주식회사 누리아이티

정보자산의 보안강화를 위한 2차인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

▶ BaroSolution/가이드

정보자산의 보안강화를 위하여 다중인증을 위한 BaroPAM 솔루션의 설치 가이드(Solaris)

누리아이티 2018. 3. 6. 14:05

목차
 
1. PAM(Plugable Authentication Module)

1.1 PAM 개요
1.2 PAM 동작 원리
1.3 PAM 사용 이점
1.4 PAM 파일과 위치
1.5 PAM 라이브러리
1.6 PAM 구성 파일
1.7 PAM 구성 검색 순서
1.8 PAM 구성 파일 구문
1.9 PAM 스택
1.10 PAM 스택 사용예시
1.11 SSH(Secure Shell)
1.12 NTP(Network Time Protocol) 설정
1.13 PAM 프로그래밍
1.14 PAM 컴파일 방법
1.15 PAM 디버그 사용
1.16 PAM 테스트 방법
 
2. BaroPAM 설치
2.1 BaroPAM 설치 전 준비사항
2.2 BaroPAM 설치 모듈 다운로드
2.3 BaroPAM 환경 설정 파일 생성

 

3. BaroPAM 적용
3.1 BaroPAM 적용 프로세스
3.2 BaroPAM 적용 화면
3.3 Solaris 로그인 방법
3.4 ssh/sftp 접속 툴

 

4. BaroPAM 제거
4.1 BaroPAM 환경 제거

 
5. BaroPAM FAQ


6.
About BaroPAM

 

 

 

 

1. PAM(Plugable Authentication Module)

 

1.1 PAM 개요

 

PAM(플러그 가능한 인증 모듈) Linux/Unix 시스템에서 서비스를 재컴파일하지 않고, 다양한 인증 기술을 시스템 항목 서비스에 접목할 수 있도록 해주는 프레임워크으로 중앙 집중적인 인증 매커니즘을 지원하는 것이다. 게다가 시스템의 기본적인 인증 기법을 제공하여 이것을 사용하면 응용 프로그램 개발자 뿐만 아니라 시스템 관리자들이 인증을 유연성 있게 관리할 수 있도록 도와 준다.

 

전통적으로 시스템 자원에 대한 접근을 관리하는 프로그램들은 내장된 메커니즘에 의해 사용자 인증 과정을 수행한다. 이러한 방식은 오랫동안 이루어졌지만 이러한 접근 방식은 확장성이 부족하고 매우 복잡하다. 그렇기 때문인지 이러한 인증 매커니즘을 끌어내기 위한 수많은 해킹 시도가 있었다.

 

Solaris의 방식을 따라서 Unix/Linux 사용자들은 그들만의 PAM을 구현하는 방식을 찾았다.

 

PAM의 아키텍처는 다음과 같다.

 

PAM의 기본 원리는 응용 프로그램이 password 파일을 읽어 오는 대신 PAM이 직접 인증을 수행 하도록 하는 것이다. PAM은 시스템 관리자가 원하는 인증 매커니즘이 무엇이든 상관하지 않는다.

 

여러 사이트에서 선택 받은 인증 매커니즘은 아직도 password 파일이다. 왜 그럴까? 우리가 원하는 것을 해주기 때문이다. 대부분의 사용자는 password 파일이 필요한 것이 무엇인지 이미 알고 있다. 그리고 원하는 작업을 수행하는데 있어 이미 그 기능이 검증되었기 때문일 것이다.

 

PAM의 인증 절차는 다음과 같다.


1.2 PAM 동작 원리

PAM Windows 환경의 DDL(Dynamic Link Library)과 같은 것이다. Library로 프로그램이 어떤 사용자에 대한 인증을 수행하려면 PAM Library가 있는 함수를 호출한다. PAM은 해당 함수의 Library를 제공하여 응용 프로그램이 특정 사용자를 인증하도록 요청할 수 있다.

 

PAM을 통해 /etc/passwd 파일이나 /etc/shadow 파일을 확인하거나 또는 보다 복잡한 확인 작업을 수행하기도 하는데, 예로는 LDAP 서버에 접속하는 것이다.

 

확인 작업을 마치고, 인증 여부를 결정하게 되면 "인증됨/인증되지 않음"의 메시지를 자신을 호출한 응용 프로그램에 전송한다.

 

간단한 확인 작업이라고 했는데, 그 과정이 많아 보일 수가 있다. 여기에 나오는 각 모듈은 크기가 작고 작업 수행 시간이 매우 빠르다. 이것은 매우 놀랍기도 하지만 PAM을 사용하게 된다.

 

PAM 의 동작은 프로그램의 실행 하자마자 실행되는 보안 설정 파일들의 프로그램들이다.

 

PAM의 동작 원리는 다음과 같다.

 

■ 인증이 필요한 프로그램 동작 시 PAM 라이브러리 호출

■ PAM설정 파일을 참조

■ 참조한 파일의 내용을 바탕으로 모듈 동작

■ 프로그램에 동작 결과를 반환하여 인증여부 결정.


1.3 PAM 사용 이점

PAM을 사용하면 사용자 인증을 위한 시스템 항목 서비스(: ftp, login, telnet, rsh) 사용을 구성할 수 있다. PAM이 제공하는 몇 가지 이점은 다음과 같다.

 

■ 유연한 구성 정책

■ 응용 프로그램별 인증 정책

■ 기본 인증 방식을 선택할 수 있는 기능

■ 높은 보안 시스템에서 여러 권한 부여를 요구할 수 있는 기능

■ 최종 사용자의 사용 편의성

■ 암호가 여러 인증 서비스에 대해 동일한 경우 암호 재입력 없음

■ 사용자가 여러 명령을 입력할 필요 없이 여러 인증 서비스에 대해 사용자에게 암호를 요구할 수 있는 기능

■ 사용자 인증 서비스에 선택적 옵션을 전달할 수 있는 기능

■ 시스템 항목 서비스를 변경할 필요 없이 사이트별 보안 정책을 구현할 수 있는 기능

 

1.4 PAM 파일과 위치

파일 위치 설명 비고
/usr/lib/security 제공 가능한 PAM 모듈 디렉토리로 실제 PAM Library를 동적으로 인증 모듈을 호출하여 실행한다.(*so)  
/etc/security/unix PAM 실행에 필요한 설정파일로 /usr/lib/security에 있는 모듈에 대한 설정 파일.(서비스명.conf)  
/etc/pam.d PAM 데몬 파일(애플리케이션별 PAM의 설정 파일 위치) PAM을 사용하는 응용 프로그램이 설정 파일이 없다면 기본값으로 설정된 설정 파일을 자동으로 사용한다.  


1.5 PAM 라이브러리

라이브러리 설명 비고
pam_allow 모든 호출에 대해 PAM_SUCCESS를 반환한다.  
pam_authtok_check 암호 변경에 대해 암호 토큰의 유효성을 검사한다.  
pam_authtok_get PAM 스택에 암호 프롬프트 기능을 제공한다.  
pam_authtok_store PAM_USER에 대한 암호 토큰을 업데이트한다.  
pam_deny 모든 호출에 대해 모듈 유형 기본 실패 반환 코드를 반환한다.  
pam_dhkeys PAM 서비스에 보안 RPC 인증 및 보안 RPC 인증 토큰 관리 기능을 제공한다.  
pam_krb5 Kerberos 사용자의 ID를 확인하고 Kerberos 자격 증명 캐시를 관리하는 기능을 제공한다.  
pam_krb5_migrate PAM_USER를 클라이언트의 로컬 Kerberos 영역으로 마이그레이션 하는데 도움을 준다.  
pam_ldap 구성된 LDAP 디렉토리 서버를 통한 PAM 인증 및 계정 관리 스택에 필요한 기능을 제공한다.  
pam_list 이 호스트에서 사용자 계정의 유효성을 검사하는 기능을 제공한다. 이 유효성 검사는 호스트에 있는 사용자 및 넷 그룹 목록을 기반으로 한다.  
pam_passwd_auth 암호 스택에 인증 기능을 제공한다.  
pam_pkcs11 사용자가 X.509 인증서 및 PKCS#11 토큰에 저장된 해당 전용 개인 키를 사용하여 시스템에 로그인할 수 있도록 해준다.  
pam_roles 사용자가 역할을 맡을 권한이 부여되었는지 확인하고 역할에 의한 직접 로그인을 금지한다.  
pam_smb_passwd 로컬 Oracle Solaris 사용자에 대한 SMB 암호 변경 또는 추가를 지원한다.  
pam_smbfs_login Oracle Solaris 클라이언트와 해당 CIFS/SMB 서버 간에 암호를 동기화한다.  
pam_tsol_account 레이블과 관련된 Trusted Extensions 계정 제한을 확인한다.  
pam_tty_tickets 이전 인증 성공으로 생성된 티켓을 검사하기 위한 방식을 제공한다.  
pam_unix_account 사용자 계정이 잠기거나 만료되지 않았는지 확인하고 사용자 암호를 변경할 필요가 없음을 확인하는 기능을 제공한다.
access_times access_tz에 대한 검사를 포함한다.
 
pam_unix_auth 암호가 PAM_USER에 대해 올바른 암호인지 확인하는 기능을 제공한다.  
pam_unix_cred 사용자 자격 증명 정보를 설정하는 기능을 제공한다. 자격 증명 기능과는 독립적으로 인증 기능을 대체할 수 있도록 해준다.  
pam_unix_session 세션을 열거나 닫고 /var/adm/lastlog 파일을 업데이트한다.  
pam_user_policy 사용자별 PAM 구성을 호출한다.  
pam_zfs_key 사용자의 암호화된 홈 디렉토리에 대한 ZFS 암호화 문장암호를 로드 및 변경하는 기능을 제공한다.  

 

1.6 PAM 구성 파일

 

login ssh와 같이 PAM 프레임워크를 사용하는 시스템 응용 프로그램은 /etc/pam.d 디렉토리에 있는 PAM 구성 파일에 구성된다. /etc/pam.conf 파일도 사용될 수 있다. 이러한 파일을 변경하면 시스템의 모든 사용자에게 영향을 준다.

 

/etc/security/pam_policy 디렉토리에도 PAM 구성 파일이 보관된다. 이러한 파일은 여러 서비스를 취급하며 사용자별로 지정할 수 있도록 설계되었다. 이 디렉토리의 파일은 수정하지 않아야 한다.

 

1) /etc/pam.d 디렉토리 - 와일드카드 파일 other를 비롯한 서비스별 PAM 구성 파일이 있다. 응용 프로그램에 대한 서비스를 추가하려면 service-name 파일을 추가한다. 이 파일은 응용 프로그램에 사용되는 서비스 이름다. 적합한 경우 응용 프로그램에서 other 파일의 PAM 스택을 사용할 수 있다.

 

/etc/pam.d 디렉토리의 서비스 파일은 대부분의 PAM 구현에 있는 기본 구성을 제공한다. 이러한 파일은 pkg(5) 매뉴얼 페이지에 설명된 IPS 방식을 사용하여 자체 어셈블된다. 이 기본 동작은 다른 플랫폼간 PAM 응용 프로그램과의 상호 운용성을 간소화한다. 자세한 내용은 pam.conf(4) 매뉴얼 페이지를 참조하라.

 

2) /etc/pam.conf 파일 - 레거시 PAM 구성 및 정책 파일다. 이 파일은 비어 있는 상태로 제공된다. 선호되는 PAM 구성 방식에서는 /etc/pam.d 디렉토리의 파일을 사용한다. 자세한 내용은 pam.conf(4) 매뉴얼 페이지를 참조하라.

 

3) /etc/security/pam_policy 디렉토리 - 여러 서비스에 대한 정책이 포함된 PAM 정책 파일이 있다. 필요에 따라 이러한 파일을 개별 사용자, 개별 사용자 그룹 또는 모든 사용자에게 지정할 수 있다. 이렇게 지정할 경우 pam.conf 또는 /etc/pam.d 디렉토리에 있는 PAM 구성 파일을 겹쳐쓰게 된다. 이러한 파일은 수정하지 마라. 사용자별 파일을 추가하려면 사이트별 PAM 구성 파일을 만드는 방법을 참조하라. 사용자별 파일에 대한 자세한 내용은 pam_user_policy(5) 매뉴얼 페이지를 참조하라.

