2017/02/27 13:04
Red Hat 제품 보안팀은 Linux 커널의 DCCP 프로토콜 IPV6 구현에 따른 영향에 대한 보안 취약점을 인지하고 있으며 이는 CVE-2017-6074로 지정되어 있습니다. 본 취약점은 2017년 2월 20일에 공지되었으며 중요한 영향을 미치는 것으로 평가되고 있습니다.

배경정보
DCCP는 프로그래머가 응용 프로그램 계층에서 네트워크 정체 설정을 제어할 수 있도록 고안된 4 계층 (전송 계층) 프로토콜입니다. 이 프로토콜은 3 계층 (네트워크 계층) 프로토콜로 IP를 사용하므로 인터넷을 통해 라우팅할 수 있습니다. 이로 인해 이러한 프로토콜은 IPV4 및 IPV6 기반 시스템 모두에서 작동하도록 고안되었습니다. 본 취약점은 IPV6 기반 DCCP 연결을 명시적으로 사용하여 악용됩니다. DCCP는 내부의 상태 머신을 사용하여 연결을 추적합니다. 이러한 경우 소켓이 LISTEN 상태에 있는 동안 DCCP 상태 머신은 DCCP_PKT_REQUEST 데이터 구조를 잘못 처리합니다. 이를 통해 네트워크에 연결된 동일한 노드에서 클라이언트와 서버 모두를 제어할 수 있는 로컬 사용자는 "Use After Free" (메모리 해제 후 사용) 상태가 주어질 수 있습니다. 연결이 완료되면 연결 당 skbuff라는 데이터 구조체가 만들어지게 됩니다. 마지막 skbuff에 다른 구조체에 있는 skb_shared_info를 호출하게 되며 여기에는 ubuf_info 구조체가 포함됩니다. 이 구조체에는 skb가 삭제될 때 호출할 함수 포인터가 포함되어 있습니다. skbuff 메모리 해제 이후 이러한 ubuf_info 구조체의 콜백 함수를 호출하게 되면서 오류 상태가 발생합니다. 이를 통해 공격자는 악의적인 명령으로 메모리를 덮어쓰기할 수 있는 상황을 만들 수 있으며 메모리 해제와 이차적인 악의적인 명령 사이에서 함수 포인터 값을 악용할 수 있습니다.

대응방법
영향을 받는 커널 버전을 실행하고 있는 모든 Red Hat 고객의 경우 패치 릴리즈 후 커널을 업데이트할 것을 권장합니다. 영향을 받는 패키지와 권장 완화 방법은 아래에 설명되어 있습니다. 커널 업데이트를 적용하려면 시스템을 다시 시작해야 합니다.
이 공격에는 sk_shared_info 구조체에 대한 메모리가 해제된 후 사용될 수 있도록 동일한 시스템에서 실행되고 있는 서버와 클라이언트가 필요합니다. 

Red Hat 제품 보안팀은 본 취약점이 이번 업데이트에서 중요한 영향을 미치는 것으로 평가하고 있습니다.

영향을 받는 제품
영향을 받는 Red Hat 제품 버전은 다음과 같습니다:
- Red Hat Enterprise Linux 5
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 7
- Red Hat Enterprise MRG 2
- Red Hat Openshift Online v2
- Red Hat Virtualization (RHEV-H/RHV-H)
- RHEL Atomic Host

공격 내용 및 영향 
본 취약점을 통해 로컬 시스템 계정이 있는 공격자가 권한을 상승시킬 수 있는 가능성이 있습니다. 이러한 취약점은 일반적으로 UAF (Use After Free)라고 부르며 이전에 실행된 free() 작업으로 인해 사용 중인 할당을 더이상 참조하지 않는 포인터를 통해 메모리에 접근하는 코드 경로를 사용하여 악용됩니다. 본 취약점은 DCCP 네트워킹 코드에 존재하며 충분한 액세스 권한을 갖는 악의적인 공격자가 해당 코드에 액세스하여 모든 로컬 인터페이스의 DCCP 네트워크 연결을 설정할 수 있습니다. 악용에 성공하면 호스트 커널 크래시, 호스트 커널 컨텍스트에 있는 코드 실행 또는 커널 메모리 구조를 변경하여 다른 권한 상승을 유발할 수 있습니다. 공격자는 시스템의 로컬 계정에 액세스할 수 있어야 합니다. 이는 원격 공격이 아니며 IPV6 지원이 활성화되어 있어야 합니다.

