간 컴퓨즈 퓨젼인가요 3D 데스크톱을 설치 해볼 생각입니다.

^^;;

네이트온도 설치 해야되고 설치 할께

한두가지가 아니에용 T.T

아참 무서운 습관이네용 한/영전환시에 한영키 누르는게 상상 습관이 되어 있어 가지고

한영키를 쓸 수 있는 방법은 없는걸까요?

오늘은 두서 없는 사용기 였습니다.

조만간 제대로 써 보겠습니다. ^^;;

Posted by 가야태자