설명하다 unix haters handbook:
/etc/getty, which asks for your username, and /bin/login, which asks for your pass-
word, are no different from any other program. They are just programs.
They happen to be programs that ask you for highly confidential and sensi-
tive information to verify that you are who you claim to be, but you have no
way of verifying them.
이것이 현대 Linux 시스템에도 적용됩니까?
답변1
기본적으로 시스템 프로그램과 라이브러리 파일에는 파일 권한(및 읽기 전용 마운트) 외에는 특별한 무결성 보호 기능이 없습니다. 특별히 보호되는 시스템 파일과 같은 것은 없습니다. 그런 의미에서 답은그래 이건 사실이야.
Tripwire 또는 aide와 같은 프로그램을 사용하여 호스트 기반 IDS 접근 방식을 따르고, 각 중요한 파일에 대해 적절한 체크섬을 생성하고, 안전한 장소에 저장하고, 주기적으로 실제 재계산된 체크섬과 비교하여 변경 사항을 확인할 수 있습니다. 분명히 체크섬 데이터베이스는 모든 업데이트나 패치가 설치될 때마다 업데이트되어야 합니다. 대부분의 패키지 관리자는 이러한 체크섬 목록을 유지 관리하고 설치된 파일의 무결성을 확인할 수 있도록 합니다. 이 접근 방식은 약간 복잡하므로 의미 있는 방식으로 수행하는 경우는 드뭅니다.
또 다른 접근 방식은 SELinux 또는 Grsecurity와 같은 역할 기반 액세스 제어(RBAC) 및 필수 액세스 제어(MAC) 추가 기능을 사용하여 무결성 위반으로부터 시스템을 강화하는 것입니다. 올바르게 적용하면 루트 시스템 파일에서도 수정할 수 없습니다. 지정된 역할에 들어갑니다. 여기서 핵심은 합법적인 애플리케이션 활동을 방해하지 않고 원치 않는 작업을 억제하는 정책을 설계하는 것입니다. 이는 결코 사소한 일이 아니므로 드물다.
그러나 이러한 사항을 깊이 고려하기 전에 공격 모델을 정의하고 시나리오를 지정해야 합니다. 20년 전 Unix 시스템은 잠재적으로 신뢰할 수 없는 사용자가 액세스할 수 있는 진정한 다중 사용자 시스템이었습니다. 이제는 더 이상 기능적인 사용자(예: "웹 서버" 또는 "데이터베이스")가 있는 서버를 사용하거나 한 명의 사용자가 있는 개인용 컴퓨터에 데스크톱 시스템을 사용하는 경우가 있습니다.