 

보안 관리자는 모든 PAM 구성 파일을 관리한다. 항목 순서가 잘못되면, PAM 스택이 올바르지 않으면 예측하지 못한 역효과가 발생할 수 있다. 예를 들어, 잘못 구성된 파일은 사용자를 잠그게 되므로 복구하려면 단일 사용자 모드가 필요할 수 있다. 자세한 내용은 PAM 스택 및 PAM 구성 오류 문제를 해결하는 방법을 참조하라.

 

1.7 PAM 구성 검색 순서

 

PAM 프레임워크에 대한 응용 프로그램 호출은 다음과 같은 순서로 구성된 PAM 서비스를 검색한다.

 

1) /etc/pam.conf에서 서비스 이름을 조회한다.

2) /etc/pam.d/service-name 파일에 있는 특정 서비스가 사용된다.

3) /etc/pam.conf 파일에서 서비스 이름 other를 확인한다.

4) /etc/pam.d/other 파일이 사용된다.

 

이 순서에 따라 기존 /etc/pam.conf 파일이 /etc/pam.d에 있는 서비스별 PAM 구성 파일과 함께 작동할 수 있다.

 

1.8 PAM 구성 파일 구문

 

pam.conf 파일 및 PAM 사용자별 파일은 pam.d 디렉토리에 있는 서비스별 파일과는 다른 구문을 사용한다.

 

1) /etc/pam.conf 파일 및 /etc/security/pam_policy 파일의 항목은 다음 두 형식 중 하나다.

[service-name] [module-type] [control-flag] [module-path] [module-options]
[service-name] [module-type] [include] [path-to-included-PAM-configuration]

 

2) /etc/pam.d 디렉토리의 service-name 파일에 있는 항목에는 서비스 이름이 생략된다. 파일 이름이 서비스 이름을 제공한다.

[module-type] [control-flag] [module-path] [module-options]
[module-type] [include] [path-to-included-PAM-configuration]

 

PAM 구성 파일 구문의 항목은 다음과 같다.

 

1) service_name

 

서비스의 이름(대소문자 구분 안함)(:login 또는 ssh). 응용 프로그램에서는 응용 프로그램이 제공하는 서비스에 대해 서로 다른 서비스 이름을 사용할 수 있다. 예를 들어 sshd 데몬이 제공하는 다양한 서비스의 서비스 이름을 확인하려면 sshd(1M) 매뉴얼 페이지에서 PAM을 검색하라.

 

미리 정의된 서비스 이름 "other"는 특정 서비스 구성이 제공되지 않은 경우 사용되는 기본 서비스 이름이다.

 

2) module-type

 

PAM이 어떤 타입의 인증이 사용될 것인지 서비스의 유형(, auth, account, session 또는 password)을 나타낸다.

모듈 타입 설명 비고
auth 사용자 인증에 사용하며, 올바른 비밀번호인지 확인하는 절차를 가진다.
응용 프로그램이 사용자에게 비밀번호를 입력하도록 안내하고, 사용자와 해당 사용자의 그룹에 대한 권한을 인증한다.
 
account 사용자의 접근 허가 여부를 확인하며 계정 만료, 특정 시간대에 접근이 허용되었는지 여부를 확인한다.
인증하는 기능이 아니며 현재 시간, 사용자의 위치와 같은 다른 요소들의 접근 권한을 결정하는데, 예로 root 사용자의 로그인은 콘솔로만 한다. 이런 식으로 결정하는 것이다.
 
password 비밀번호를 설정하고 확인한다.
비밀번호를 기준에 맞게 변경하도록 하는 모듈을 지정한다.
 
session 사용자가 인증 받기 전후에 필요한 홈 디렉토리 마운트, 메일박스 생성 등의 유저 섹션을 구분하기 위해 부가적인 작업을 수행한다.
혹시라도 사용자의 로그인 전후에 수행해야 할 작업이 있다는 내용을 지정한다.
 

 

3) contol-flag

 

PAM에서 사용되는 모듈들이 결과에 따라 어떠한 동작을 취해야 하는지를 지시하는 서비스에 대한 성공 또는 실패 값을 결정하는 모듈의 역할을 나타낸다.

flag 설명 비고
required 인증이 거부되기 전에 PAM이 이 서비스에 등록된 모든 모듈들을 요구함에도 불구하고 실패할 경우 인증을 거부하도록 한다.
해당 모듈은 개별 사용자에 대한 인증을 반드시 진행해야 한다. 인증이 안될 경우 실패가 반드시 반환되어야 한다.
 
requisite 이 모듈을 이용하는 인증이 실패할 경우, 즉시 인증을 거부하도록 한다.
required와 비슷하지만 이 플래그가 인증을 실패할 경우 설정 파일에서 이 값 다음으로 나오는 모듈들을 호출되지 않는다. 실패한 결과는 즉시 응용 프로그램으로 전달된다.
 
sufficient 이전에 요청되어진 모듈이 실패하더라도 이 모듈에 의해서 인증이 성공할 경우 PAM은 인증을 승인한다.
모듈이 성공 값을 반환하고 설정 파일에서 required sufficient 제어 플래그가 필요하지 않다면 PAM은 해당 응용 프로그램에서 성공을 반환한다.
 
optional 이 모듈이 성공 또는 실패하는지는 그 모듈이 서비스에 대한 형식에 유일한 모듈일 경우에 해당한다.(성공 여부 상관 X)
이 제어 플래그는 모듈의 결과를 무시한다. PAM으로 다른 모듈을 지속적으로 확인하도록 한다. 확인 작업이 실패하게 되더라도 계속 진행하게 된다.
특정 모듈이 실패하더라도 사용자가 로그인하는 것을 허용하고자 할 때 이 플래그를 사용하면 된다.
 
include 이 플래그는 인자(argument)에 지정된 또 다른 설정 파일의 내용이나 지침을 포함시키기 위해 사용된다. , 서로 다른 PAM 설정 파일의 내용을 연결하고 구성하는 방식으로 사용된다.  

 

required/requisite 차이는 required requisite 인터페이스 모두 반드시 "성공" 되어야만 PAM을 이용한 인증이 완료되나 보안 및 가용성 측면에서는 분명한 차이가 존재한다. required의 경우 실패를 해도 실패한 지점이나 결과값에 대한 리턴을 하지 않는데, requisite의 경우 실패한 지점과 원인을 리턴하기에 보안 관점에서는 공격자에게 인증이 거부된 원인을 제공하게 되며, 가용성 측면에서는 실패한 원인을 리턴하여 원인 분석을 용이하게 해준다.

 

4) module-path

 

PAM에게 어떤 모듈을 사용할 것인지 그리고 그것을 어디서 찾을지의 모듈 유형을 구현하는 모듈의 경로다. 경로 이름이 절대 경로가 아닌 경우 경로 이름은 /usr/lib/security/$ISA/ 경로에 대한 상대 경로로 간주된다. $ISA 매크로 또는 토큰은 PAM 프레임워크가 모듈 경로의 아키텍처 특정 디렉토리를 검색하도록 지시한다.

 

5) module-option

 

서비스 모듈로 전달될 수 있는 nowarn debug와 같은 옵션이다. 모듈의 매뉴얼 페이지에서는 해당 모듈에 대한 옵션을 설명한다. 각각의 모듈들은 각각의 인수를 가지고 있다.

arguments 설명 비고
debug 시스템 로그에 디버깅 정보를 남기다.  
no_warn 응용 프로그램에 경고 메시지를 제공하지 않는다.  
use_first_pass 비밀번호를 두 번 확인하지 않는다. 대신 auth 모듈에서 입력한 비밀번호를 사용자 인증 과정 시에도 재사용 해야 한다.(이 옵션은 auth password 모듈에 해당하는 옵션임)  
try_first_pass 이 옵션은 use_first_pass 옵션과 비슷한데, 사용자는 두 번 비밀번호를 입력할 필요가 없기 때문이다. 하지만 기존의 비밀번호를 다시 입력하도록 되어 있다.  
use_mapped_pass 이 인자는 이전 모듈에서 입력된 텍스트 인증 토큰을 입력 받도록 하는데, 이 값으로 암호화 또는 암호화가 해제된 키 값을 생성한다. 그 이유는 모듈에 대한 인증 토큰 값을 안전하게 저장하거나 불러오기 위함이다.  
expose_account 이 값은 모듈로 하여금 계정 정보를 중요하다고 판단하지 않게 한다. 시스템 관리자에 의해 임의로 설정한 것이라 여겨진다.  
nullok 이 인자는 호출된 PAM 모듈이 null 값의 비밀번호를 입력하는 것을 허용한다.  

 

6) path-to-included-PAM-configuration

 

PAM 구성 파일 또는 /usr/lib/security 디렉토리를 기준으로 한 파일 이름을 지정한다.

 

1.9 PAM 스택

 

응용 프로그램이 다음 함수 중 하나를 호출하면 PAM 프레임워크는 PAM 구성 파일을 읽고 해당 응용 프로그램의 PAM 서비스 이름을 구현하는 모듈을 확인한다.

 

pam_authenticate(3PAM)

pam_acct_mgmt(3PAM)

pam_setcred(3PAM)

pam_open_session(3PAM)

pam_close_session(3PAM)

pam_chauthtok(3PAM)

 

구성 파일에 모듈이 하나만 포함된 경우 해당 모듈의 결과가 작업의 결과를 결정한다. 예를 들어, passwd 응용 프로그램에 대한 기본 인증 작업에는 /etc/pam.d/passwd 파일에 하나의 모듈(pam_passwd_auth.so.1)이 포함된다.

auth required           pam_passwd_auth.so.1

 

이러한 항목은 login 서비스 이름에 대한 auth 스택을 만든다. 이 스택의 결과를 결정하려면 개별 모듈의 결과 코드에 통합 프로세스가 필요하다.

 

통합 프로세스에서 모듈은 파일에 나오는 순서대로 실행된다. 각 성공 또는 실패 코드는 모듈의 제어 플래그에 따라 전체 결과에 통합된다. 제어 플래그는 스택의 조기 종료를 유발할 수 있다. 예를 들어, requisite 또는 definitive 모듈이 실패하면 스택이 종료된다. 이전 실패한 없는 경우 sufficient, definitive 또는 binding 모듈이 성공하면 스택이 종료된다. 스택이 처리된 후 개별 결과는 하나의 전체 결과로 합쳐서 응용 프로그램에 전달된다.

 

제어 플래그는 PAM 모듈이 성공 또는 실패를 결정하는 데 수행하는 역할을 나타낸다. 제어 플래그 및 효과는 다음과 같다.

 

1) Binding - 기록된 이전 실패가 없는 경우 binding 모듈의 요구 사항 충족에 성공하면 응용 프로그램에 즉시 성공을 반환한다. 이러한 조건이 충족되지 않는다면 모듈은 더 이상 실행되지 않는다.

 

실패의 경우 required 실패가 기록되고 모듈 처리가 계속된다.

 

2) Definitive - 기록된 이전 실패가 없는 경우 definitive 모듈의 요구 사항 충족에 성공하면 응용 프로그램에 즉시 성공을 반환한다.

 

이전 실패가 기록된 경우 모듈이 추가로 실행되지 않고 해당 실패가 응용 프로그램에 즉시 반환된다. 실패의 경우 모듈의 추가 실행 없이 즉시 오류가 반환된다.

 

3) Include - PAM 스택의 이 시점에서 사용될 별도의 PAM 구성 파일에서 행을 추가한다. 이 플래그는 성공이나 실패 동작을 제어하지 않는다. 새 파일이 읽혀지면 PAM include 스택이 증가된다. 새 파일에서 스택 확인이 완료되면 include 스택 값이 감소한다. 파일의 끝에 도달하고 PAM include 스택이 0이면 스택 처리가 종료된다. PAM include 스택에 대한 최대 수는 32이다.

