안전한 웹서버 운영 노하우

▶ 유닉스 서버 운영체제
- Unix / Linux / AIX

 

▶ 서버 아키텍처 구성
-DB, WAS, 웹 서버, 웹 클라이언트

 

▶ 웹 클라이언트, 웹 서버, WAS의 정의 
- 웹 클라이언트(Web Client) : 네트워크를 통해 서버에게서 콘텐츠, 정보, 서비스를 제공받는 사용자의 웹 브라우저
- 웹 서버(Web Server) : 웹 클라이언트의 요청 중 정적인 처리를 할 수 있는 프로그램이 설치된  장치(device)
- WAS(Web Application Server) : 웹 클라이언트의 요청 중 DB 조회나 로직 처리 등의 동적인 처리를 하기 위한 
 프로그램이 설치된 장치(device)

 

▶ Apache 데몬을 root 가 아닌 별도 계정으로 구동하는 이유
- 웹서비스 데몬을 root 권한으로 실행 시, 파일을 수정 및 생성하는 과정에서 이에 해당하지 않는 파일도 root 권한에 의해 쓰기가 가능해지며, 이는 해킹 발생 시  root 권한이 노출될 수 있는 가능성을 만들게 됨

 

▶ 윈도우 서버의 Everyone 그룹 공유의 금지 이유
- Everyone이 공유계정에 포함되어 있으면 익명 사용자의 접근이 가능하여 내부 정보 유출 및 악성코드의 감염 우려가 있으므로, 공유 폴더에 Everyone 그룹으로 공유되는 것을 금지하여 익명 사용자의 접근을 차단함

 

▶ 유닉스 서버의 운영 체크리스트 ‘계정 관리 분야’의 세부 점검 항목
① 먼저 루트 계정의 원격 접속 제한을 설정 
: 루트 계정은 최고권한 계정이므로 서버가 원격접속을 허가하여도 최소한의 안전을 위해 루트 계정 만큼은 원격 접속을 제한하는 것이 좋음

 

② 루트계정 이외의 계정의 UID를 0으로 설정하지 않고 계정의 UID를 동일하게 설정하지 않아야 함
 : 두 항목은 문제점 발생 시 추적 감사를 용이하게 하며 시스템의 계정별 권한 부여시 오남용을 막기 위하여 이렇게 설정해야 함

 

③ 패스워드 복잡성 설정
: 이는 적절한 패스워드를 설정하여 무차별 대입 공격이나 사전 공격 등을 방비하기 위하여 설정함
 특수문자, 소문자, 대문자, 숫자 중 세가지를 활용한 여덟자 이상의 패스워드 권장

 

④ 패스워드 파일 보호

: 이는 저장된 계정정보를 암호화하는 쉐도우 패스워드를 사용하여 해커의 공격이 성공하더라도 암호화된 데이터를 가져가게 하여 피해를 최소화하기 위해 설정

 

⑤ 세션 타임아웃 설정
 : 이는 혹시라도 퇴근 전 로그아웃을 깜빡하거나 로그인한 상태로 긴 시간 자리를 비웠을 때, 부적절한 사용자가 사용하는 것을 최대한 막기 위한 설정임 
10분 전후의 추가 세션이 없을 경우 자동 로그아웃 되도록 설정하는 것임