본질적으로 읽기 전용이고(예: SquashFS) 스왑이 비활성화된 파일 시스템을 사용하여 Linux 이미지를 생성한다고 가정해 보겠습니다. 읽기 전용이란 기본 파일 시스템과 그 모든 내용이 읽기 전용이고 읽기 전용으로 마운트되어 있으며 디렉터리만 쓰기 가능해야 함을 의미합니다(예: /tmp쓰기 가능한 다른 저장소/파티션으로 리디렉션). 이제 내 질문은 누군가가 해당 시스템에 대한 전체 루트 액세스 권한을 갖고 있는 경우 파일의 읽기 전용 부분에 대한 액세스를 속이는 것이 가능하다는 것입니다. 예를 들...
내 대학 Ubuntu 22.04 컴퓨터가 다른 컴퓨터에 제공해야 하는 서비스가 무엇인지 알아내려고 합니다. 나는 이 기계에 정기적으로 ssh접속하여 NFS내 연구실의 다른 컴퓨터들 사이에서 서버로 사용합니다. 하지만 이 기계가 제공해야 할 다른 어떤 것도 생각할 수 없습니다. 그래서 불필요한 서비스를 꺼서 컴퓨터를 튼튼하게 하려고 노력했습니다. 불행하게도 내가 Linux 서비스와 포트에 대해 알고 있는 바에 따르면 어떤 것이 필요하고 어떤 것이 불필요한지 잘 모르겠습니다. 내가 달리면$ netstat...
내 VPS 호스팅 회사는 새로운 데비안(및 기타) VPS 이미지(스크립트, 네트워크 구성, 원격 측정 등)에 "추가"를 삽입합니다. 호스팅 회사가 어떤 변경을 했는지 확인하기 위해 새로운 VPS를 공식 이미지와 어떻게 비교할 수 있나요? ...
Rhel8.6을 강화하고 있는데 "편집 권한이 필요할 때 sudoedit 프로그램을 사용해야 합니다.."라는 보고서가 표시됩니다. 보고된 디렉터리는 /etc/sudoers/*입니다. sudoedit를 이 작업의 유일한 편집기로 설정하려면 어떻게 해야 합니까? ...
데비안 10 강화 가이드의 규칙에 따르면,그 외 다양한 리뷰 가이드CIS(인터넷 보안 센터)에서는 use_pty다음과 같은 이유로 sudoers 옵션 설정을 권장합니다. 공격자는 sudo를 사용하여 기본 프로그램 실행이 완료된 후에도 남아 있는 백그라운드 프로세스를 포크하는 악성 프로그램을 실행할 수 있습니다. 매뉴얼 페이지 에는 sudoers명령이 별도의 의사 터미널에서 실행될 때 기본 프로세스 실행이 완료된 후 사용자 터미널에 대한 액세스 권한을 유지하는 백그라운드 프로세스를 더 이상 실행할 ...
내 질문에 대한 정답이 있는지 확신할 수 없지만 그래도 시도해 보고 싶습니다. systemd를 사용하여 애플리케이션을 강화하고 싶습니다. 문제는 내 패키지에 다른 패키지를 설치할 수 있는 권한이 필요하다는 것입니다(이것이 가장 문제가 되는 것 중 하나인 것 같습니다). NoNewPrivileges나는 다양한 ProtectKernel,,, 및 기타 몇 가지를 포함하여 내 평가를 약 7.0으로 낮출 수 있었습니다 .ProtectHomeProtectProcProtectClock 문제는 , , , , Pri...