 

4) Optional - optional 모듈의 요구 사항을 충족하는 성공은 서비스를 사용하는 데 필요하지 않는다.

 

실패의 경우 optional 실패가 기록된다.

 

5) Required - reauired 모듈의 요구 사항을 충족하는 성공은 스택이 성공하는 데 필요하다. 스택에 대한 최종 성공은 실패를 보고한 binding 또는 required 모듈이 없을 경우에만 반환된다.

 

실패의 경우 이 서비스에 대한 나머지 모듈이 실행된 후 오류가 반환된다.

 

6) Requisite - requisite 모듈의 요구 사항을 충족하는 성공은 스택이 성공하는 데 필요하다. 스택이 응용 프로그램에 성공을 반환할 수 있으려면 스택의 모든 requisite 모듈이 성공을 반환해야 한다.

 

실패의 경우 모듈의 추가 실행 없이 즉시 오류가 반환된다.

 

7) Sufficient - 기록된 이전 required 실패가 없는 경우 sufficient 모듈의 성공은 모듈의 추가 실행 없이 응용 프로그램에 즉시 성공을 반환한다.

 

실패의 경우 optional 실패가 기록된다.

 

다음 두 연결된 다이어그램은 통합 프로세스에서 결과가 어떻게 결정되는지 보여 준다.

 

첫번째 다이어그램은 제어 플래그의 각 유형에 대해 성공 또는 실패가 어떻게 기록되는지 보여 준다. 두번째 다이어그램은 결과를 보여 준다.

 

두번째 다이어그램은 통합된 값이 어떻게 결정되는지 보여준다. Optional 실패 및 required 실패는 실패를 반환하고 성공은 성공을 반환한다. 이러한 반환 코드를 처리하는 방법은 응용 프로그램이 결정한다.

 

플로우 다이어그램은 제어 플래그가 PAM 스택에 어떤 영향을 미치는지 보여준다.

플로우 다이어그램은 통합된 값이 PAM 스택에서 어떻게 결정되는지 보여준다.

 

1.10 PAM 스택 사용예시

 

다음 예에서는 샘플 /etc/pam.d/other 파일의 인증 관리를 위한 기본 정의를 보여 준다. 이러한 정의는 서비스별 인증 정의가 구성되지 않은 경우에 인증에 사용된다.

##
# Default definitions for Authentication management
# Used when service name is not explicitly mentioned for authentication
#
auth definitive         pam_user_policy.so.1
auth requisite          pam_authtok_get.so.1
auth required           pam_dhkeys.so.1
auth required           pam_unix_auth.so.1
auth required           pam_unix_cred.so.1

 

먼저 pam_user_policy.so 모듈을 사용하여 사용자의 PAM 정책을 확인한다. definitive 제어 플래그는 구성된 PAM 스택에 대한 평가가 성공할 경우 이 시점에서 검사된 다른 모듈이 없기 때문에 응용 프로그램에 성공을 반환하도록 결정한다. 구성된 PAM 스택 평가가 실패할 경우에는 응용 프로그램에 실패 코드가 반환되고 추가 검사가 수행되지 않는다. 사용자별 PAM 정책이 이 사용자에 대해 지정되지 않았으면 다음 모듈이 실행된다.

 

사용자별 PAM 정책이 이 사용자에 대해 지정되지 않았으면 pam_authtok_get 모듈이 실행된다. 이 모듈에 대한 제어 플래그는 requisite로 설정된다. pam_authtok_get을 실패할 경우 인증 프로세스가 종료되고 응용 프로그램에 실패가 반환된다.

 

pam_authtok_get이 실패하지 않으면 다음 3개의 모듈이 실행된다. 이러한 모듈은 required 제어 플래그로 구성되므로 개별 실패가 반환되는지 여부에 관계없이 통합 프로세스가 계속된다. pam_unix_cred가 실행된 후에는 남은 모듈이 없다. 이때 모든 모듈이 성공하면 응용 프로그램에 성공이 반환된다. pam_dhkeys, pam_unix_auth 또는 pam_unix_cred가 실패를 반환한 경우 응용 프로그램에 실패가 반환된다.

 

1.11 SSH(Secure Shell)

Secure Shell은 개방형 소스 SSH 제품인 OpenSSH 제품을 기반으로 한다.(http://www.openssh.org)

 

Secure Shell은 비보안 네트워크에서 클라이언트와 원격 호스트 간의 보안 연결을 가능하게 한다. 

 

이 보안 연결의 주요 속성은 다음과 같다.

 

-클라이언트와 원격 호스트 둘 다에 대한 강력한 인증

-클라이언트와 원격 호스트 간의 통신에 대한 강력한 암호화 및 공개 키 암호화

-클라이언트와 원격 호스트에서 명령을 실행하는데 사용할 보안 연결

 

Secure Shell telnet, remsh, rlogin, ftp, rcp와 같은 자주 사용하는 함수와 명령의 보안 대체 항목을 제공한다.

 

1) Secure Shell의 주요 보안 기능

 

Secure Shell의 주요 보안 기능은 다음과 같다.

 

① 강력한 암호화

 

클라이언트와 원격 호스트 간의 모든 통신은 Blowfish, 3DES, AES arcfour와 같은 특허 없는 암호화 알고리즘을 사용하여 암호화된다. 암호 등의 인증 정보는 네트워크에서 일반 텍스트로 전송되지 않는다. 또한 암호화는 강력한 공개 키 기반 암호화와 더불어 잠재적 보안 공격을 차단한다.

 

② 강력한 인증

 

Secure shell은 클라이언트와 서버 간의 강력한 인증 방법 집합을 지원한다. 인증은 양방향일 수 있다. 서버는 클라이언트를 인증하고 클라이언트도 서버를 인증한다. 이렇게 하면 다양한 보안 문제로부터 세션을 보호할 수 있다.

 

③ 포트 전달

 

클라이언트와 원격 호스트 간의 TCP/IP 연결 리디렉션(및 그 반대)을 포트 전달 또는 SSH 터널링이라고 한다. Secure Shell은 포트 전달을 지원한다. 예를 들어, 포트 전달을 사용하여 클라이언트와 서버 간의 ftp 트래픽(또는 전자 메일 클라이언트와 POP/IMAP 서버 간의 전자 메일 트래픽)을 리디렉션할 수 있다. 클라이언트가 직접 서버와 통신하는 대신 보안 채널을 통해 트래픽을 sshd 서버로 리디렉션할 수 있으며, 그런 다음 sshd 서버에서 트래픽을 실제 서버 시스템의 지정된 포트로 전달할 수 있다.

 

2) Secure Shell의 소프트웨어 구성 요소

 

Secure Shell 소프트웨어는 클라이언트트 및 서버 구성 요소소 집합으로 이루어져 있다.

구성요소 설명 위치 대응하는 비보안 구성요소
ssh Secure Shell를 클라이언트는 telnet remsh의 보안 대체 항목이며 보안 기능이 있는 remsh와 가장 유사함. 클라이언트 remsh, telnet, rlogin
slogin ssh에 대한 심볼릭 링크임. 클라이언트 remsh, telnet, rlogin
scp 클라이언트 보안 복사 및 서버 보안 복사를 수행함, 클라이언트 및 서버 rcp
sftp 보안 ftp 클라이언트임 클라이언트 ftp
sshd 보안 Shell 데몬임. 서버 remshd,telnetd,rlogind
sftp-server 보안 ftp 데몬임. 서버 ftpd
ssh-rand-helper sshd가 서버에서 /dev/random 또는 /dev/urandom을 찾을 수 없을 때는 사용되는 Random Number Generator. OS 커널에 상주하는 Random Number Generator rng가 포함되어 있다. rng가 구성 해제되어 있으면 sshd prngd를 사용함. 서버 해당 사항 없음
ssh-agent 클라이언트에서 서버로의 "자동" 키 기반 로그인 도구임. 클라이언트 및 서버 Rhosts 파일 메커니즘
ssh-add 클라이언트의 키 쌍을 ssh-agent에 알리는 도구임. 클라이언트 해당 사항 없음
ssh-keygen 공개 키 인증을 위해 키 쌍을 생성하는 도구임. 클라이언트 해당 사항 없음
ssh-keyscan
 
 
ssh-keysign
Secure Shell 데몬(sshd)을 실행하는 호스트 집합에 대한 공개 키를 수집하는 클라이언트 도구임.
 
호스트 기반 인증 중에 필요한 디지털 서명을 생성하는 도구임. ssh()에서 로컬 호스트 키 호스트 기반 인증에 액세스하는데 사용됨.
클라이언트
 
 
클라이언트
해당 사항 없음
 
 
해당 사항 없음

 

3) Secure Shell 실행

 

위 표에서 나열된 Secure Shell 클라이어트를 실행하기 전에 먼저 Secure Shelll 서버 데몬 sshd를 시작한다.

 

sshd 데몬은 서버 시스템의 /etc/ssh 디렉토리에 있는 sshd_config 파일에서 초기 값을 가져온다.

 

sshd_config에 있는 가장 중요한 구성 지시어 중 하나는 sshd 데몬에서 지원하는 인증 방법 집합이다.

 

- ssh 클라이언트 실행

 

ssh 클라이언트 응용 프로그램은 sshd 서버와의 소켓 연결을 설정한다.

 

sshd 서버는 자식 sshd 프로세스를 시작한다.

 

이 자식은 연결 소켓을 상속 받고 선택된 인증 방법을 기반으로 클라이언트를 인증한다.

 

인증에 성공한 경우에만 성공적으로 보안 클라이어트 세션이 설정된다.

 

세션이 만들어진 후 모든 후속 통신은 클라이언트와 이 자식 sshd 프로세스 간에 직접 이루어진다.

 

이제 클라이언트는 서버에서 원격 명령을 실행할 수 있다.

 

ssh 클라이언트의 명령 요청이 있을 때마다 자식 sshd 프로세스에서 해당 명령을 실행할 Shell 프로세스를 시작한다.

 

간단히 말해서 실행 중인 ssh 클라이언트-서버 세션은 다음 프로세스로 구성된다.

 

sshd 서버에 연결된 모든 클라이언트 시스템에는 현재 이 클라이언트 시스템에서 설정된 각 ssh 연결에 대한 하나의 ssh 클라이언트 프로세스가 있다.

 

② 서버 시스템에는 하나의 부모 sshd 프로세스와 서버에 연결된 동시 ssh 클라이언트 개수 만큼의 자식 sshd 프로세스가 있다. 서버에 권한 분리가 활성화되어 있으면 서버에서 실행되는 자식 sshd 프로세스의 수가 두 배로 증가한다.

 

ssh 클라이언트에서 명령 실행 요청이 있을 때마다 서버 시스템의 해당 자식 sshd 프로세스는 Shell 프로세스를 시작하고 Unix 파이프를 사용하여 명령 요청을 이 Dhell 프로세스로 전달한다. Shell 프로세스는 Unix 파이프를 사용하여 명령 실행 결과를 자식 sshd 프로세스로 반환하고 명령 실행이 완료되면 종료된다.

 

- sftp 클라이언트 실행

 

sftp 클라이언트 응용 프로그램은 sftp 클라이언트 응용 프로그램이 ssh 클라이언트를 시작 하도록 하고 Unix 파이프를 사용하여 이 클리이언트와 통신한다. 그런 다음 ssh 클라이언트는 sshd 서버와의 소켓 연결을 설정한다.

 

서버 상호 작용의 나머지 부분은 ssh 클라이언트의 경우와 유사하다. 차이점은 원격 명령을 실행한 Shell을 시작하는 대신 자식 sshd 프로세스가 sftp-server 프로세스를 시작한다는 것이다. sftp 세션 중의 모든 후속 통신은 다음 프로세스 간에 발생한다.

