She쥐포s' 이야기

○ ssh root 접속제한

# vi /etc/ssh/sshd_config

       # PermitRootLogin yes
       라고 되어있는 부분의 주석을 해제하고 yes를 no로 고친다
       PermitRootLogin no

# /etc/rc.d/init.d/sshd restart

○ su 명령어 제한

# vi /etc/pam.d/su 에 6번라인

        # auth required /lib/security/$ISA/pam_wheel.so use_uid
        주석 제거
        auth required /lib/security/$ISA/pam_wheel.so use_uid

# usermod -G wheel [user]
        -> wheel 그룹에 속한 사용자는 su 사용불가

○ sudo 명령어 사용

# visudo

        맨 마지막 행에
        [user] (TAB) ALL=(ALL) (TAB) ALL
        추가

참고 : http://blog.naver.com/ssalleng21?Redirect=Log&logNo=130030195364

telnet localhost 입력 후 오류처리
- /etc/service 파일에서 포트 확인
- /etc/inetd.conf 파일에 telnet 서비스 확인
- /var/adm/inetd.sec 파일의
    telnet deny
    telnet allow
  부분 확인
- inetd 오동작의 경우
    inetd -c로 inetd 재시작
    inetd -l로 syslog로 로그남김

o routing table 수동 편집시 사용

o 간략 정리
        # route add      net     destination netmask ________ IP 1
                   delete   host                                                0
    - Default GW 추가시
        # route add        default  ________ hop_count
                   delete

o 상세 옵션
- ipv4
/usr/sbin/route [-f] [-n] [-p pmtu] add [net|host] destination [netmask mask] gateway [count] [source src]
/usr/sbin/route [-f] [-n] delete [net|host] destination [netmask mask] gateway [count] [source src]
/usr/sbin/route -f [-n]

- ipv6
/usr/sbin/route inet6 [-f] [-n] [-p pmtu] add [net|host] v6destination [ / prefix] v6gateway [count] [source v6src]
/usr/sbin/route inet6 [-f] [-n] delete [net|host] v6destination [ / prefix] v6gateway [count] [source  v6src]
/usr/sbin/route inet6 -f [-n]

o hostname
    - TCP/IP 통신에서 사용
    - set or display name of current system
    # hostname name_of_host
        -> reboot 전까지만 유효함
        -> 영구적으로 변경하기 위해서는 set_parms 이용
    - 이름포맷 : name_of_host[.x.y.z...]
    - ARPA and NFS Service

o uname
    - uucp 통신에서 사용
    # uname -S name_of_host
    - 이름포맷 : name_of_host
    - uucp와 관련 프로그램
    - 기타옵션
        없음 : -s와 같음
        -i : 장비의 유일한 ID 표시(display machine ID)(getconf)
        -n : 노드명(시스템명) 표시(display node name(system name))
        -r : OS의 현재 release 정보 표시(display the current release level of the OS)
        -v : OS의 이름 표시. 표준 HP-UX 시스템에서는 항상 HP-UX
        -m : 장비 하드웨어와 모델명 표시(display the machine hardware and model names)
               Itanium based system에서는 항상 ia64로 표시됨
        -i : OS의 버전 정보를 표시
        -l : display the license level of OS
        -a : 위의 option 모두 표시

    - 예
       uname -a의 결과가 다음과 같을 경우
      HP-UX myhost A.09.01 C 9000/750 2015986034 32-user license
        HP-UX : uname -s
        myhost : uname -n
        B.11.00 : uname -r
        A         : uname -v
        9000/889 : uname -m
        2015986034 : uname -i
        32-user license : uname -l

o 인터넷을 통해 데이터를 주고 받을 때 암호화여부를 확인하는 방법에 대한 설명

o 필요한 것
   - ethereal 또는 기타 패킷 캡춰 프로그램
   - 브라우저
   - 편집기

o 프로그램 메인화면

telnet, ftp 서비스 잠금

telnet과 ftp 잠금

시스템으로의 외부로부터의 접근(inbound access)이 필요하지 않다면 다음과
같이 하여 사용자들의 telnet 또는 ftp 접근을 거부하라.

vi /etc/inetd.conf

telnet 또는 ftp로 시작하는 줄을 주석처리하라. 파일을 저장하고 편집을 마쳐라.
이제 다음의 명령어로 inetd 데몬을 정지 후 시작하라.

/etc/rc.d/init.d/inet stop
/etc/rc.d/init.d/inet start

(기종에 따라 /etc/init.d 가 될 수도 있다.)

이제부터는 아무도 (외부)네트웍에서 여러분의 서버로 telnet과 ftp를 할수 없다.

※ 역자註 : 요즘은 inetd super deamon을 사용하였으나 요즘은 xinetd를 사용하여
위의 팁은 현실과 맞지 않을 수 있다. xinetd는 다음과 같이 disable = yes (사용안함)
또는 disable = no (사용)을 설정하며

# default: off
# description: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
#      
service 서비스명
{
        disable = yes
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/bin/rsync
        server_args     = --daemon
        log_on_failure  += USERID
}

다음의 명령으로 데몬을 재시작할 수 있다.

/etc/rc.d/init.d/xinetd stop
/etc/rc.d/init.d/xinetd start

-------------------------------------------------------------------------
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
                             UNIX GURU UNIVERSE
                                UNIX HOT TIP

                       Unix Tip 2323 - May 12, 2006

                   http://www.ugu.com/sui/ugu/show?tip.today
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

LOCK DOWN TELNET OR FTP

When inbound access isn't required into
a system deny users Telnet or FTP access
do the following:

vi /etc/inetd.conf

Comment the line starts with Telnet or
FTP.  Save the file and exit.

Stop and start the inetd daemon now by
following commands:

/etc/rc.d/init.d/inet stop
/etc/rc.d/init.d/inet start

(Your flavor may be /etc/init.d)

Now on nobody can telnet or FTP to your
server from outside network.

○ 하도 여러 사람들의 글이 많아서 내 나름 정리를 하고자... man page를 보고 끄적끄적

※ ethtool 사용법(주로 쓰이는 옵션 : 굵게)

# ethtool -s ethX [speed 10|100|1000] [duplex half|full] [port tp|aui|bnc|mii] [autoneg on|off] [phyad N] [xcvr internal|external] [wol p|u|m|b|g|g|s|d...] [sopass xx:yy:zz:aa:bb:cc] [msglvl N]

휴 길기도 하군..

※ 네트웍 설정에 넣기

/etc/sysconfig/network-scripts/ifcfg-ethX 파일에

ETHTOOL_OPTS="speed 1000 duplex full autoneg off"

추가