Re: [KFUG] []SSH

News, Internal, Projects, Home
Software, Support, Documentation

Re: [KFUG] []SSH

To: questions@xxxxxxxxxxxxxx
Subject: Re: [KFUG] [문의]SSH 오픈시 권한설정은 이정도로 하면되는지요
From: Pyun YongHyeon <yongari@xxxxxxxxxxx>
Date: Thu, 15 Jan 2004 18:14:04 +0900
Cc:
Content-disposition: inline
Content-transfer-encoding: 8bit
Content-type: text/plain; charset=euc-kr
Delivered-to: mhonarc-archiver@kr.freebsd.org
Delivered-to: questions@kr.freebsd.org
In-reply-to: <!~!UENERkVCMDkAAQACAAAAAAAAAAAAAAAAABgAAAAAAAAAXiw2eWwos0qlHb1aN4HowsKAAAAQAAAAV0AvEfIAhU21KMV5gfixawEAAAAA@kornet.net>
List-help: <mailto:questions-request@kr.FreeBSD.org?subject=help>
List-id: 일반적인 질문과 답변 <questions.kr.FreeBSD.org>
List-post: <mailto:questions@kr.FreeBSD.org>
List-subscribe: <http://www.kr.FreeBSD.org/mailman/listinfo/questions>, <mailto:questions-request@kr.FreeBSD.org?subject=subscribe>
List-unsubscribe: <http://www.kr.FreeBSD.org/mailman/listinfo/questions>, <mailto:questions-request@kr.FreeBSD.org?subject=unsubscribe>
References: <!~!UENERkVCMDkAAQACAAAAAAAAAAAAAAAAABgAAAAAAAAAXiw2eWwos0qlHb1aN4HowsKAAAAQAAAAV0AvEfIAhU21KMV5gfixawEAAAAA@kornet.net>
Reply-to: yongari@xxxxxxxxxxx
Sender: questions-bounces@xxxxxxxxxxxxxx
User-agent: Mutt/1.4.1i

On Wed, Jan 14, 2004 at 10:41:13PM +0900, dukeeys wrote:
 > 안녕하세요 최준호님
 > 
 > Ssh 를 오픈해야 할일이 생겨서 (한번도 오픈해 본적이 없는지라…)
 > 
 > 권한을 어떻게 줘야 하나 초 난감입니다.
 > 
 > 유져 계정을 ssh 로 접속하는 경우에도 ftp 처럼 chroot 가 가능한가요?
 > 
 > 가능하다면 좀 알려주시구요 불가능하다면 권한설정 스크립트 좀 알려주세요
 > 
 >  
 > 
 > 아래는 일단 제가 작성한 목록입니다
 > 
 > #!/bin/sh
 > 
 > chmod 700 /usr/bin/finger 
 > 
 > chmod 700 /usr/bin/ftp 
 > 
 > chmod 700 /usr/bin/gcc 
 > 
 > chmod 700 /usr/bin/suidperl 
 > 
 > chmod 700 /usr/bin/whereis 
 > 
 > chmod 700 /usr/bin/cc 
 > 
 > chmod 700 /usr/bin/chfn 
 > 
 > chmod 700 /usr/bin/c++ 
 > 
 > chmod 700 /usr/bin/make 
 > 
 > chmod 755 /usr/bin/man 
 > 
 > chmod 700 /usr/bin/rlog 
 > 
 > chmod 700 /usr/bin/rlogin 
 > 
 > chmod 700 /usr/bin/talk 
 > 
 > chmod 700 /usr/bin/which 
 > 
 > chmod 700 /usr/bin/who 
 > 
 > chmod 700 /usr/bin/write 
 > 
 > chmod 700 /usr/bin/wall 
 > 
 > chmod 700 /usr/bin/w 
 > 
 > chmod 750 /sbin/ifconfig 
 > 
 > chmod 750 /bin/ps 
 > 
 > chmod 750 /bin/df 
 > 
 > chmod 700 /etc/fstab 
 > 
 > chmod 700 /etc/hosts 
 > 
 > chmod 700 /etc/hosts.allow 
 > 
 > chmod -R 700 /var/log/
 > 
 > chgrp wheel /sbin/ifconfig 
 > 
 > chgrp wheel /bin/ps 
 > 
 > chgrp wheel /bin/df 
 > 
 > chgrp wheel /usr/bin/w 
 > 
 > chgrp wheel /usr/bin/who 
 > 
 > chgrp wheel /usr/bin/finger 
 > 
 > chgrp wheel /usr/bin/last 
 > 
 > chgrp wheel /usr/bin/top 
 > 
 > chmod 4750 /sbin/dump 
 > 
 >  
sshd는 privilege separation이 일어나기 때문에 상대적으로
다른 데몬들에 비해서 안전한 편입니다.

위처럼 특정 프로그램의 owner나 mode를 변경하는건 별 도움이
되지 않습니다. 사용자가 프로그램을 다른곳에서 복사해서
가지고 올 수 있습니다.

시스템에서 사용하는 setuid/setgid 프로그램들을 먼저 확인해
보시고 이중 setuid/setgid bit를 제거할 수 도 있습니다.
(최소한 이들 프로그램을 이용한 root 획득은 막을 수 있습니다.)

시스템에 발표된 보안패치를 모두 다 적용했다면 그 다지 염려
하지 않아도 됩니다. restricted shell을 사용할 수 도 있겠지만
이것도 정상적인 shell을 복사해서 사용하거나 프로그램내에서
shell을 실행할 수 있는 vi같은 프로그램에게는 별로 도움이
되지 않습니다.

계정을 준다는것 자체가 이미 어능정도의 신뢰를 바탕으로 하고
있는것 아닌가요? 너무 제약을 가하면 오히려 역효과가 나타난다고
생각합니다.
아, 마지막으로 5.X에선 아직 개발중이지만 MAC을 사용할 수 도
있습니다. 아직까지 충분한 사용경험이 없습니다만 MLS도 가능
해 보입니다.(mac.conf(5))
-- 
Pyun YongHyeon <http://www.kr.freebsd.org/~yongari>
_______________________________________________
한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트
questions at kr.FreeBSD.org
http://www.kr.FreeBSD.org/mailman/listinfo/questions

참조:
- [KFUG] [문의]SSH 오픈시 권한설정은 이정도로 하면되는지요
  - From: dukeeys

이전 글: Re: [KFUG] 리눅스에서의 service와 같은 명령은 무엇입니까?
다음 글: [KFUG] 5.2 iso 이미지로 잘 설치 하셨나요?
이전 댓글: Re: [KFUG] [문의]SSH 오픈시 권한설정은 이정도로 하면되는지요
다음 댓글: [KFUG] [도움요청드립니다] 프비로 터미널 접속이 안됩니다 f tp도요

[ 날짜순 색인 ] [ 댓글순 색인 ] [ 최상위 색인] [ 검색]