 

Unix 파이프를 사용하여 클라이언트 시스템에서 sftp 클라이언트와 ssh 클라이언트 간에

② 설정된 연결 소켓을 통해 ssh 클라이언트와 자식 sshd 프로세스 간에

③ Unix 파이프를 사용하여 자식 sshd 프로세스와 sftp 서버 프로세스 간에

 

- scp 클라이언트 실행

 

scp 클라이언트의 경우는 sftp 클라이언트 실행과 거의 동일하다. 차이점은 sftp-server 프로세스를 시작하는 대신 자식 sshd 프로세스가 scp 프로세스를 시작한다는 것이다. scp 세션 중의 모든 후속 통신은 다음 프로세스간에 발생한다.

 

① 클라이언트 시스템에서 scp 클라이언트와 ssh 클라이언트 간에, Unix 파이프 사용

② 설정된 연결 소켓을 통해 ssh 클라이언트와 자식 sshd 프로세스 간에

③ Unix 파이프를 사용하여 자식 sshd 프로세스와 scp 서버 프로세스 간에

 

4) Secure Shell 권한 분리

 

Secure Shell은 권한 분리 기능을 통해 보다 향상된 수준의 보안을 제공한다. 부모 sshd 및 자식 sshd 프로세스는 권한이 부여된 사용자로 실행된다. 권한 분리를 활성화하면 사용자 연결당 하나의 추가 프로세스가 시작된다.

 

ssh 클라이언트가 권한 분리에 대해 구성된 sshd 서버에 연결하면 부모 sshd 프로세스가 권한이 부여된 자식 sshd 프로세스를 시작한다. 권한 분리를 활설화하면 자식 sshd 프로세스는 권한이 없는 자식 sshd 프로세스를 추가로 시작한다. 권한이 없는 자식 sshd 프로세스는 연결 소켓을 상속 받는다. 클라이언트와 서버 간의 모든 후속 통신은 권한이 없는 이 자식 sshd 프로세스를 사용하여 이루어진다.

 

클라이언트의 원격 명령 실행 요청은 대부분 비권한이며 권한이 없는 이 자식 sshd 프로세스에서 시작된 Shell에 의해 처리된다. 권한이 없는 자식 sshd 프로세스에서 권한이 부여된 기능을 실행해야 하는 경우 Unix 파이프를 사용하여 권한이 부여된 부모 sshd 프로세스와 통신한다.

 

권한 분리는 침입자에 의한 잠재적 손상을 제한하는데 도움이 된다. 예를 들어, Shell 명령을 실행하는 동안 버퍼 오버플로 공격이 발생할 경우 권한이 없는 프로세스 내에서 제어되므로 잠재적 보안 위험이 제한된다.

 

권한 분리는 Secure Shell의 기본 구성이다. sshd_config 파일에서 "UsePrivilegeSeparation NO"를 설정하여 권한 분리를 해제할 수 있다. 잠재적 권안 위험이 있으므로 권한 분리를 해제할 경우 신중하게 고려해야 한다.

 

5) Secure shell 인증

 

Secure Shell은 다음 인증 방법을 지원한다.

 

-GSS-API(Kerberos 기반 클라이언트 인증)

-공개 키 인증

-호스트 기반 인증

-암호 인증

 

클라이언트는 원격 sshd 데몬과 연결될 때 원하는 인증 방법(앞에 나열된 방법 중 하나)을 선택하고 연결 요청의 일부로 적절한 자격 증명을 제공하거나 서버에서 보낸 프롬프트에 응답한다. 모든 인증 방법이 이런 방식으로 작동한다.

 

서버가 성공적으로 연결을 설정하려면 클라이언트로부터 적절한 키. 암호구, 암호 또는 자격 증명을 받아야 한다.

 

sshd 인스턴스에서 보안 요구 사항을 기반으로 지원되는 인증 방법 중 일부만 지원하도록 선택할 수 있다.

 

Secure Shell은 앞에 나열된 인증 방법을 지원하지만 시스템 관리자가 환경의 특정 보안 요구 사항을 기반으로 sshd 인스턴스에서 제공되는 인증 방법을 제한할 수 있다. 예를 들어, Secure Shell 환경에서 모든 클라이언트가 공개 키 또는 Kerberos 방법을 사용하여 인증해야 한다고 지정할 수 있으며, 이로 인해 나머지 방법은 비활성화될 수 있다. 지원되는 인증 방법 활성화 및 비활성화는 sshd_config 파일에 지정된 구성 지시어를 통해 이루어진다.

 

ssh 클라이언트 연결 요청이 있으면 서버는 먼저 지원되는 인증 방법 목록으로 응답한다. 이 목록은 sshd 서버에서 지원하는 인증 방법과 이러한 방법이 시도되는 시퀀스를 나타낸다. 클라이언트는 이러한 인증 방법을 하나 이상 생략할 수 있다. 클라이언트에서 방법이 시도되는 시퀀스를 변경할 수도 있다. 이렇게 하려면 클라이언트 구성 파일 /etc/ssh/ssh_config의 구성 지시어를 사용한다.

 

Secure Shell에서 지원하는 인증 방법은 다음과 같이 요약되어 있다.

 

GSS-API(Kerberos 기반 클라이언트 인증)

 

Kerberos 기반 클라이언트 인증인 GSS-API(Generic Security Sservice application Programming Interface)를 사용하는 경우 클라이언트가 미리 Kerberos 자격 증명을 받아야 하며, 해당 클라이언트 디렉토리에 Kerberos 구성 파일이 있어야 한다.

 

클라이언트는 sshd 데몬과 연결될 대 연결 시 자격 증명을 제공한다.

 

서버는 이러한 자격 증명을 이 특정 사용자의 자격 증명 복사본과 일치 시킨다.

 

또한 선택적으로 클라이언트 호스트 환경의 타당성을 설정할 수 있다.

 

② 공개 키 인증

 

공개 키 인증을 사용하려면 Secure Shell 환경에 다음 설정이 있어야 한다..

 

클라이언트와 서버 둘 다에 키 쌍이 있어야 한다. 모든 ssh 클라이언트와 모든 sshd 서버가 ssh-keygen 유틸리티를 사용하여 자체적으로 키 쌍을 생성해야 한다.

 

클라이언트는 통신해야 하는 모든 sshd 서버에 해당 공개 키를 알려야 한다. 이렇게 하려면 각 클라이언트의 공개 키를 모든 관련 서버의 미리 지정된 디렉토리에 복사한다.

 

클라이언트는 통신해야 하는 모든 서버의 공개 키를 구해야 한다. 클라이언트는 ssh-keyscan 유틸리티를 사용하여 공개 키를 받는다.

 

이 설정이 완료 되면 sshd 서버에 연결하는 ssh 클라이언트가 공개 키와 개인 키를 사용하여 인증된다.

 

Secure Shell은 공개 키 인증을 단순화하는 추가 기능을 제공한다. 일부 환경에서는 항상 암호 프롬프트에 응답할 필요가 없도록 설정할 수 있다. 둘 다 클라이언트 시스템에서 실행되는 ssh-agent ssh-add 프로세스를 조합해서 사용하면 암호에 응답하지 않아도 된다. 클라이언트는 ssh-add 유틸리티를 통해 ssh-agent 프로세스에 모든 키 정보를 등록한다. 그런 다음 클라이언트와 서버 간의 공개 키 인증은 sshd 데몬이 클라이언트와 상호 작용할 필요 없이 ssh-agent에 의해 수행된다.

 

③ 호스트 기반 및 공개 키 인증

 

호스트 기반 및 공개 키 인증은 보다 안전한 공개 키 인증 방법의 확장이다.

 

클라이언트와 서버 둘 다의 키 쌍이 있는 것 외에도 이 방법을 사용하면 클라이언트 환경에서 통신할 서버를 제한할 수 있다.

 

클라이언트의 홈 디렉토리에 .rhosts 파일을 만들어 이 제한을 구현한다.

 

④ 암호 인증

 

암호 인증 방법은 단일 사용자-ID 및 암호 기반 로그인을 사용한다. 이 로그인은 /etc/passwd에 지정된 사용자 로그인을 기반으로 하거나 PAM 기반일 수 있다.

 

Secure Shell은 서버 시스템에서 사용할 수 있는 PAM 모듈과 완전히 통합된다. 이목적을 위해 /etc/ssh/sshd_config 파일에 UsePAM 구성 지시어가 있다. YES로 설정하면 클라이언트에서 암호 인증 요청이 있을 때마다 sshd PAM 구성 파일(/etc/pam.conf)을 확인한다. 그런 다음 구성된 PAM  모듈을 통해 암호 인증이 성공할 때까지 순서대로 수행한다.

 

PAM 인증을 무시하려면 UsePAM 지시어를 NO로 설정한다. 그러면 클라이언트에서 암호 인증 요청이 있을 때문다 sshd가 서버의 PAM 구성 설정을 무시한다. 대신 sshd gwtpwnam() 라이브러리 호출을 직접 호출하여 사용자 암호 정보를 가져온다.

 

Secure Shell PAM_UNIX, PAM_LDAP PAM_KERBEROS를 사용하여 테스트 되었다. 또한 PAM_DCE PAM_NTLM과 같은 다른 PAM 모듈에서 작동한다.

 

6) 통신 프로토콜

 

Secure Shell 사용자는 SSH-1 또는 SSH-2 프로토콜을 사용하여 원격 sshd 데몬과 연결할 수 있다. SSH-2가 더 안전하므로 SSH-1 대신 권장한다.

 

7) Secure Shell에서 사용하는 기능의 일부 목록

 

Secure Shell은 실제로 Shell이 아니라 호스트에서 인전하게 원격 shell 세션을 실행하기 위해 클라이언트와 원격 호스트 간에 보안 연결을 만드는 매커니즘이다. 보안 연결을 설정하기 위해 Secure Shell에서 인증과 세션 생성을 대부분 수행한다. Secure Shell에서 사용하는 기능의 일부 목록은 다음과 같다.

 

login 시도 기록

 

telnet 또는 remsh와 마찬가지로 Secure Shell은 성공한 세션과 실패한 세션을 각각 /var/adm/wtmp /var/adm/btmp 파일에 기록한다.

 

PAM 모듈

 

Secure Shell은 클라이언트 세션에 대해 PAM 인증을 사용할 수 있다. PAM 인증을 선택하면 Secure Shell /etc/pam.conf 파일을 사용하고 인증을 위해 해당 PAM 모듈을 호출한다.

 

/etc/default/security 파일 사용

 

로그인 동작 암호 및 기타 보안 구성을 정의하는 속성이 들어 있는 시스템 범위 구성 파일이다. 몇 가지 제한은 있지만 Secure Shell에서 이러한 속성을 사용할 수 있다.

 

Shadow passwd

 

Secure Shell Shadow passwd 기능과 통합된다.

 

⑤ 컨트롤 시스템 로그(syslog)

 

Secure Shell syslog를 사용하여 중요한 메시지를 남긴다.

 

⑥ 감사 로깅

 

Secure shell은 해당 코드로 감사 로깅(트러스트된 모드)을 구현했다.

 

8) 비밀번호 없이 SSH에 접속하는 방법

 

SSH 접속 시 비밀번호 없이 접속하는 방법은 다음과 같다.

 

ssh key 생성 (없는 경우만) 

$ ssh-keygen -t rsa

 

서버로 로컬에서 만든 공개키 복사 

$ scp ~/.ssh/id_rsa.pub [id]@[address]:id_rsa.pub

 

서버 접속 (일반접속) 

$ ssh [id]@[address]

 

로그인 후 개인폴더에 .ssh 폴더 생성 (있으면 pass) 

$ mkdir .ssh

 

.ssh폴더 권한 변경 

$ chmod 700 .ssh

 

공개키 인증키 목록에 추가 

$ cat id_rsa.pub >> .ssh/authorized_keys

 

필요없는 공개키 제거 

$ rm -f id_rsa.pub

 

인증키 목록 권한 수정 

$ chmod 644 .ssh/authorized_keys

 

서버 접속 

$ ssh -i ~/.ssh/id_rsa [id]@[address]

 

1.12 NTP(Network Time Protocol) 설정

 

NTP(Network Time Protocol)는 컴퓨터 클라이언트나 서버의 시간을 다른 서버나 라디오 또는 위성 수신기와 같은 참조할 수 있는 타임 소스 또는 모뎀에 동기화하는데 사용된다.