체크 스크립트
대응 방법
영향을 받는 커널 버전을 실행하고 있는 모든 Red Hat 고객의 경우 패치 릴리즈 후 커널을 업데이트할 것을 권장합니다. 영향을 받는 패키지와 권장 완화 방법은 아래에 설명되어 있습니다. 커널 업데이트를 적용하려면 시스템을 다시 시작해야 합니다.

사용자 삽입 이미지
영향을 받는 제품 업데이트
* 이러한 패치에 액세스하려면 활성 EUS 서브스크립션이 필요합니다.
사용 계정에 활성 EUS 서브스크립션이 없을 경우 보다 자세한 내용은 Red Hat 영업팀 또는 해당 영업 담당자에게 문의하시기 바랍니다.

Red Hat Enterprise Linux Extended Update Support 서브스크립션이란?

**RHEL AUS에서 이러한 패치에 액세스하려면 활성 AUS 서브스크립션이 필요합니다. 
 

완화 방법
응용 프로그램이 DCCP 프로토콜을 사용하려할 때 DCCP 커널 모듈이 자동으로 로드됩니다. 이 모듈이 로드되지 않도록 하려면 시스템 전반의 modprobe 규칙을 사용합니다. 다음과 같은 명령 (root로 실행)을 통해 실수로 또는 의도적으로 모듈이 로드되지 않게 합니다. Red Hat 제품 보안팀은 이러한 방법이 권한이 있는 사용자라도 실수로 모듈을 로드할 수 없도록 하기 위한 강력한 방법이라고 생각합니다. [code]# echo "install dccp /bin/true" >> /etc/modprobe.d/disable-dccp.conf

DCCP 모듈이 이미 로드된 경우 시스템을 다시 시작해야 합니다. 대부분의 경우 DCCP 커널 모듈은 사용 중이거나 네트워크 인터페이스가 활성화 상태일 때 언로드할 수 없습니다. 추가 도움이 필요할 경우 KCS 기사 ( https://access.redhat.com/solutions/41278 )를 참조하거나 Red Hat 글로벌 지원 서비스에 문의하십시오. 또한 RHEL 6 및 7 시스템을 완전 업데이트하기 위한 기본 SELinux 정책은 CVE-2017-6074에 대한 bugzilla 상세 정보에 설명되어 있듯이 본 결함을 완화시킬 수 있습니다.
 
2017/02/27 13:04 2017/02/27 13:04
Tags , , ,
2017/02/27 13:00

Fast TSC calibration failed issue

Posted by JParker
OS/Linux 2017/02/27 13:00
RHEL7을 VM에서 구동하다 다음과 같이 에러가 발생됨을 확인하였습니다.
 
[ 0.000000] Fast TSC calibration failed.
 
위의 부분은 부팅시 발생되는 부분이며, TSC는 Time Stamp Counter의 약자이더군요.
해결방법은 다음과 같이 하시면 해결하실 수 있습니다.

/etc/default/grub 마지막줄에

GRUB_CMDLINE_LINUX="clocksource=tsc"
위의 항목을 넣어주시고 다음과 같은 명령을 수행하여 주시기 바랍니다.

[root@dev ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-123.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-123.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-b161999d89d0472890f8a83cc933a9fb
Found initrd image: /boot/initramfs-0-rescue-b161999d89d0472890f8a83cc933a9fb.img
done
[root@dev ~]#
위와 같이 출력되고 나신 뒤부터는 정상적인 부분을 보실 수 있습니다.
위의 에러는 3.x 커널에 vmware 4.x 버젼에서 발생된다고 합니다.

저와 같이 해결을 하시기 바랍니다. 파이팅~!!!
2017/02/27 13:00 2017/02/27 13:00
Tags , , ,
2017/02/27 12:57

chmod 777 * -R 명령을 /에서...

Posted by JParker
OS/Linux 2017/02/27 12:57
만일 아래의 명령을 실수로 내렸을 때에 복구 방법은?
chmod 777 * -R
오늘 작업중 유난히 특별 케이스를 보았습니다. 상당히 맨붕이 왔지만... yum 혹은 RPM에서 설치 하셨다면 다음과 같이 패키지에 들어있는 패키지의 퍼미션들을 뽑아서 복구 할 수 있습니다. 기본적인 퍼미션 복구 방법은 다음과 같습니다.
rpm --setperms packagename
위의 명령은 setperms로 packagename에 관련된 파일에 대하여 최초 설치시 퍼미션으로 되돌리는 것입니다. 전체의 퍼미션을 복구 하고 싶을 경우는 다음과 같이 하시면 됩니다.
rpm --setperms -a
이와 관련하여 소유권까지 변경되었다면... 다음 명령어로도 수행이 가능하니 참조하실 수 있겠죠?
rpm --setugids packagename
위의 퍼미션 처럼 동일하게 패키지 최초 설치시 소유권으로 되돌려줍니다. 퍼미션과 소유권을 전체 설정하고 싶으시다면 다음과 같이 하실 수 있습니다.
rpm --setugids --setperms -a
위와 같이 하면 시스템에 설치되었던 패키지 RPM 리스트수대로 chown및 chgrp 그리고 chmod 명령을 수행하여 해당 시스템에 퍼미션들을 수정하게 될 것입니다.
2017/02/27 12:57 2017/02/27 12:57
Tags , ,
2017/02/27 12:56

