13. FAQ

1. 드라이버 지원을 모듈로 만드는 대신 커널에서 직접 하도록 하는 것이 더 안전 한가요?

   어떤 사람들은 -- 침입자가 트로이의 목마형 모듈이나 시스템에 영향을 끼칠 수 있는 모듈을 로드할 수 있다고 해서 -- 모듈을 써서 디바이스 드라이버를 로드하도록 하는 기능은 꺼 놓는 것이 좋다고 생각하기도 합니다.

   하지만 모듈을 로드하기 위해서는 사용자는 반드시 루트가 되어야 합니다. 모듈 오브젝트 파일 또한 루트만이 적을 수 있도록 되어 있습니다. 만약 침입자가 루트 사용권을 이미 얻었다면, 그가 모듈을 로드할 것인가를 걱정하는 것 말고도 중요한 다른 걱정거리가 많겠지요.

   모듈은 자주 사용되지 않기도 하는 특정한 디바이스를 지원하기 위해서 로드되게 됩니다. 서버 기계에서나 -- 방화벽 등의 경우-- 자주 일어나지는 않는 일입니다. 이런 이유로 -- 서버로 일하고 있는 기계에는 -- 커널에 직접 지원을 컴파일해 주는 것이 타당합니다. 또한 모듈은 직접 커널에 컴파일된 지원보다 느립니다.

2. 왜 원격 기계에서 루트로 접속하는 것이 항시 안됩니까?

   [루트 보안]에 대한 항목을 보십시오. 원격 사용자가 텔넷을 써서 루트로 접속하는 것은 루트의 암호가 평문으로 전송되는 등의 심각한 보안 취약 요건이기에 이런 경우를 막고자 일부러 이렇게 해 놓습니다. 잠재적 침입자에게는 시간이 충분하고, 여러분의 패스워드를 찾아내기 위한 자동 풀그림을 쓸 수도 있다는 것을 언제나 잊지 마십시오.

3. 제가 쓰고 있는 레드 햇 4.2나 5.0 컴퓨터에서 어떻게 쉐도우 패스워드를 씁니까?

   쉐도우 패스워드를 쓰려면, 우선 루트의 권한을 가지고서 pwconv을 먼저 쓰십시오, 그러면 /etc/shadow가 생기게 됩니다. 만약 레드 햇 4.2 이상을 쓰는 경우에는 PAM 모듈이 /etc/passwd에서 쉐도우 패스워드로 변환되는 것을 자동으로 감지해서 사용하게 해 줄 것입니다.

   쉐도우 패스워드는 일반적으로 사용되는 /etc/passwd 파일이 아닌 다른 장소에 패스워드를 적어 놓는 방식입니다. 여러 장점이 있는데, 우선은 /etc/shadow 등의 쉐도우 파일은 -- 아무나 읽을 수 있도록 되어 있는 /etc/passwd와는 달리 -- 루트만이 읽을 수 있도록 되어 있다는 것입니다. 다른 장점은 관리자로서 -- 사용자들이 다른 계정의 상태를 아는 일없이 -- 계정을 주거나 꺼 버리는 것이 가능하다는 것입니다.

   이 경우에 /etc/passwd 파일은 -- /bin/ls 등의 풀그림 등이 디렉토리를 보여줄 때의 경우처럼 사용자 ID와 사용자 이름 (username)을 연결해서 사용할 수 있도록 -- 사용자와 그룹 이름을 기록하는 것에 만 사용됩니다.

   그리고 /etc/shadow 파일은 사용자 이름 (username)과 패스워드 -- 그리고 어쩌면 계정이 언제 끝나는지 등의 -- 계정 정보만을 담게 됩니다.

   쉐도우 패스워드를 켜 두려면 루트 권한으로 pwocnv를 실행하시면 /etc/shadow가 만들어지면서 다른 풀그림들에 사용되게 됩니다. 레드 햇 4.2 이상을 사용하신다 했으므로, 이 경우에는 특별히 무엇을 바꾸지 않아도 PAM 모듈이 보통의 /etc/passwd에서 쉐도우 패스워드로 전환 사용되는 것을 자동으로 인식할 것입니다.

   일단 패스워드를 안전하게 만드는 것에 관심을 두셨으니, 아예 처음부터 좋은 패스워드를 만드는 것에 관심을 두는 것도 좋을 것입니다. 이 것을 위해서는 PAM의 일부분인 pam_cracklib을 쓰실 수 있습니다. 이것은 여러분의 패스워드를 크랙 라이브러리를 써서 돌려봄으로서 여러분의 패스워드가 패스워드 크랙 풀그림에 의해서 쉽게 깨질 수 있는 가를 알도록 해줍니다.

4. 어떻게 아파치 SSL 익스텐션을 사용할 수 있지요?
   1. 우선 ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL에서 SSLeasy 08.0 이상의 것을 구합니다.
   2. 빌드하고, 실험해 본 후에 설치를 합니다.
   3. 아파치 1.2.5의 소스를 구합니다.
   4. 아파치 SSLeay 익스텐션을 구합니다. ftp://ftp.ox.ac.uk/pub/crypto/SSL/apache_1.2.5+ssl_1.13.tar.gz [35]
   5. 아파치 1.2.5 소스 디렉토리에 압축된 것을 풀어서 README에서 말하는 대로 수정해 줍니다. (README를 먼저 읽고 나서 실시하세요)
   6. 조정을 하고 빌드하면 끝.

      미국의 밖에 소재하고 있는 예전의 리플레이 어소시에이츠 (Replay Associates): http://www.zedz.net/에서 미리 만들어진 패키지를 구할 수도 있습니다.<<

      >>

   7. 보안 수준을 유지하면서 어떻게 사용자 계정을 바꾸죠?

      특히 RH 5.0 등의, 레드 햇 배포본은 사용자 계정의 특성을 바꾸는데 사용할 수 있는 많은 도구를 가지고 있습니다.

      • pwconv와 unpwconv 풀그림을 사용하시면 쉐도우 패스워드와 비(非) 쉐도우 패스워드로 원하는 대로 바꾸면서 사용할 수 있습니다.
      • pwck과 grpck은 passwd와 그룹 파일간의 적절한 구성을 확인하는 것에 사용될 수 있습니다.
      • useradd, usermod, 그리고 userdel는 사용자 계정을 더하고 바꾸고, 지우는 데에 사용됩니다. groupadd, groupmod, 그리고 groupdel은 그룹에 적용되는 명령어입니다.
      • 그룹 패스워드는 gpasswd 명령어를 써서 만들 수 있습니다.

      여기 적혀 있는 모든 풀그림들을 "쉐도우 인지 (認知)"를 합니다. 만약 쉐도우를 켜 놓으면, /etc/shadow를 패스워드 정보를 보기 위해서 사용할 것이고 아니라면, 단순히 사용하지 않는다는 것을 뜻합니다. 더 정보를 원하시면 상관되는 매뉴얼 페이지 man을 보십시오.

   8. 특정한 HTML 파일을 어떻게 아파치를 써서 보호합니까?

      http://www.apacheweek.com/이라는 곳을 아시는지?

      사용자 인증에 대해서는 http://www.apacheweek.com/features/userauth를 보고, 다른 웹 서버 보안 팁은 http://www.apache.org/docs/misc/security_tips.html을 보십시오.