 

1) 세 가지 유형의 시간 서버(Time Server)

 

peer host_address [key #] [version #] [prefer]

 

- 로컬 서버가 호스트 주소로서 지정된 원격 서버와 함께 symmetric active 모드로 운영.

- 로컬 서버는 원격 서버에 맞추어 동기화 할수 있음.

 

server host_address [kery #] [version #] [prefer] [mode #] server

 

- 로컬 서버가 command에서 이름이 지정된 원격 서버와 함께 client 모드로 운영.

- 이 모드에서 로컬 서버는 원격 서버에 맞추어 동기화될 수 있지만 원격 서버는 로컬 서버에 동기화 할 수 없음.

 

broadcast host_address [key#] [version #] [ttl #]

 

로컬 서버가 broadcast 모드로 운영된다는 것을 지정한다. 이 모드에서 로컬 서버는 명령어에서 지정된 broadcast/multicast 주소의 클라이언트 무리에게 정기 적인 broadcast 메시지를 전송한다.

 

- key 주소에 전송된 모든 패킷이 지정된 키 번호를 사용하여 암호화된 인증 필드를 포함

- version outgoing NTP 패킷에 사용되는 버전 번호를 지정 Version , , 선택 기본 버전 번.

- prefer 호스트를 선택된 호스트로 표시,동기화를 위해 다른 비교 가능한 호스트보다 이 호스트가 선택.

 

2) NTP SERVER 설정. (server 모드) 방법

(sun>root)/etc/inet# cp ntp.server ntp.conf
(sun>root)/etc/inet# vi ntp.conf
# Either a peer or server.  Replace "XType" with a value from the
# table above.
#server 127.127.XType.0 prefer
#fudge 127.127.XType.0 stratum 0
server 127.127.1.0 ---> 언제나 로컬로 돌아갈수 있음.
server time.kriss.re.kr prefer
server 127.127.1.0
server gps.bora.net
server ntp.ewha.net
server time.bora.net
server time.nuri.net
server ntp2.gngidc.net
server time.kriss.re.kr
 
#broadcast 224.0.1.1 ttl 4 -->기본 설정 ( 네트웍내 여러개의 ntp 서버가 존재할 경우 변경)
broadcast 192.168.0.222 ttl 4
wq!

 

3) NTP SERVER 설정. (피어(peer) 모드) 방법

 

peer  gps.bora.net key 0 version 3 prefer --> server 모드와 동일 server 설정대신 peer 설정.

(sun>root)/etc/inet# /etc/init.d/xntpd start
(sun>root)/etc/inet# ps -ef | grep ntp
    root  479  400  0 08:40:55 pts/2    0:00 grep ntp
    root  456    1  0 08:23:07 ?        0:01 /usr/lib/inet/xntpd
(sun>root)/etc/inet# ntpq -p (NTP 서버에게 피어 리스트에 관해 질의)
    remote          refid      st t when poll reach  delay  offset    disp
==============================================================================
 sun            0.0.0.0        16 -    -  64    0    0.00    0.000 16000.0
 gps.bora.net    0.0.0.0        16 u  48  64    0    0.00    0.000 16000.0
(e220>root)/# snoop -d hme0 port 123
Using device /dev/hme (promiscuous mode)
192.168.0.222 -> gps.bora.net NTP  symmetric active (Fri Feb 24 08:35:26 2006)
gps.bora.net -> 192.168.0.222 NTP  server (Sat Jan 19 03:58:31 2002)
        e220 -> 192.168.0.222 NTP  client (Fri Feb 24 08:35:46 2006)
192.168.0.222 -> e220        NTP  server (Fri Feb 24 08:35:47 2006)

 

4) NTP Client 설정

(sun>root)/etc/inet# cp ntp.client ntp.conf

 

기본 ntp.client 파일은 multicast를 사용하여 ntp 업데이트를 수신한다. NTP 클라이언트가 이러한 업데이트를 수신할 수 있는 장소를 제한하려는 경우 이것을 broadcast로 변경한다.(broadcast 패킷은 다른 서브넥에 전달되지 않는 반면 multicast 패킷은 전달 된다.)

(sun>root)/etc/inet# /etc/init.d/xntpd start
#multicastclient 224.0.1.1 --> 기본설정
server 192.168.0.222
wq!
 
(sun>root)/etc/inet# ps -ef | grep ntp
    root  479  400  0 08:40:55 pts/2    0:00 grep ntp
    root  456    1  0 08:23:07 ?        0:01 /usr/lib/inet/xntpd
(sun>root)/etc/inet#
(sun>root)/etc/inet# ntpq -p
    remote          refid      st t when poll reach  delay  offset    disp
==============================================================================
 sun            0.0.0.0        16 -    -  64    0    0.00    0.000 16000.0
 gps.bora.net    0.0.0.0        16 u  48  64    0    0.00    0.000 16000.0
 

 

remote-원격 피어, refid-피어가 동기화되는 호스트, st-stratum 번호, t-유형 즉 unicast, multcst, local( - = 알수 없음), poll-초 단위 폴링 간격, reach-도달 가능성 레지스터

 

* 원격에서 현재 선택된 피어를 나타낸다.

+ 호스트가 동기화에 대한 수락 가능한 피어이지만 수락되지 않았음을 나타냄.

_ 수락 불가능

 

1.13 PAM 프로그래밍

 

아래 소스 코드는 PAM 모듈의 기본 형태로 "#if 0"으로 막혀 있는 부분에 통제를 할 수 있는 코드를 넣어 두면 원하는 동작(차단 또는 허용, 로그 기록)을 쉽게 처리할 수 있다. 

/* pam_test.c */
 
#include <stdio.h>
#include <stdlib.h>
#include <security/pam_appl.h>
#include <security/pam_modules.h>
 
#ifdef PAM_MODULE_ENTRY
PAM_MODULE_ENTRY("pam_test");
#endif
 
#ifndef PAM_EXTERN
#define PAM_EXTERN extern
#endif
 
PAM_EXTERN int pam_sm_setcred(pam_handle_t *pamh, int flags, int argc, const char **argv) {
    return PAM_SUCCESS;
}
 
PAM_EXTERN int pam_sm_acct_mgmt(pam_handle_t *pamh, int flags, int argc, const char **argv) {
    return PAM_SUCCESS;
}
 
PAM_EXTERN int pam_sm_close_session(pam_handle_t *pamh, int flags, int argc, const char **argv) {
    return PAM_SUCCESS;
}
 
PAM_EXTERN int pam_sm_open_session(pam_handle_t *pamh, int flags, int argc, const char **argv) {
    return PAM_SUCCESS;
}
 
PAM_EXTERN int pam_sm_chauthtok(pam_handle_t *pamh, int flags, int argc, const char **argv) {
    return PAM_SUCCESS;
}
 
/* expected hook, this is where custom stuff happens */
PAM_EXTERN int pam_sm_authenticate(pam_handle_t *pamh, int flags,int argc, const char **argv) {
#if 0
    // 아래 조건을 만족하지 못할 경우 로그인 실패로 처리함
    if (check_auth_pam(pamh) < 0)
        return PAM_PERM_DENIED;
#endif
    return PAM_SUCCESS;
}

 

위에 있는 pam_sm_...으로 된 함수들이 사용자가 임으로 추가한 함수가 아니라 PAM에서 기본 함수들로서 해당 함수 부분에 원하는 동작 코드를 넣도록 되어 있다.

 

PAM 모듈 자체가 기존에 동작하는 telnet이나, ssh, login 등의 바이너리에 동적 라이브러리 형태로 붙기 때문에 위 코드에 삽입한 코드들은 로그인과 동시에 해당 서버로의 접속자의 모든 상황들을 감시하고 제어할 수 있다.

 

1.14 PAM 컴파일 방법

 

PAM 인증 모듈은 Solaris의 특성별 OS에서 제공하는 최적화 옵션에 따라 컴파일 하는 방법은 다음과 같다.

> sudo gcc --std=gnu99 -Wall -O2 -D_POSIX_PTHREAD_SEMANTICS -D_REENTRANT -g -c baro-auth.c
> sudo gcc --std=gnu99 -Wall -O2 -D_POSIX_PTHREAD_SEMANTICS -D_REENTRANT -g -o baro-auth   baro-auth.o
> sudo gcc -std=gnu99 -D_POSIX_PTHREAD_SEMANTICS -fPIC -Wall -O2 -g -I/usr/local/ssl/include -c base64.c
> sudo gcc -std=gnu99 -D_POSIX_PTHREAD_SEMANTICS -fPIC -Wall -O2 -g -I/usr/local/ssl/include -c xxtea.c
> sudo gcc -std=gnu99 -D_POSIX_PTHREAD_SEMANTICS -fPIC -Wall -O2 -g -I/usr/local/ssl/include -c
pam_baro_auth.c xxtea.h base64.h
> sudo gcc -G -rdynamic -shared -fPIC -Wall -O2 -o pam_baro_auth.so pam_baro_auth.o base64.o xxtea.o -lssl -lcrypto -lpam  -ldl -lz -lc

 

PAM 프로그램 컴파일할 때 반드시 sudo 명령어를 사용하여 컴파일 해야 한다. 그렇지 않으면 다음과 같은 오류가 발생한다.

Oct 26 05:16:23 baropam sshd[1452]: [ID 437441 auth.alert] open_module[0:/etc/pam.d/other]: module /usr/baropam/pam_baro_auth.so writable by group
Oct 26 05:16:23 baropam sshd[1452]: [ID 625676 auth.error] load_modules[0:/etc/pam.d/other]: can not open module /usr/baropam/pam_baro_auth.so

 

sudo 명령어는 유닉스 및 유닉스 계열 운영 체제에서 다른 사용자의 보안권한과 관련된 프로그램을 구동할 수 있게 해주는 프로그램이다.

 

이것은 substitute user do (다른 사용자의 권한으로 명령을 이행하라, 는 뜻이다.) 의 줄임말이다.

 

기본적으로 Sudo는 사용자 비밀번호를 요구하지만 루트 비밀번호(root password)가 필요할 수 도 있고, 한 터미널에 한번만 입력하고 그 다음부터는 비밀번호가 필요 없다.

 

Sudo는 각 명령줄에 사용할 수 있으며 일부 상황에서는 관리자 권한을 위한 슈퍼유저 로그인(superuser login)을 완벽히 대신하며, 주로 우분투, 리눅스와 애플의 OS X 에서 볼 수 있다.

 

참고로 PAM 프로그램 컴파일할 때 필요한 기본적인 환경변수인 PATH(명령어 입력시 경로를 입력하지 않고 실행가능), LD_LIBRARY_PATH(외부 라이브러리를 링크할 때 참조할 경로)를 다음과 같이 설정한다.

export PATH=$HOME/bin:/usr/bin:/usr/ccs/bin:/usr/local/bin:/usr/ucb:/usr/sfw/bin:$HOME/shell:/usr/sbin:.:$PATH
export LD_LIBRARY_PATH=/usr/lib:/usr/ccs/lib:/lib:/usr/ucb:/usr/local/ssl/lib:/usr/sfw/lib:/usr/dt/lib:
/usr/openwin/lib:.:$LD_LIBRARY_PATH

 

PAM을 컴파일하기 위해서는 암복호화 모듈에 "openssl" 라이브러리를 사용하므로 반드시 "openssl"을 다음과 같은 명령어로 설치해야 한다.

> pkg install openssl

 

만약, 인증 관련해서 시스템에 로그 메시지를 남기고 싶은 경우 syslog.conf에 설정해야 한다.

 

1.15 PAM 디버그 사용

 

PAM (Pluggable Authentication Modules) 라이브러리는 실행 중에 디버그 정보를 제공 할 수 있다.

 

시스템이 디버그 출력을 수집하도록 설정한 후에는 수집된 정보를 사용하여 PAM API 호출을 추적하고 현재 PAM 설정에서 오류 지점을 확인할 수 있다.