조건문에 들어가는 비교식

Posted by JParker
OS/Linux 2017/02/27 12:56
많은 곳에 쓰이는 조건식에 대하여 아래와 같이 나열해봅니다. 조건식의 문자열 비교

조건식

설명

문자열1 == 문자열2 문자열이 일치
문자열1 != 문자열2 문자열이 일치하지 않음
-z 문자열 빈 문자열
-n 문자열 빈 문자열이 아님
문자열 == 패턴 문자열이 패턴에 매치
문자열 != 패턴 문자열이 패턴에 매치하지 않음
조건식의 수치 비교

조건식

설명

수치1 -eq 수치2 수치가 같음
수치1 -ne 수치2 수치가 같지 않음
수치1 -lt 수치2 수치1이 수치2보다 작음
수치1 -le 수치2 수치1이 수치2보다 작거나 같음
수치1 -gt 수치2 수치1일 수치2보다 큼
수치1 -ge 수치2 수치1이 수치2보다 크거나 같음
조건식에 따른 파일검사

조건식

설명

-e 파일명 파일이 존재함
-d 파일명 디렉토리
-h 파일명 심볼릭링크
-f 파일명 일반 파일
조건식에 따른 조건 논리연산

조건식

설명

조건1 && 조건2 양쪽다 성립
조건1 || 조건2 한쪽 혹은 양쪽 다 성립
!조건 조건이 성립하지 않음
true 조건이 언제나 성립
false 조건이 언제나 성립하지 않음
2017/02/27 12:56 2017/02/27 12:56
2017/02/27 12:54

POODLE sslv3 패치관련

Posted by JParker
OS/Linux 2017/02/27 12:54
OPENSSL POODLE  sslv3 패치가 또 나왔습니다. 얼마전 있었던 heart bleed와 쉘 버그에 이어 푸들 쇼크가 한바탕 몰아쳤습니다. SSL3를 아예 꺼두고 하위 호환성을 위해 TLS_FALLBACK_SCSV 를 사용하라는 가이드 라인이 있습니다. 업계에서는 SSL을 더이상 사용하지 않는 방향으로 가는 듯 합니다.

푸들 관련 기사 및 정보
http://security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
(국내 기사)
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20141015090101 http://news.imaso.co.kr/134361

추가로 OpenSSL을 사용하시는 분들은 푸들 보다 (더 심각한) DOS 공격 관련 취약성이 있으니 패치를 권고한다는 문서도 있습니다. 공격으로 인한 메모리 릭이 발생할 수 있는 버그는 2건 입니다.

OpenSSL 패치 보고서.
POODLE 및 메모리 누수  :  http://www.theregister.co.uk/2014/10/15/openssl_ddos_vulns/

지난 수요일 https://www.openssl.org/  에 푸들과 DOS 공격을 위한 네 가지 패치가 올라와 있습니다.
2017/02/27 12:54 2017/02/27 12:54
Tags , ,
2017/02/27 12:54

NTP 서버 환경 구축하기

Posted by JParker
OS/Linux 2017/02/27 12:54
NTP 서버 환경 구축하기

NTP는 Network Time Protocal 의 줄임말로 네트워크로 연결되어 있는 컴퓨터들끼리 시각을 동기화시키는데 사용되는 프로토콜입니다. 서버데몬 실행시 Port는 UDP 23번을 사용합니다.  방화벽에 막혀있으면 서비스가 불가능하겠죠?

NTP서버및클라이언트 개념은 /etc/conf파일을 수정하기 나름입니다. 해당구축 플랫폼의 서버 3대의 시간을 동기화시키기 위해
1번 서버에 NTP설정을 하고 2번,3번 서버가 1번으로 바라보도록 NTP설정을 해주면 됩니다.

결국에 같은설정될 수도 아닐수도 있겠죠 그리고 굳이 동기화 시키지 않고 한번만 혹은 때때로 하실경우엔 ntpdate [ServerIP]를 사용하시면 됩니다. 그러나 이 경우는 rdate와 별반차이가 없기에 윗부분만 설명드리도록 하겠습니다.

