안녕하세요.
MyServerCop Linux 운영자입니다.

  보안에 대한 글입니다. 근간에 제로보드등 각종 CMS툴 사용 서버에 공격이 잦아져서 이쪽 팁 게시판에 올립니다. 혹시 이 글이 게시판 성격에 맞지 않는다면 알려주시기 바랍니다. 그리고 제로보드 운영자님께 가능하다면 제로보드 배포방법을 rpm등 패키지 형태로 바꾸어서 하는 것을 제안드립니다. 장점이야 잘 아실테고 필요하다면 지원해 드릴수 있습니다. 패키지로 제작하면 몇가지 제약조건만 추가한다면 여기서 소개드릴 MyServerCop Linux에서 제공하는 자동 업그레이드 기능을 그대로 사용할 수 있습니다.  

  제로보드에는 글을 처음 올려봅니다. 저두 제로보드를 예전부터 알고는 있었지만 한 2년전 부터 PHPnuke(6.*보안엄청취약버젼)를 사용해서 서버운영을 하고 있습니다. 업그레이드를 해도 여러번 했어야 하는데 이부분이 그리 간단하지가 않더군요.^^ 이번에 MyServerCop Linux를 업그레이드 하면서 홈페이지도 제로보드로 작업을 할 계획인데 워낙 감각이 없어서 시간이 좀 걸릴것 같습니다. 잘 아시겠지만 PHPnuke도 제로보드와 마찬가지로 CMS(Content Management System)툴 중에 하나입니다. sourceforge에서도 탑에 랭크되어있는 CMS툴이고요. 지금 여기서 PHPnuke를 소개하고자 하는 것은 아니구요~~... 이런 종류의 CMS툴은 사실 상당히 많습니다. 제로보드, 그누보드, 테크노트 등등. 이런 모든 CMS툴들이 가지고 있는 공통적인 문제 중 하나는 바로 해킹에 취약하다는 것입니다. 각각의 CMS툴들이 다 장단점을 가지고 있겠지만 공통적으로는 모두 해킹에 취약합니다. 특히 path traversal, sql injection, xss attack등등.. 이런 류의 공격을 하게 되면 웹서비스를 위해서 어쩔수 없이 풀어놓은 화일 퍼미션, 실행 옵션, DB쿼리 등을 통해서 이루 말할 수 없는 다양한(?) 방법으로 공격을 합니다.
제가 지금 쓰고있는 PHPnuke도 이중에서는 상당히 보안에 신경을 쓴 CMS라고는 하지만 홈페이지에 가보면 해킹에대한 보고가 자주올라옵니다. 그리고 실제로 nessus같은 취약점 분석툴을 사용해서 체크해 보면 PHPnuke를 사용하지 말라고 강력히 권고를 합니다. 하지만 이는 현실적으로 무리한 권고지요^^

  쓰다보니 말이 길어질 것 같아 마무리 하겠습니다. 네트웍을 분리하지 않는한/서비스를 아무것도 하지 않는한 아직까지는 사실 100% 완벽한 보안은 없습니다. 하지만 서버운영을 한다면 보안에 대해 무방비하게 할 수는 없을 테고, 조금만 관심을 가지고 공부를 하면 95%까지는 수월하게 가능합니다. 여기서 추가로 1%씩 보안 레벨을 올리기 위해서는 어마어마한 비용(?)을 지불하게 되구요. 하지만 대부분의 해킹방법에 대해서는 보안 95%수준만 준비를 해도 알려진 혹은 아직 알려지지 않은 방법에 대해서도 충분히 안전하게 지킬수 있습니다. 개인적인 생각으로는 95% 보안수준에서 뚫은 해킹기술은 99% 보안수준에서도 마찬(?)가지라고 생각합니다.

제로보드를 포함해서 운영하시는 서버 서비스에 대한 95% 수준의 서버보안에 대한 준비는 다음과 같습니다.
(원본링크: http://www.myservercop.com/modules.php?name=Forums&file=viewtopic&t=593 )

1. 모든 패키지 최신업데이트(보안모듈포함 모든 패키지)
2. IDS/IPS(Intrusion Detection/Protection System)도입 (path traversal, sql injection, xss공격등 방어포함)
3. Firewall 설치
4. Chkrootkit 등으로 시스템 감시
5. 권한설정
6. Log화일 감시
7. 서버상태 모니터링 : cpu, ram, hdd, process 등
8. 보안에 대한 관심
   - 일반계정관리
   - 암호관리
   - 계정사용자는 ssh, sftp를 사용. telnet사용금지, ftp는 anonymous만 사용 등등등

  이정도만 준비해도 일반적인 서버 해킹은 물론 얼마전에 있었던 다소 흔한 산티웜과 같은 홈페이지 변조공격등은 당하지 않을 수 있습니다. 그리고 제로보드등 패키지 자체의 패치에 걸리는 시간도 벌 수 있고요. 위에 정도만 준비하려고 해도 만만치 않다고 생각이 드실것 같아서 제가 직접 운영하는 사이트를 알려드립니다. http://www.myservercop.com 에 오시면 위에 말씀드린 모든것을 다 자동으로 지원하는 리눅스를 구할 수 있습니다. 만들기 시작한 지는 한 2년이 넘었는데 요즘 3.0까지 업그레이드 되었습니다. 특히 이번 버젼에는 제로보드를 지원할 수 있도록 스펙도 좀 바꾸었습니다. 기타 필요한 부분이 더 있으면 알려주시면 반영해 드립니다. 아직도 메일을 smtp, pop3로 그냥 쓰시는 분들이 대부분이지요? MyServerCop Linux에서는 smtps 및 pop3s도 간단히 설정하여 사용하실 수 있습니다.  여기 올려주신 글 중에 보면 해킹당할 때를 대비해서 항상 백업을 받아놓고 해킹당하자 마자 바로 복구할 준비를 하라고 하는 글도 있더군요.  하지만 리눅스를 다시 설치하고  복구를 해도 업그레이드 하지 않으면 바로 해킹당할 수 있습니다. 특히 해킹당한 경험이 있으신분은 MyServerCop Linux가 도움이 될듯합니다.


MyServerCop 운영자
http://www.myservercop.com

PS: 저두 한 3년 전 까지는 해외에 서버 솔루션을 개발해 주면서 여러번 서버 해킹을 당한 경험이 있습니다. 방법을 찾아 보았지만 현실과 동떨어진 보안 솔루션만 있었구요... 그당시 저희가 개발한 화상통신 서버 솔루션은 수천만원 짜리인데 이를 지키기위해서는 그당시 수억짜리 서버보안 솔루션을 넣으라구 하더군요^^ 그래서 하나하나 직접 준비하다 보니 여기까지 오게 되었구요... 만들다 보니 공부한 내용이 아까워 저와 비슷한 경험이 있는 서버운영자 및 개발자를 위해서 아예 리눅스 배포본 까지 만들게 되었습니다. 부족한 부분이 있겠지만 계속 업그레이드하고 있습니다.

PS2: MyServerCop Linux의 모든 패키지는 자동 업데이트 됩니다. 제로보드도 패키지화 해서 MyServerCop Linux에 넣으면 자동업그레이드가 가능합니다만 이를 위해서는 여러가지 해결해야할 것들이 있을것 같습니다. 관심있는 분들의 의견을 기대합니다.
  
* DeX™님에 의해서 게시물 이동되었습니다 (2005-02-23 10:58)