 

PAM 디버그 출력을 사용하려면 다음 단계를 완료 해야 한다.

 

step 1) /etc/syslog.conf 파일을 편집하여 원하는 우선 순위 수준에서 syslog 메시지를 로깅 할 파일을 식별한다.

 

예를 들어 PAM 디버그 수준 메시지를 /var/log/auth.log 파일에 보내려면 다음 텍스트를 syslog.conf 파일의 새 행으로 추가해야 한다.

*.debug /var/log/auth.log

 

step 2) touch 명령을 사용하여 1 단계에서 참조한 출력 파일 (/var/log/auth.log)이 존재하지 않으면 작성해야 한다.

 

step 3) 구성 변경 사항이 인식되도록 syslogd 데몬을 다시 시작하려면 다음 단계를 완료 해야 한다.

> /etc/init.d/syslog start | stop

 

PAM 응용 프로그램이 다시 시작되면 /etc/syslog.conf 구성 파일에 정의된 출력 파일에 디버그 메시지가 수집된다.

 

1.16 PAM 테스트 방법

 

PAM 프로그램 컴파일 또는 PAM 구성 환경 변경 후 sshd restart하지 않고 테스트 할 수 있는 방법은 다음과 같이 진행 할 수 있다.

 

1) sshd 데몬 기동하기

 

sshd 데몬(22000 포트)을 디버깅 모드로 띄우기 위하여 다음과 같은 명령어를 수행한다.

> ps -ef|grep sshd
    root  1339     1   0 05:12:11 ?           0:00 /usr/lib/ssh/sshd
> /usr/lib/ssh/sshd -D -p22000 -d

 

2) ssh로 접속하기

 

sshd 데몬(22000 포트) ssh로 접속하기 위하여 다음과 같은 명령어를 수행한다.

> ssh -v -p22000 root@1.234.83.169

 

 

2. BaroPAM 설치

2.1 BaroPAM 설치 전 준비사항

PAM 모듈을 사용하기 위해서는 기본적으로 PAM 패키지가 반드시 설치되어 있어야 한다. 설치 확인은 다음의 명령어를 실행하여 확인한다.

[root] /root > ls /usr/lib/security
32                      pam_authtok_check.so    pam_krb5_keytab.so.1    pam_tty_tickets.so
64                      pam_authtok_check.so.1  pam_krb5_migrate.so     pam_tty_tickets.so.1
amd64                   pam_authtok_common      pam_krb5_migrate.so.1   pam_unix_account.so
audit_binfile.so        pam_authtok_get.so      pam_krb5_only           pam_unix_account.so.1
audit_binfile.so.1      pam_authtok_get.so.1    pam_krb5_optional       pam_unix_auth.so
audit_remote.so         pam_authtok_store.so    pam_ldap.so             pam_unix_auth.so.1
audit_remote.so.1       pam_authtok_store.so.1  pam_ldap.so.1           pam_unix_cred.so
audit_syslog.so         pam_deny.so             pam_list.so             pam_unix_cred.so.1
audit_syslog.so.1       pam_deny.so.1           pam_list.so.1           pam_unix_session.so
crypt_bsdbf.so          pam_dhkeys.so           pam_passwd_auth.so      pam_unix_session.so.1
crypt_bsdbf.so.1        pam_dhkeys.so.1         pam_passwd_auth.so.1    pam_user_policy.so
crypt_bsdmd5.so         pam_dial_auth.so        pam_rhosts_auth.so      pam_user_policy.so.1
crypt_bsdmd5.so.1       pam_dial_auth.so.1      pam_rhosts_auth.so.1    pam_zfs_key.so
crypt_sha256.so         pam_gss_s4u             pam_roles.so            pam_zfs_key.so.1
crypt_sha256.so.1       pam_gss_s4u.so          pam_roles.so.1          pkcs11_kernel.so
crypt_sha512.so         pam_gss_s4u.so.1        pam_sample.so           pkcs11_kernel.so.1
crypt_sha512.so.1       pam_krb5.so             pam_sample.so.1         pkcs11_softtoken.so
crypt_sunmd5.so         pam_krb5.so.1           pam_smbfs_login.so      pkcs11_softtoken.so.1
crypt_sunmd5.so.1       pam_krb5_first          pam_smbfs_login.so.1    pkcs11_tpm.so
pam_allow.so            pam_krb5_keytab         pam_tsol_account.so     pkcs11_tpm.so.1
pam_allow.so.1          pam_krb5_keytab.so      pam_tsol_account.so.1

 

서버/네트워크 장비에 접속하여 PAM 모듈을 사용하기 위해서는 신뢰성 있고 안전한 ssh, sftp 서비스를 제공하기 위하여 OpenSSH(Open Secure Shell) 패키지가 반드시 설치되어 있어야 한다. 설치 확인은 다음의 명령어를 실행하여 확인한다. 만약, 설치되어 있지 않으면 "pkg install pkg://solaris/service/network/ssh" 명령어로 설치하면 된다.

[root] /root > ssh -V
Sun_SSH_2.2, SSH protocols 1.5/2.0, OpenSSL 0x1000110f

 

BaroPAM 인증 모듈을 다운로드 및 설치하기 위해서 root 계정으로 접속한 후 모듈을 다운로드 및 설치하기 위한 디렉토리(/usr/baropam)를 다음과 같이 생성한다.

[root]# mkdir /usr/baropam

 

BaroPAM 모듈을 다운로드 및 설치하기 위한 디렉토리의 권한(읽기, 쓰기, 실행)을 다음과 같이 부여한다.

[root]# chmod -R 777 /usr/baropam

 

2.2 BaroPAM 설치 모듈 다운로드

 

BaroPAM 인증 모듈은 root 계정으로 접속한 후 모듈을 다운로드 및 설치하기 위한 디렉토리(/usr/baropam)로 이동하여 모듈을 다운로드 하는 방법은 다음과 같다.

[root] /usr/baropam > wget http://nuriapp.com/download/libpam_baro_auth-x.x.tar

 

BaroPAM 인증 모듈의 다운로드가 완료되면 tar 파일의 압축을 해제하는 방법은 다음과 같다.

[root] /usr/baropam > tar -xvf libpam_baro_auth-x.x.tar

 

BaroPAM 인증 모듈의 압축을 해제하면 baropam 디렉토리에 다음과 같은 BaroPAM 관련 모듈이 생성된다.

[root] /usr/baropam > ls -al
합계 180
drwxrwxrwx  7 root root   4096  8 23 09:59 .
drwxr-xr-x 17 root root   4096  2 10  2017 ..
-rw-r--r--  1 root root      8  6 22 14:51 .baro_acl
-r--r--r--  1 root root    279  8 23 09:59 .baro_auth
-rwxr-xr-x  1 root root  43996  8 21 07:06 baro_auth
-rwxr-xr-x  1 root root 115780  8 21 10:02 pam_baro_auth.so
-rw-r--r--  1 root root    192  8 21 07:08 setenv.sh

 

2.3 BaroPAM 환경 설정 파일 생성

 

BaroPAM 환경 설정 파일은 baro_auth 프로그램을 실행하여 반드시 생성하는데, BaroPAM 인증 모듈의 디렉토리인 /usr/baropam 밑에 위치 하도록 한다.

 

형식)

baro_auth -r rate_limit -R rate_time -t cycle_time –c corr_time –k key_method –e encrypt_flag -H hostname -A acl_type -a acl_filename -S secure_key -s filename

BaroPAM 환경설정 파일의 설정 옵션에 대한 내용은 다음과 같다. 

옵션 설명 설정값 비고
-r 일회용 인증키의 제한 횟수(1~10) 설정 3  
-R 일회용 인증키 제한시간(, 15~600) 설정. 30  
-t 일회용 인증키 생성주기(, 3~60) 30  
-c 일회용 인증키 보증오차시간() 0  
-k 일회용 인증키 생성 방식(app1, app256, app384, app512: 어플, card1, card256, card384, card512: 인증카드) app512  
-e 환경설정 파일의 암호화 여부(yes or no) no  
-H 정보자산의 호스트명(uname –n) nurit.co.kr  
-A 2차 인증에서 허용(allow) 또는 제외(deny) 구분 deny  
-a 2차 인증에서 허용 또는 제외할 계정에 대한 ACL 파일명(파일 접근권한은 444) /usr/baropam/.baro_acl  
-S Secure key(라이선스 키) Ri5+xgVdtEBJGlrSD2hvituZxAq0vttx  
-s BaroPAM 환경설정 파일을 생성할 디렉토리를 포함한 파일명 /usr/baropam/.baro_auth  

 

주의) –s 옵션의 filenameBaroPAM 환경설정 파일을 생성할 디렉토리를 포함한 파일명(파일 접근권한은 444)이며, 설정한 정보자산 호스트명(hostname)이 맞지 않는 경우 BaroPAM이 정상적으로 작동되지 않을 수 있으니, 호스트명(hostname)가 변경되는 경우 반드시 환경 설정의 해당 항목에 반영해야 한다.

 

사용 예)

[root] /usr/baropam > ./baro_auth -r 3 -R 30 -t 30 –c 0 –k app512 –e no -H nurit.co.kr -A deny -a /usr/baropam/.baro_acl -S Ri5+xgVdtEBJGlrSD2hvituZxAq0vttx -s /usr/baropam/.baro_auth

만약, 계정마다 BaroPAM 환경 설정파일을 각각 설정하는 경우 해당 계정으로 접속하여 작업을 진행한다.(Not root) 

[root] /usr/baropam > ./baro_auth -r 3 -R 30 -t 30 –c 0 –k app512 –e no -H nurit.co.kr -A deny -a ~/.baro_acl -S Ri5+xgVdtEBJGlrSD2hvituZxAq0vttx -s ~/.baro_auth

1) Your emergency scratch codes are :

 긴급 스크래치 코드는 일회용 인증키 생성기인 BaroPAM을 사용할 수 없을 때 분실한 경우를 대비하여 SSH 서버에 다시 액세스하는데 사용할 수 있는 접속이 가능한 Super 인증키 이므로 어딘가에 적어 두는 것이 좋다.

 

2) 다음에 나오는 물음에 대해서는 모두 "y"를 입력한다.

   중간자(man-in-the-middle) 공격을 예방할 것인가? y

   같은 일회용 인증키는 하나의 계정 외에 다른 계정에도 로그인이 가능하게 할 것인가? y

   일회용 인증키의 제한 시간을 30초로 지정할 것인가? y

 

BaroPAM 환경 설정 파일인 .baro_auth에 설정한 내용은 다음과 같다. 

[root] /usr/baropam > cat .baro_auth
" AUTH_KEY
" RATE_LIMIT 3 30
" KEY_METHOD app512
" CORR_TIME 0
" CYCLE_TIME 30
" SECURE_KEY Ri5+xgVdtEBJGlrSD2hvituZxAq0vttx
" ACL_NAME /usr/baropam/.baro_acl
" ACL_TYPE deny
" HOSTNAME nurit.co.kr
" WINDOW_SIZE 17
" DISALLOW_REUSE
33458936
19035576
15364353
54649370
84342192

BaroPAM 환경설정 파일인 .baro_auth의 설정 항목에 대한 내용은 다음과 같다. 

항목 설명 설정값 비고
AUTH_KEY 인증 구분자(고정)    
RATE_LIMIT 일회용 인증키 제한 횟수(1~10), 제한시간(, 15~600) 설정. 3 30  
KEY_METHOD 일회용 인증키 생성 방식(app1, app256, app384, app512: 어플, card1, card256, card384, card512: 인증카드) app512  
CORR_TIME 일회용 인증키 보증오차시간() 0  
CYCLE_TIME 일회용 인증키 생성주기(, 3~60) 30  
SECURE_KEY Secure key(라이선스 키) WSa1MUyG+aaiJ1JS/uqtXuBSoRBIIZOL  
HOSTNAME 정보자산 호스트명(uname –n) nurit.co.kr  
ACL_TYPE 2차 인증에서 허용(allow) 또는 제외(deny) 구분 deny  
ACL_NAME 2차 인증에서 허용 또는 제외할 계정에 대한 ACL Filename(파일 접근권한은 444) /usr/baropam/.baro_acl  
WINDOW_SIZE 현재 시간을 기준으로 일회용 인증키의 보정시간(-7~7) 17  
DISALLOW_REUSE
or
ALLOW_REUSE
중간자(man-in-the-middle) 공격을 예방할 경우는 "DISALLOW_REUSE"을 설정한 경우 일회용 인증키의 생성 주기 동안은 다른 사용자가 로그인 할 수 없으며, 만약 허용할 경우는 "ALLOW_REUSE"을 설정한다. DISALLOW_REUSE  

 

2.4 BaroPAM 환경 설정

 

BaroPAM 모듈을 설정하기 위해서 sshd 파일에 설정하는 방법은 다음과 같이 최 상단에 입력해 준다.

