운영체제 (48) 썸네일형 리스트형 [PAM] pam_tally.so, pam_tally2.so pam_tally.so, pam_tally2.so >> 계정 잠금 설정 pam /etc/pam.d/sshd는 password-auth /etc/pam.d/login은 system-auth # vi /etc/pam.d/system-auth //login 이므로 renlevel3 옵션 deny=3 : 3회 입력 실패시 패스워드 잠금 unlock_time = 계정 잠금후 해제되는 시간 (초) reset = 접속시도 성공시 실패한 횟수 초기화 even_deny_root : root 는 기본적으로 안잠기고 이옵션을 사용해야 잠김 수동으로 계정잠금 풀어주기 (root에서만 가능) # pam_taill2 --user test01 --reset 번외) window에서 계정 잠금 설정 lusrmgr.msc 실행에서 계정.. [PAM] pam_wheel.so pam_wheel.so (중요한 편!) root로 접근하는 사용자가 wheel 그룹의 구성원인 경우에만 허용하기 위해 사용한다. mama라는 계정을 생성하면서 그룹은 wheel로 지정한다. # useradd mama -g wheel //2차 그룹이면 G # passwd mama # vi /etc/pam.d/su 수정(7행) ==> ktest는 wheel 그룹 아니라서 비밀번호를 입력해야 su 사용 가능하다. ==> mama는 wheel 그룹 소속이므로 인증성공한다. 비밀번호를 묻지 않고 더이상 진행X 성공 : 다른 required 조건도 성공 -> mama는 비밀번호까지 입력 실패 : 실패되면 다른 조건의 성공 여부에 상관 없이 무조건 실패 -> 비밀번호 맞아도 실패 [PAM] pam_listfile.so, pam_motd.so pam_listfie.so 사용자가 사용할 수 있는 로그인 세션의 자원을 설정 파일에 따라 제한한다. 모듈은 session type에서만 사용 가능 설정 파일 : /etc/security/limits.conf # echo ktest > /etc/userlist //ktest 계정을 리스트에 추가한다. # cat /etc/userlist ktest # vi /etc/pam.d/sshd 에 설정 위 : ktest만 허용 (특정 사용자만 허용 => 화이트 리스트) 밑 : ktest만 거부 (특정 사용자만 거부 => 블랙 리스트) ftp 로 root 접속 시 거절되었던 이유 # vi /etc/pam.d/vsftpd 를 보면 pam_listfie.so이 설정되어 있음 file에 root가 들어있는 것을 볼 수 있.. [PAM] pam_rootok.so, pam_permit.so, pam_deny.so pam_rootok.so >> 사용자가 root거나 UID=0이면 무조건 모듈 성공 # vim /etc/pam.d/su # 수정 전과 후 /etc/pam.d/su #%PAM-1.0 #auth sufficient pam_rootok.so auth required pam_rootok.so required 이미 실패이나 끝까지 간다음에 실패처리 .. (비밀번호까지 물어본다) requisite ==> 즉시 인증 거부 pam_permit.so 무조건 성공을 반환한다 ==>비밀번호 없이 접근 가능 pam_deny.so [PAM] Linux 인증 모듈 PAM (Pluggable Authentication Modules) 응용 프로그램에서 사용자 인증을 수행할 수 있게 공통적인 인증 방법을 제공하는 인증 모듈 인증 모듈의 교체 및 추가/삭제가 용이 하다. 개발자가 작성한 코드에 의한 인증이 아닌 시스템 관리자가 직접 응용프로그램의 인증 동작을 제어한다. PAM의 동작 원리 프로그램에서 사용자 인증 필요 시 PAM 라이브러리 함수 호출 한다. PAM 인증 절차 1) 사용자가 서비스를 이용 받기 위해 접근 /etc/pamd.d (인증받을 서비스 목록) 2) 프로세스(로컬,데몬)은 PAM에 인증 요청 각 프로세스마다 모듈 구성이 다르다. # ls /etc/pam.d/ ex) su가 PAM 인증 사용할 시 vi /etc/pam.d/su ==> # vi /etc.. 리눅스 tftp 서버 구축 server CentOS67 # yum install tftp # yum install tftp-server xinetd # vi /etc/xineted.d/tftp # mkdir /tftpboot 생성 # service xinetd restart Client CentOS67_64m (mini) # yum -y install tftp !!! 클라이언트와 서버 모두 방화벽 꼭 차단하기 !!! # service iptables stop # vi /etc/sysconfig/selinux SELINUX=disabled # setatus //명령어로 SELinux가 꺼져있는지 확인 # sestatus SELinux status: disabled ssl SSL openssl : SSL/TLS 를 지원하여 암호화 인증시 apache : httpd 데몬 mod_ssl : httpd 데몬에 ssl 지원하는 모듈 ( 독립X , 종속O) => 적용하려면 service httpd restart 해야함 데몬이 아닌 모듈이기 때문 !!!! service mod 이런거 없음 ! % mod_xxx : httpd 부속 기능 vyos로 Router 구축하기 OVA, OVF 이미지 - 이미 설치된 가상머신 이미지를 파일 1개로 만들어 놓은 것 - 표준만 잘 지키면 다른 가상머신 프로그램에서도 사용 가능 클라우드에서 ova 이미지 다운 후 오픈 !! vyos 명령어 모를 땐 $ ? 검색 구성도 vyos 인터페이스 설정 설정모드 $ configure => 하면 # 으로 바뀜 eth1설정 주소지정 # set interfaces ethernet eth1 address 192.168.128.254 주석처리 # set interfaces ethernet eth1 description inside mtu설정 # set interfaces ethernet eth1 mtu 9000 혹시 인터페이스 잘못 넣어서 지울 때 set 대신 del!! ex) # del interfac.. 이전 1 2 3 4 5 6 다음