![일반 Linux 배포판용 악성코드인가요? [복사]](https://linux55.com/image/210084/%EC%9D%BC%EB%B0%98%20Linux%20%EB%B0%B0%ED%8F%AC%ED%8C%90%EC%9A%A9%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%EC%9D%B8%EA%B0%80%EC%9A%94%3F%20%5B%EB%B3%B5%EC%82%AC%5D.png)
Linux 보안 및 루트 액세스 문제… 저는 블록체인 검증인 노드가 실행되는 서버를 설정하고 있습니다. 서버 보안을 강화하려고 합니다. 노드 실행에 필요한 포트를 제외한 모든 포트에 대해 ufw를 설정했습니다. 나는 ed25519를 사용하여 2FA, SSH를 설정한 다음 어떤 말도 안되는 이유로 누군가가 접속했는지 알아내려고 시간을 보냈습니다. 어떻게 누군가가 권한을 사용 systemctl하거나 poweroff갖는 것을 막을 수 있습니까? sudo목표는 가동 시간을 최대화하고 항상 다른 노드와 동기화...
질문: Linux 서버의 구성 파일에서 Gratuitous ARP가 비활성화되어 있는지 확인해야 합니다. ...
내 경우에는 Ubuntu 18.04에서 Linux를 강화하려면 다음을 설정해야 한다는 내용을 어딘가에서 읽었습니다(어디인지 잊어버렸습니다). 그러나 이러한 값을 사용하면 내 asp.net 핵심 응용 프로그램의 역방향 프록시로 사용되는 nginx에서 504 게이트웨이 시간 초과가 발생합니다. 저는 Linux 배경 지식이 없어서 복사 붙여넣기만 했습니다. 그래서 이러한 값을 설정한다는 것이 무엇을 의미하는지 모르겠습니다. 제가 값을 잘못 설정한 걸까요? /etc/nsswitch.conf passwd:fi...
아니면 다음의 설정을 결합할 사용자 정의 프로필을 만들어야 합니까?강화/selinux그리고체계개인 정보? 마스크도 못 벗으니까시스템 응용 프로그램/systemd또는 USE 플래그를 설정하세요.체계일부 패키지에서는. ...
페도라 30을 강화하다가 이런 대책을 접하게 되었습니다.open-scap.org실제로 명령은 다음과 같습니다. sudo find /dev -context *:device_t:* \( -type c -o -type b \) -printf "%p %Z\n" 내 시스템에서는 다음을 반환합니다. /dev/udmabuf system_u:object_r:device_t:s0 /dev/udmabuf 레이블이 정확합니까? ...
"postfix/smtpd[28164]: 경고: 알 수 없음 [45.227.253.210]: SASL PLAIN 인증 실패: 인증 실패" 일반적으로 나는 fall2ban을 사용하겠지만, openvz 컨테이너에서는 FAIL2BAN과 Firewalld의 일부가 제대로 작동하지 않는 것 같습니다. 내 전용 장비에서는 잘 작동하지만 vps 설정에서는 작동하지 않습니다. 오래 전에 SSH를 비표준 포트에서 옮겼으므로 이러한 시도는 메일 서버에만 해당됩니다. 그래서 질문은 다음과 같습니다. Firewall...
CIS 가이드에 따라 RHEL Linux 서버 7을 강화하려고 하므로 crushfs를 제거하고 싶습니다. 다음 명령을 입력했습니다. modprobe -n -v cramfs 나는 다음과 같은 대답을 얻었습니다. insmod /lib/modules/3.10.0-693.el7.x86_64/kernel/fs/cramfs/cramfs.ko.xz CIS에 언급된 것 대신:설치/bin/true. 내 시스템에 그러한 파일이 없다는 것을 알았습니다. 질문: 출력이란 무엇을 의미하나요? 이런 경우,c...
nodev나는 파일 시스템을 마운트한 다음 특수 파일/장치를 마운트하는 것을 허용하지 않는 "RH413 Red Hat Server Hardening" 과정에서 이 내용을 읽었습니다 . 그러나 예를 보여주지는 않습니다. 그러나 RHEL 시스템에서 다음을 수행한 결과 ddnodev 옵션을 사용하여 파일 시스템을 마운트할 때 특수 문자 장치를 명령으로 생성된 파일과 연결할 수 없다는 사실을 발견했습니다. 나중에 nodev옵션을 제거하고 dd명령을 사용하여 새로 생성된 파일과 문자 장치를 연결할 수 있었습...