[root] /usr/baropam > vi /etc/pam.d/other
#
# Copyright (c) 2012, Oracle and/or its affiliates. All rights reserved.
#
# PAM configuration
#
# Default definitions for Authentication management
# Used when service name is not explicitly mentioned for authentication
#
auth required           /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth encrypt=no

 

참고로 secret 파라미터는 BaroPAM 환경설정 파일명이며, encrypt BaroPAM 환경설정 파일을 암복호 플래그(yes or no)이다.

 

만약, 계정마다 BaroPAM 환경 설정파일을 각각 설정하는 경우 BaroPAM 모듈을 설정하기 위해서 sshd 파일에 설정하는 방법은 다음과 같이 최 상단에 입력해 준다.

[root] /usr/baropam > vi /etc/pam.d/other
#
# Copyright (c) 2012, Oracle and/or its affiliates. All rights reserved.
#
# PAM configuration
#
# Default definitions for Authentication management
# Used when service name is not explicitly mentioned for authentication
#
auth required           /usr/baropam/pam_baro_auth.so nullok secret=${HOME}/.baro_auth encrypt=no

* "nullok"BaroPAM이 설정되어 있지 않은 계정의 경우에는 2차 인증(추가 인증)을 생략한다는 의미이다.

  

filezilla 처럼 "Interactive process"가 불가능한 프로그램들을 위해서는 PAM에서 forward_pass 옵션을 사용하여 암호 입력 시에 암호와 일회용 인증키를 같이 입력하도록 하는 수 밖에 없다. 이 경우, openssh clientWindows RDP(Remote Desktop Protocol), VMWare Horizon, filezilla 등 모두 이렇게 입력을 하는 수 밖에 없다. 

[root] /usr/baropam > vi /etc/pam.d/sshd
#%PAM-1.0
auth       required     /usr/baropam/pam_baro_auth.so forward_pass secret=/usr/baropam/.baro_auth encrypt=no

forward_pass를 이용하여 암호 입력창(Password & verification code:)에 암호와 같이 일회용 인증키를 입력할 경우, 암호를 먼저 입력하고 공백 없이 이어서 일회용 인증키를 입력하면 된다. 예를 들어 암호가 "baropam" 이고 일회용 인증키 "123456" 이라면 "baropam123456"으로 입력하면 됩니다. 

forward_pass를 이용하면 인증을 필요로 하는 대부분의 서비스에 2-factor 인증을 가능하게 할 수 있다. 

[root] /usr/baropam > vi /etc/pam.d/su
#%PAM-1.0
auth       required     /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth encrypt=no

/etc/pam.d/su 파일에 BaroPAM 모듈을 최 상단에 추가하면 "su" 명령어로 일반계정이 "root"로 권한 상승을 시도하는 경우에도 2차 인증(추가 인증)을 적용할 수 있어서 보안이 한층 더 향상된다. 

$ su - root
Verification code:

 

sshd 데몬 설정을 위한 설정 파일인 /etc/ssh/sshd_config 파일의 내용 중 다음과 같은 인자는 변경이 필요하다.

인자 기존 변경 비고
PasswordAuthentication yes no  
ChallengeResponseAuthentication no yes 이전
KbdInteractiveAuthentication no yes 최신
UsePAM no yes  

 

sshd 설정이 끝나면 반드시 PAM 모듈이 제대로 추가되었는지 확인한 후 SSH Server Restart 작업이 반드시 필요하다.

[root] /usr/baropam > svcadm restart ssh 

 

sshd 설정이 끝나면 반드시 PAM 모듈이 제대로 추가되었는지 확인한 후 시스템을 재부팅해야 한다.

 

BaroPAM 모듈 사용 시 2차 인증에서 제외할 계정에 대한 ACL에 제외 해야 하는 경우 BaroPAM 환경 설정 시 설정한 디렉토리에 ACL 파일을 생성한 후 제외할 계정을 다음과 같이 입력한다. (.baro_acl에 대한 파일 접근권한을 644로 설정해야 한다.)

[root] /usr/baropam > vi .baro_acl
barokey
baropam

 

정보자산 시간이 현재 시간과 다를 경우 일회용 인증키와 매칭이 되지 않아 일회용 인증키가 맞질 않으므로 시간을 같게 시간 동기화 해야 한다.

 

최근에는 서버/네트워크 장비에 대한 시간 동기화(타임서버 시간 동기화)하는 방법으로 NTP(Network Time Protocol)을 이용하여 root 계정에서 시스템의 시각을 현재 시각으로 설정할 수 있다. ("1.12 NTP(Network Time Protocol) 설정" 참조)

1) /etc/default/init 또는 /etc/TIMEZONE(init의 심볼릭 링크파일)에서 설정을 변경
   ) 대한민국 시간으로 설정
   TZ=ROK

 

PAM구성 파일이 잘못 구성되거나 파일이 손상될 경우 사용자가 로그인하지 못하게 될 수 있다. sulogin 명령은 PAM을 사용하지 않으므로 시스템을 단일 사용자 모드로 부트하고 문제를 수정하려면 root 암호가 필요할 수 있다.

 

단일 사용자 모드로 부팅을 하는 이유는 다음과 같이 여러 가지가 있다.

 

1) / /usr 을 제외한 파일시스템을 fsck 로 검사하거나 치료할 때

2) 관리자(root) 패스워드를 잊어 버렸을 때

3) /etc/fstab 파일을 잘못 수정하여 부팅이 제대로 안될 때

 

 

3. BaroPAM 적용

 

3.1 BaroPAM 적용 프로세스

 

 

3.2 BaroPAM 적용 화면

 

 

3.3 Solaris 로그인 방법

 

먼저, "BaroPAM Setup" 화면에서 입력한 "인증주기, Secure key, 서버명""BaroPAM" 앱의 "서버 정보 등록" 화면에서 동일하게 입력해야 한다.

 

 

Linux/Unix 환경에 로그인 시 사용자 계정(Username)을 입력하고, 스마트 폰의 "BaroPAM" 앱에서 일회용 인증키를 생성한 후 "Verification code"에 생성한 일회용 인증키 "Password"를 입력한 후 "Enter" 버튼을 클릭하면 BaroPAM 모듈에 인증을 요청하여 검증이 성공하면 Linux/Unix의 로그인 인증 정책이 작동된다.

 

 

Linux/Unix의 로그인 화면에서 입력한 일회용 인증키BaroPAM 검증모듈에서 인증에 실패하면 "Access deeied." 메시지가 로그인 화면에 나타난다. BaroPAM의 인증과 관련한 각종 메시지는 syslog에 남긴다.

 

Mar 25 11:10:42 qsh-0415 sshd[27482]: pam_unix(sshd:session): session closed for user root
Mar 25 13:52:25 qsh-0415 sshd(pam_baro_auth)[2052]: Try to update RATE_LIMIT line.[3 30 1648183945]
Mar 25 13:52:45 qsh-0415 sshd[2050]: Accepted keyboard-interactive/pam for root from 222.108.117.41 port 49835 ssh2
Mar 25 13:52:45 qsh-0415 sshd[2050]: pam_unix(sshd:session): session opened for user root by (uid=0)
Mar 25 15:25:47 qsh-0415 sshd(pam_baro_auth)[14119]: Try to update RATE_LIMIT line.[3 30 1648189547]
Mar 25 15:25:49 qsh-0415 sshd(pam_baro_auth)[14119]: Verification code generation failed.[Success]
Mar 25 15:25:49 qsh-0415 sshd(pam_baro_auth)[14119]: Invalid verification code
Mar 25 15:25:51 qsh-0415 sshd[14118]: Received disconnect from 222.108.117.41: 13: The user canceled au

 

 

3.4 ssh/sftp 접속

 

putty인 경우)

 

Putty로 접속할 때 보통 접속 과정과 동일하게 해주시면 되는데, 하나 설정해 주어야 할 것이 있다. 환경 설정에서 "connection -> SSH -> auth"에서 attempt "Keyboard-Interactive" auth(SSH-2)를 선택한 후 SSH 접속을 하면 된다.

Putty Download Documentation 관련 자료는 다음 URL에서 찾을 수 있다.

https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

 

"Verification code"를 입력하라는 메시지가 표시되면 BaroPAM에서 생성한 일회용 인증키를 입력한다.

 

인증에 성공하면 다음과 같이 SSH 로그인 비밀번호를 입력 할 수 있다.

Mobile SSH인 경우)

 

"Verification code"를 입력하라는 메시지가 표시되면 BaroPAM에서 생성한 일회용 인증키를 입력한다.

 

인증에 성공하면 다음과 같이 SSH 로그인 비밀번호를 입력 할 수 있다.

FileZilla인 경우) 

FileZilla로 접속할 때 보통 접속 과정과 다른데, 상단 왼쪽 메뉴에서 "파일(F) -> 사이트 관리자(S)"를 선택하여 일반 탭 화면에서 "프로토콜(t):" 항목에서 "SFTP – SSH File Transfer Protocol""로그온 유형(L):" 항목에서 "인터랙티브"를 선택한 후 다음과 같이 "연결(C)" 버튼을 클릭한다. 

그러면 다음과 같이 비밀번호 입력 화면이 나타난다. 비밀번호 입력 화면에서 "시도:" 내용을 확인하고, 스마트 폰에서 생성한 일회용 인증키"비밀번호(P):" 입력 항목에 입력한 후 "확인(O)" 버튼을 클릭한다. 

그러면 다음과 같이 비밀번호 입력 화면이 나타난다. 비밀번호 입력 화면에서 "시도:" 내용을 확인하고, 로그인 계정에 대한 비밀번호를 "비밀번호(P):" 입력 항목에 입력한 후 "확인(O)" 버튼을 클릭하여 서버에 접속한다. 

SFTP인 경우) 

"Verification code"를 입력하라는 메시지가 표시되면 BaroPAM에서 생성한 일회용 인증키를 입력한다.

 

인증에 성공하면 다음과 같이 FTP 로그인 비밀번호를 입력 할 수 있다.

SecureFX Download Documentation 관련 자료는 다음 URL에서 찾을 수 있다.

https://www.vandyke.com/

결론적으로, 2차 인증은 추가 보호 계층을 추가하여 암호 인증을 보호하는 효과적인 수단이 될 수 있으며, 사용 여부와 상관없이 사용자의 선택에 달려 있지만 2차 인증의 채택은 산업의 동향 있다.

 

만약, Apr 18 12:01:10 localhost sshd[2280]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"와 같은 오류가 발생하는 경우 "/etc/pam.d/system-auth"에 설정 된 uid 1000 보다 크거나 같으면 인증을 수행하도록 되어 있는 것을 uid 500 보다 크거나 같으면 인증을 수행하도록 값을 변경한 후 sshd를 재시작하면 된다.

[root] /root > vi /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
 
account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
 
password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so
 
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

 

2.6 BaroPAM 환경 제거

 

BaroPAM이 설치된 상태에서 BaroPAM 모듈을 사용하지 않을 경우 sshd 파일에 설정한 내용을 제거하는 방법은 다음과 같이 주석(#) 처리나 삭제하면 된다.

