데비안을 설치한 후 읽고 있어요데비안 보안 매뉴얼, 그리고 설치 과정에서 인터넷에 연결할 수 없다는 경고를 발견했습니다. 이것이 데비안을 설치하는 기본 방법인 것 같아서 놀랐습니다. 실제로 인터넷 연결 없이 설치를 하면 설치가 실패하거나 작동하지 않는다는 이야기가 많이 있습니다. 또한 설치 프로그램은 명시적인 거부 없이 설치 프로세스 초기에 인터넷 연결을 요청했지만(아마 내가 놓쳤을 수도 있음) 인터넷 연결이 필요하지 않았습니다.데비안 설치 안내서설치 프로그램은 이것이 안전하지 않다는 것에 대해서도 언급하지 않습니다.
그래서 내 질문은: 2022년에 노트북에 Debian stable(Bullseye)을 설치할 때 설치 중에 인터넷에 연결하는 것이 위험합니까? 구체적인 위험은 무엇입니까? 예를 들어 데비안 보안 매뉴얼에는 이렇게 나와 있습니다.섹션 3.3: 준비가 될 때까지 인터넷에 연결하지 마세요:
시스템은 즉시 서비스를 설치하고 활성화하기 때문에 시스템이 인터넷에 연결되어 있고 서비스가 올바르게 구성되지 않은 경우 공격에 노출되어 있습니다.
여기서는 어떤 서비스를 지칭하나요? 이는 서버 설치(웹 서버, SSH 등 실행)에만 적용됩니까, 아니면 데스크톱 사용자에게도 영향을 줍니까?
답변1
시스템은 즉시 서비스를 설치하고 활성화하기 때문에 시스템이 인터넷에 연결되어 있고 서비스가 올바르게 구성되지 않은 경우 공격에 노출되어 있습니다.
응, 그건 말이 안 돼. 서비스의 기본 구성은 안전해야 하며, 그 밖의 모든 것은 안전하지 않은 기본 설치를 밀어내는 데비안의 잘못입니다. 어쨌든 서비스 활성화는 데몬 패키지 설정의 마지막 단계이기 때문에 설치 후에는 마법처럼 안전해지지 않습니다.
그래서 솔직히 말해서 이 가이드는 데비안 패키징 현실이나 보안 모범 사례에 세심한 주의를 기울이지 않는 것 같습니다. 어쩌면 그냥 무시할 수도 있습니다.
3.4처럼 상황은 더욱 악화됩니다.
좋은 루트 비밀번호를 설정하는 것은 보안 시스템을 유지하기 위한 가장 기본적인 요구 사항입니다.
정말 쓰레기가 많아요. 루트 비밀번호가 설정되어 있지 않으면 루트는 해당 비밀번호를 사용하여 로그인할 수 없습니다. 이는 올바른 비밀번호로 루트 로그인하는 것보다 확실히 더 안전합니다.
따라서 실제로 해당 가이드를 무시하십시오. 그것은 틀렸고 매우 구식이지만(인용된 참조로 판단하면) 틀린 것은 아니며 데비안 11에는 완전히 부적합합니다. update-rc.d예를 들어, 현대 데비안 스크립트에서 더 이상 역할/존재가 없는 것을 나타냅니다. 데비안 시스템에는 기본적으로 텔넷이 설치되어 있지 않으며 구식 inetd도 없습니다.
이 가이드는 2000년대 초반에는 의심스러웠고 2022년에는 틀렸거나 시대에 뒤떨어진 조언으로 가득 차 있습니다. 그럼에도 불구하고 보안 시스템에서는 특정 지침을 따르는 것보다 데비안 기본값을 사용하는 것이 더 좋습니다("필요하지 않은 데몬을 명시적으로 설치하지 않는 경우" 제외).
사실은,변경 로그2013년 1월(거의 10년 전)의 개정판 3.16을 나타냅니다.
문서가 최신 버전으로 업데이트되지 않았음을 나타냅니다.
설명서 어디에서도 이 지침을 찾을 수 없습니다. 솔직히 말해서 그 문서는 당시 별로 좋지도 않았고 좋지도 않았습니다.진짜2009년부터 업데이트 되었습니다. 이 문서는 현재 이미 존재합니다.줄이다독자 안전;)
답변2
대부분의 패키지는 인터넷 연결 없이 설치할 수 있습니다. netinst 이미지를 사용하지 마십시오. 그러나 a netinst자체는 안전하지 않습니다. 그 이유는 netinst이미지에 패키지 서명에 사용된 모든 Debian GPG 키가 포함되어 있고 시스템이 메시지 가로채기 공격으로 인해 변조된 패키지가 없음을 확인하기 때문입니다. 귀하가 언급한 지침은 이에 대해 권장하지 않습니다.
설명서에서는 컴퓨터를 구성하기 전에 컴퓨터를 인터넷에 연결하라고 경고합니다. 어떤 면에서는 매뉴얼이 어디서 나오는지 알 수 있습니다. 이는 보안 정책에 따라 다릅니다. 인터넷에 연결하기 전에 모든 것이 정책을 준수하도록 하는 것이 합리적입니다. 서비스를 인터넷에 공개하기 전에 서비스 구성을 변경할 수 있습니다.
예:
openssh-server기본 설치 중에 설치하고 다음 기본값으로 구성할 수 있습니다.
PasswordAuthentication yes
이를 통해 ssh단순한 키 대신 비밀번호를 사용하여 기기에 들어갈 수 있습니다. 대부분의 사람들에게 이는 ssh-copy-id시스템을 잠그기 전에 시스템에 대한 SSH 키를 얻을 수 있는 기회를 제공하기 때문에 유용합니다. 어떤 사람들은 사용자 이름/비밀번호를 반복적으로 추측하려고 시도하는 공격자를 차단하는 등의 방법을 PasswordAuthentication yes사용하여 이를 유지하기를 원합니다 . fail2ban다른 사람들은 단순한 비표적 사전 공격으로는 해독할 수 없는 강력한 비밀번호에 의존합니다.
사용자 이름/비밀번호를 공유하는 습관이 있는 회사에서 근무하는 경우 컴퓨터를 PasswordAuthentication yes인터넷에 노출하면 아는 사람(예전 직원)이 컴퓨터에 액세스할 수 있는 창이 열립니다.
회사/정부에서 일하는 경우 정책만 있을 뿐이며 PasswordAuthentication no언제든지 다른 구성을 갖는 시스템을 용납하지 않을 것입니다.
그러나 설치하고 싶지만 구성을 변경하거나 추가 보안(예: 또는 ) openssh-server을 설치할 계획이 없다면 설치 후 인터넷 연결을 기다리는 것은 아무 소용이 없습니다.ufwfail2ban