1.NTP 설치
root# yum -y install ntp

2. NTP구성
(굵게 표시한부분만 따라오세요)
root# vi /etc/ntp.conf
# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default kod nomodify notrap nopeer noquery
# Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1
restrict -6 ::1
# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
#broadcast 192.168.1.255 key 42 # broadcast server
#broadcastclient # broadcast client
broadcast 224.0.1.1 key 42 # multicast server
#multicastclient 224.0.1.1 # multicast client
#manycastserver 239.255.254.254 # manycast server
#manycastclient 239.255.254.254 key 42 # manycast client
#NTP Server List (Start)
server time.bora.net iburst
server time.nuri.net iburst
server ntp1.gngidc.net iburst
server ntp2.gngidc.net ibust
##NTP Server List (END)
# Undisciplined Local Clock. This is a fake driver intended for backup
# and when no outside source of synchronized time is available.
server 127.127.1.0
fudge 127.127.1.0 stratum 10
# Drift file. Put this in a directory which the daemon can write to.
# No symbolic links allowed, either, since the daemon updates the file
# by creating a temporary in the same directory and then rename()'ing
# it to the file.
driftfile /var/lib/ntp/drift
# Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography.
keys /etc/ntp/keys
# Specify the key identifiers which are trusted.
#trustedkey 4 8 42
# Specify the key identifier to use with the ntpdc utility.
#requestkey 8
# Specify the key identifier to use with the ntpq utility.
#controlkey 8
restrict None mask 255.255.255.255 nomodify notrap noquery
:wq (vi 나오기)

3. NTP 데몬 가동
root# service ntpd start

4. 클라이언트의 경우
방법1. 무조건 되는 방법 굵게 표시된 server를  다 삭제하시고 server 10.1.1.1로 변경하는 방법이 있습니다.
방법2. 같은 네트워크 대역시 추천드립니다. (Boardcast, Multicast, Manycast 셋중택일)
root# cat /dev/null > /etc/ntp.conf
root# cat >> /etc/ntp.conf << EOF
server 10.1.1.1
multicastclient 224.0.1.1
EOF

*확인방법 3가지(Process, Netstat, ntpq)
1. Process 확인
 root# ps -ef| grep ntp 
ntp 27421 1 0 13:02 ? 00:00:00 ntpd -u ntp:ntp -p /var/run/ntpd.pid
2. netstat 확인

root# netstat -anp | grep ntp
udp 0 0 10.1.1.1:123 0.0.0.0:* 27421/ntpd
3. net 상태확인 (루트만가능 : 구동 이후 2~3분 경과시 출력됨.)
root # netq -p 
remote refid st t when poll reach delay offset jitter
=================================================================
10.1.1.1 211.115.194.21 3 u 11 64 3 0.311 37.229 8.749
2017/02/27 12:54 2017/02/27 12:54
Tags , ,
2017/02/27 12:52

리눅스 설치시 파티션 구성

Posted by JParker
OS/Linux 2017/02/27 12:52
리눅스를 처음 설치시 많이 당혹스럽다는 부분이 파티션 구성입니다. 허나 리눅스 구성시 다음과 같이 설정하시면 큰 무리 없이 설치가 가능하십니다. 리눅스 기본 설치 파티션 구성은 다음과 같습니다.
/boot : 부팅을 담당하는 부팅이미지가 들어있는 파티션입니다.
SWAP : 메모리 고갈시 하드디스크를 통한 메모리 저장소입니다.
/ : 파티션의 최상의 디렉토리 입니다.
위의 3가지가 기본적인 구성입니다. 예전에는 fdisk로 직접적인 경로를 설정하였지만, 해당 볼륨의 크기 변동이 힘들었던 점이 있습니다.  ex) /dev/sda3, /dev/sdb1... 허나 요즘은 LVM을 이용하여 볼륨 크기 조절을 마음대로 하실 수 있습니다. 따라서, 설치시 다음과 같이 설정하시면 향후 업그레이드 및 크기 조절이 가능하게 됩니다.
파티션 및 파일 타입 설명
/boot (ext4) 부팅의 경우 가상의 Extend가 되지 않으므로 직접적인 경로를 사용하게됩니다.
LVM Extend ( /boot를 제외한 남은 용량을 전체로 설정합니다. 이때, vg이름 설정후 진행하시면 됩니다.)
SWAP (LVM - swap) LVM 파티션으로 구성합니다. (lv_swap)
/ (LVM - ext4) LVM 파티션으로 구성합니다. (lv_root)
위와 같이 설정이 되었을 경우 다음과 같은 의문점이 생기실 겁니다.
사용자 삽입 이미지
1. LVM 에서 VG와 LV의 차이는 무엇인지..
Physical 볼륨은 말 그대로 물리 디스크를 뜻합니다. 물리 디스크를 합쳐서 만든 것이 볼륨 그룹 (VG)이며 ,  그안에서 세세히 나누어지는 것이 가상볼륨(LV)입니다. 따라서, 추후 추가적으로 구성시 위와 같이 설정을 하였을 경우 볼륨 조절이 가능한 것입니다. 용량은 선택적이며, 저의 경우 다음과 같은 용량으로 기준합니다.
 /boot : 500M (ext4)
SWAP : 링크참조
/ : 남은 용량 모두