[root] /usr/baropam > vi /etc/pam.d/other
#
# Copyright (c) 2012, Oracle and/or its affiliates. All rights reserved.
#
# PAM configuration
#
# Default definitions for Authentication management
# Used when service name is not explicitly mentioned for authentication
#
#auth required           /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth

 

sshd 데몬에 설정한 /etc/ssh/sshd_config 파일의 내용 중 다음과 같은 인자를 변경해야 한다.

인자 기존 변경 비고
PasswordAuthentication no yes  
ChallengeResponseAuthentication yes no  
UsePAM yes no  

 

sshd 설정이 끝나면 반드시 PAM 모듈이 제대로 제거되었는지 확인한 후 SSH Server Restart 작업이 반드시 필요하다.

[root] /usr/baropam > svcadm restart ssh
 

 

sshd 설정이 끝나면 반드시 PAM 모듈이 제대로 제거되었는지 확인한 후 시스템을 재부팅해야 한다.

 

 

5. BaroPAM FAQ

 

현상 : 일회용 인증키가 맞지 않아서 로그인을 하지 못하는 경우

원인 : BaroPAM은 시간 동기화 방식으로 폰과 Windows Server의 시간이 동일해야 함,

조치 : 폰과 Windows Server의 시간이 맞는지 확인.

 

현상 : Feb  7 07:59:09 eactive sshd(pam_baro_auth)[29657]: ACL file ".baro_acl" must only be accessible by user id root

원인 : .baro_acl 파일의 Permission이 다름.

조치 : .baro_acl 파일의 Permission 444로 설정.

 

현상 : Feb  7 08:02:15 eactive sshd(pam_baro_auth)[29739]: Failed to acl file read ".baro_acl"

원인 : .baro_acl 파일이 존재하지 않는 경우에 발생.

조치 : baropam 홈 디렉토리에 .baro_acl 파일을 생성.(Permission 444로 설정)

 

현상 : Cannot look up user id xxxxx

원인 : 사용자 ID xxxxx를 조회 할 수 없는 경우 발생.

조치 : /etc/passwd 파일에 user id xxxxx를 등록.

 

현상 : Failed to secret file read .baro_auth

원인 : 사용자 ID xxxxx를 조회 할 수 없는 경우 발생.

조치 : /etc/passwd 파일에 user id xxxxx를 등록.

 

현상 : Failed to secret file read

원인 : Secret file이 존재하지 않은 경우에 발생.

조치 : Secret file의 존재여부를 확인.

 

현상 : Secret file .baro_auth must only be accessible by root

원인 : .baro_auth 파일의 Permission이 다른 경우에 발생.

조치 : .baro_auth 파일의 Permission 444로 설정.

 

현상 : Invalid file size for .baro_auth

원인 : .baro_auth 파일의 크기가 1 < size < 64K 가 아닌 경우 발생.

조치 : .baro_auth 파일의 크기를 확인.

 

현상 : Could not read .baro_auth

원인 : .baro_auth 파일이 존재하지 않거나 파일의 Permission 444가 아닌 경우 발생.

조치 : .baro_auth 파일의 존재여부 및 파일의 Permission를 확인.

 

현상 : Invalid file contents in .baro_auth

원인 : .baro_auth 파일의 내용(규칙)이 잘못된 경우에 발생.

조치 : .baro_auth 파일의 내용을 확인.

 

현상 : Failed to create tmp secret file[error message]

원인 : 임시 secret file을 생성하지 못한 경우에 발생.

조치 : 임시 secret file을 생성하지 못한 이유는 error message를 확인.

 

현상 : Failed to open tmp secret file .baro_auth~[error message]

원인 : 임시 secret file .baro_auth~을 오픈하지 못한 경우에 발생.

조치 : 임시 secret file .baro_auth~을 오픈하지 못한 이유는 error message를 확인.

 

현상 : Secret file .baro_auth changed while trying to use scratch code

원인 : 스크래치 코드를 사용하는 동안 비밀 파일 .baro_auth가 변경된 경우 발생.

조치 : 다시 로그인을 시도.

 

현상 : Failed to update secret file .baro_auth[error message]

원인 : secret file을 변경하지 못한 경우에 발생.

조치 : secret file을 변경하지 못한 이유는 error message를 확인.

 

현상 : Invalid RATE_LIMIT option. Check .baro_auth

원인 : Secret file .baro_auth 파일의 내용 중 RATE_LIMIT 설정값이 잘못 설정되어 있는 경우 발생.

조치 : 제한 횟수(1 < RATE_LIMIT < 100), 제한 시간(1 < interval < 3600)의 설정 값을 확인.

 

현상 : Invalid list of timestamps in RATE_LIMIT. Check .baro_auth

원인 : Secret file .baro_auth 파일의 내용 중 RATE_LIMIT 옵션에 Update timestamps가 잘못된 경우

발생.

조치 : Secret file .baro_auth 파일의 RATE_LIMIT 옵션에 Update timestamps를 확인.

 

현상 : Try to update RATE_LIMIT line.

원인 : 정상적으로 로그인 한 경우 출력되는 메시지.

조치 : No action

 

현상 : Too many concurrent login attempts. Please try again.

원인 : Secret file .baro_auth 파일의 DISALLOW_REUSE 옵션(일회용 인증키 생성 주기 내에는 하나의

로그인만 가능)이 설정된 경우

        로그인 성공 후 일회용 인증키 생성 주기 내에 로그인을 재 시도한 경우 발생.

조치 : 일회용 인증키 생성 주기 후에 로그인 재 시도.

 

현상 : Invalid WINDOW_SIZE option in .baro_auth

원인 : Secret file .baro_auth 파일의 내용 중 WINDOW_SIZE 설정값(현재 시간을 기준으로 보정시간)

잘못 설정되어 있는 경우 발생.

조치 : 현재 시간을 기준으로 일회용 인증키 보정시간(1 < WINDOW_SIZE < 100)의 설정 값을 확인.

 

현상 : Trying to reuse a previously used time-based code.

       Retry again in 30 seconds.

       Warning! This might mean, you are currently subject to a man-in-the-middle attack.

원인 : Secret file .baro_auth 파일의 DISALLOW_REUSE 옵션은 중간자 공격(man-in-the-middle)

대비한 옵션.

        중간자 공격(man-in-the-middle)은 권한이 없는 개체가 두 통신 시스템 사이에서 스스로를 배치

하고 현재 진행 중인 정보의 전달을 가로채면서 발생.

        간단히 말해서, 현대판 도청 시스템이라고 할 수 있는 것

조치 : No action

 

현상 : Failed to allocate memory when updating .baro_auth

원인 : Secret file .baro_auth를 업데이트 할 때 메모리 할당에 실패한 경우 발생.

조치 : Technical support

 

현상 : Can't find SECURE_KEY[error message]

원인 : Secret file .baro_auth 파일의 SECURE_KEY 옵션이나 설정값이 없는 경우에 발생.

조치 : Secret file .baro_auth 파일의 SECURE_KEY 옵션이나 설정값 확인.

 

현상 : Verification code generation failed.[error message]

원인 : 일회용 인증키 검증에 실패한 경우 발생.

조치 : 로그인 재 시도.

 

현상 : Invalid verification code

원인 : 일회용 인증키 검증에 실패한 경우 발생.

조치 : 로그인 재 시도.

 

현상 : Invalid verification code

        Can not make/remove entry for session.

원인 : 서버의 시스템 시간이 맞지 않아서 발생.

조치 : date 명령어로 서버의 시스템 시간이 맞는지 확인하여 틀리면 시간을 맞춰져야 함.

        1. date 명령어 서버의 시스템 시간을 변경(임시 방편)

        2. ntp가 설정되어 있는지 확인하여 설정되어 잇으면 ntp 시간을 설정하는 주기를 줄여 주여야

하며, 설정되어 있지 않으면 ntp를 설정해야 함.

 

현상 : Mar 12 15:37:01 baropam gdm(pam_baro_auth)[1215]: [ID 128276 auth.error] No user name

available when checking verification code

원인 : 인증 코드를 검증할 때 사용 가능한 사용자가 아닌 경우(등록된 사용자가 아닌 경우 발생).

조치 : 시스템 관리자에게 로그인-ID가 등록되어 있는지 확인.

 

현상 : Apr  3 13:06:13 kdn sshd[3577]: PAM unable to dlopen(/usr/baropam/pam_baro_auth.so):

/usr/baropam/pam_baro_auth.so: cannot open shared object file: No such file or directory

       Apr  3 13:06:13 kdn sshd[3577]: PAM adding faulty module: /usr/baropam/pam_baro_auth.so

원인 : /usr/baropam/pam_baro_auth.so 파일이 존재하지 않아서 발생.

조치 : BaroPAM 모듈 파일(pam_baro_auth.so)의 존재하는지 확인하여 없으면 BaroPAM의 설치 파일에서

복사한다.

 

현상 : May 19 12:37:37 baropam sshd(pam_baro_auth)[1416]: Failed to acl file read "(null)"

원인 : acl file 존재여부 및 파일 permission 문제로 발생

조치 :

 

현상 : Failed to compute location of secret file

원인 : pam에 설정된 secret file이 해당 디렉토리에 존재하지 않은 경우 발생.

조치 : pam에 설정된 secret file이 해당 디렉토리에 존재하지 않으면 secret file을 해당 디렉토리에

생성해 줘야 함.

       ex) auth required /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth

encrypt=no

 

현상 : Failed to compute location of encrypt flag

원인 : pam에 암호화 플래그가 존재하지 않은 경우 발생.

조치 : pam에 암호화 플래그(yes, no)을 설정해 줘야 함.

       ex) auth required /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth

encrypt=no

 

현상 : Did not receive verification code from user

       error: ssh_msg_send: write: Broken pipe

원인 : Secure key가 잘못 설정된 경우에 발생

조치 : 설정된 Secure key를 확인.

       벤더에서 제공된 Secure key인지 확인.

 

현상 : PAM: authentication thread exited unexpectedly.

       *** glibc detected *** su: free(): invalid pointer: 0x00002aede020c9e2 ***

원인 : BaroPAM 환경 설정 파일(.baro_nurit)이 존재하지 않는 경우에 발생.

조치 : BaroPAM 환경 설정 파일(.baro_nurit)의 존재하는지 확인하여 없으면 BaroPAM의 설치 파일에서

복사한다.

 

 

6. About BaroPAM

 

 

Version 1.0 - Official Release - 2016.12.1

Copyright ⓒ Nurit corp. All rights reserved.

http://www.nurit.co.kr

 

제 조 사 : 주식회사 누리아이티
등록번호 : 258-87-00901
대표이사 : 이종일
이 메 일 : mc529@nurit.co.kr
주    소 : 서울시 강서구 마곡중앙2로 15, 913호(마곡동, 마곡테크노타워2)

조달총판 : 주식회사 루시드네트웍스
등록번호 : 848-86-00615
대표이사 : 박병호
대표전화 : 031-8018-4770(영업문의) / 031-8018-4771(기술지원)
이 메 일 : sales@lucidnet.co.kr
주    소 : 경기도 하남시 미사대로520, CA동 904,905호(덕풍동, 현대지식산업센터 한강미사2차)

공 급 사 : 주식회사 트루인테크놀로지스
등록번호 : 314-86-56237
대표이사 : 손원찬
대표전화 : 010-3404-1156(영업문의) / 080-488-8803(기술지원)
이 메 일 : wcson@truin.kr
주    소 : 대전시 서구 문예로 137, 4층(둔산동, 케이티엔지대전빌딩)

공 급 사 : 주식회사 디에이치솔루션
등록번호 : 606-86-54064
대표이사 : 조동환
대표전화 : 051-323-0705(영업문의) / 070-4632-0869(기술지원)
이 메 일 : sales@dhsolution.kr
주    소 : 부산시 해운대구 센텀동로 71, 벽산e센텀클래스원2차 1105호

공 급 사 : 주식회사 반디데이타
등록번호 : 264-81-49402
대표이사 : 백욱인
대표전화 : 02-864-5653(영업문의, 기술지원)
이 메 일 : bandidata@bandidata.com
주    소 : 서울시 금천구 벚꽃로 278, 1503호(가산동, SJ테크노빌)