기존 리눅스 시스템에는 다음과 같이 파티셔닝을 하였지만, 근래에는 파티셔닝을 간단하게 바뀌고 있습니다. 이유는 예전의 경우 디스크 용량이 적어 디스크 FULL 현상이 자주 발생하고, FULL일 경우 시스템에 접속도 되지 않는 현상이 발생되어 파티셔닝을 해 주었던 것입니다. 허나, 근래의 디스크 크기는 예전에 비하여 엄청난 발전이 되어 FULL 현상이 없으므로, 이에 대한 파티셔닝은 간단히 하셔도 된다고 생각하시면 될 듯 합니다. 보안적인 측면에서 fstab에 보안설정인 nosuid, noexec, nodev등을 넣어야 하지만, 이또한 mounting 옵션으로 설정이 가능하므로 굳이 디스크 파티셔닝을 따로 세세히 넣어줄 이유가 없답니다. 더 궁금하신 사항이 있다면 언제든 댓글 부탁드리겠습니다. 감사합니다.
2017/02/27 12:52 2017/02/27 12:52
2017/02/27 12:52

SWAP 메모리 설정

Posted by JParker
OS/Linux 2017/02/27 12:52
SWAP의 경우 예전 메모리가 모자르던 시절에는 약 메모리의 2배를 사용하였습니다. 현재에도 국내 업체의 경우 약 메모리의 2배로 설정하는 경우를 종종 보게 되었습니다. 기존의 메모리 2배의 경우는 1G 이하 시절에 사용하던 것으로 현재와는 맞지 않습니다. 따라서 다음과 같이 설정하는 것이 권장사항이라 할 수 있습니다.

Amount of RAM in the System Recommended Amount of Swap Space
4GB of RAM or less a minimum of 2GB of swap space
4GB to 16GB of RAM a minimum of 4GB of swap space
16GB to 64GB of RAM a minimum of 8GB of swap space
64GB to 256GB of RAM a minimum of 16GB of swap space
256GB to 512GB of RAM a minimum of 32GB of swap space

다음 사이트에서도 권장을 하고 있습니다. 관련 사이트 http://jmnote.com http://redhat.com
2017/02/27 12:52 2017/02/27 12:52
Tags , ,
2017/02/27 12:51

IBM의 IMM 사용시

Posted by JParker
OS/Linux 2017/02/27 12:51
안녕하세요? 오랜만에 글을 적습니다.
IBM장비에 RHCS를 구성시 IMM을 이용하려면 해당 포트에 대하여 enable을 해야 합니다.
노트북으로 다이렉트로 IMM 포트를 접속시키고 다음과 같이 작업을 하시면 됩니다.
노트북 아이피 : 192.168.70.124 / 255.255.255.0 (Gateway X )
브라우져로 https://192.168.70.125 로 접속하시면 IMM 관리자 포트를 접속하실 수 있습니다.
아이디는 USERID 패스워드는 PASSW0RD입니다. (0은 숫자 0입니다.)
이후 서버에서 작업시 중요한 점 한가지. 
IMM은 네트워크 디바이스중 USB0에 대하여 enabled하지 않으면 동작되지 않습니다.
따라서, 해당 IMM을 위하여 usb0를 ONBOOT = yes로 하여 동작하게 하여 주시고 BOOTPROTO는 DHCP로
설정을 하여 주시기 바랍니다.
즐거운 리눅싱 되시기 바라며...
2017/02/27 12:51 2017/02/27 12:51
Tags , ,
2017/02/27 12:50

IPv6 비활성화 시키는 방법

Posted by JParker
OS/Linux 2017/02/27 12:50
CentOS 의 /etc/sysctl.conf 파일에 아래와 같이 기술한 후, 재부팅하면 IPv6 가 비활성화된다.
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
적용 방법은 sysctl -p 명령을 이용하면 된다.
2017/02/27 12:50 2017/02/27 12:50
Tags , ,