mail로 바꿔보는 것도 고려해볼 만 하다. qmail은 처음부터 보안을 염두에 두고 설계되었다. 이 프로그램은 빠르고 안정적이고 안전하다. http://www.qmail.org
5.7 서비스 거부를 이용한 공격.
서비스 거부를 이용한 공격은 시스템 자원의 일부를 매우 바쁘게 만들어서, 정당한 요청에 답하지 못하게 만들거나, 정당한 사용자의 시스템 접근을 거부하게 만드는 것이다.
이런 공격은 근년에 들어 크게 증가해왔다. 비교적 최근의 공격방법 가운데 잘 알려진 것들을 아래에 소개했다. 새로운 공격방법들이 항상 나타나고 있으므로 여기 소개된 것들은 그저 몇 가지 사례에 불과하다는 것을 명심해야 한다. 더 새로운 정보를 얻으려면 리눅스 보안 리스트를 읽도록 하라.
SYN 범람(flooding). SYN 범람이란 네트웍을 통한 서비스 거부 공격이다. 이 방법은 TCP 연결이 만들어지는 방법에 있는 "허점"을 이용한다. (2.0.30 이후의) 새로운 리눅스 커널들은 SYN 범람 공격에 의해 사람들이 당신의 컴퓨터나 서비스에 접근하지 못하는 것을 막기 위해 CONFIG_SYN_COOKIES와 CONFIG_RST_COOKIES 같은 설정 가능한 옵션들을 가지고 있다. SYN 범람 공격의 위험을 줄이기 위해서는 이 옵션들을 선택해서 커널을 다시 컴파일 하도록 하라.
펜티엄 "FOOF" 버그. 인텔의 정품 펜티엄 프로세서에 일련의 어셈블리 코드를 보낼 경우 컴퓨터가 동작을 멈춘다는 것이 최근에 발견되었다. 이것은 어떤 운영체제인가에 관계없이 (모조품과 펜티엄 프로, 펜티엄2를 제외한) 펜티엄 프로세서를 사용하는 모든 컴퓨터에 영향을 미친다. 2.0.32 이상의 리눅스 커널에는 이 버그로 인해 컴퓨터가 다운되는 것을 막기 위한 작업 성과들이 포함되어 있다. 펜티엄을 사용하고 있다면, 지금 업그레이드를 해야 한다.
Ping 범람. Ping 범람은 간단하고 난폭한 서비스 거부 공격의 일종이다. 공격자는 ICMP 패킷 하나를 "먹이"로 당신의 컴퓨터에 보낸다. 공격자가 이 짓을 당신의 컴퓨터 보다 좋은 주파수 대역을 갖는 컴퓨터에서 한다면, 당신의 컴퓨터는 네트웍으로 아무 것도 전송할 수 없게 될 것이다. 이 공격법의 변종 중 하나인 "파도타기"는 당신 컴퓨터의 IP로 반응이 돌아가도록 해서 ICMP 패킷을 다른 호스트에 보낸다. 이렇게 하면 찾아내기가 더 어려워진다. Ping 범람 공격을 받고 있다면, 어디에서 패킷이 오는지 (혹은 오는 것처럼 보이는지) 알아내기 위해서 tcpdump 같은 도구를 쓰도록 하라. 그리고 당신의 네트웍 제공자에게 이 사실을 연락하도록 하라. Ping 범람은 라우터 수준에서 차단하는 것이 가장 쉽다.
5.8 NFS (Network File System) 보안.
NFS는 매우 널리 쓰이는 파일 공유 프로토콜이다. NFS를 이용하면 nfsd를 실행시키는 서버의 전체 파일 시스템을 mountd를 실행하는 다른 컴퓨터들과 공유할 수 있다. 많은 사이트에서 사용자들에게 홈디렉터리를 제공하기 위해 NFS를 사용하고 있으며, 이렇게 함으로써 사용자들이 로그인한 것이 어느 컴퓨터이건 사용자들은 그들의 모든 홈 파일들을 갖게 된다.
파일시스템을 공유할 때 사용할 수 있는 "보안" 설정이 몇 가지 있다. 당신은 원격 컴퓨터의 루트 사용자(uid=0)를 nobody 사용자로 대응시켜서, 공유된 파일시스템에 완전한 접근권한을 갖는 것을 거부하도록 nsfd를 설정해야 한다. 그러나 개인 사용자는 각자의 (혹은 최소한 같은 uid의) 파일에 대한 접근권이 있기 때문에, 원격지의 수퍼유저는 자기 계정으로의 로그인이나 su 사용이 가능하며, 자기 파일들에 대해서 완전한 접근권을 가질 수 있다. 이렇게 하는 것은 원격 파일시스템을 마운트할 권한을 가진 공격자에게는 사소한 장애물밖에 되지 못한다.
NFS를 꼭 써야한다면, 꼭 공유해야만 하는 컴퓨터들로만 공유시키도록 유의하라. 루트 디렉터리 전부를 공유해서는 절대로 안되며, 필요한 디렉터리들만 공유해야 한다.
NFS에 대한 더 자세한 정보가 필요하면 NFS 하우투를 보도록 하라. NFS HOWTO
5.9 NIS (Network Information service) (예전의 YP).
네트웍 정보 서비스(Network Information service, 예전의 YP)는 한 무리의 컴퓨터들에 정보를 나누어주는 한 가지 방식이다. NIS 서버는 정보의 표를 가지고 있으면서 그것들을 NIS 대응 파일들로 변환한다. 이 대응 파일들이 네트웍을 통해 제공됨으로써 NIS 클라이언트 컴퓨터들은 로그인과 패스워드, 홈 디렉터리와 셸에 대한 정보(즉 보통의 /etc/passwd 파일에 들어있는 모든 정보)를 얻을 수 있게 된다. NIS를 이용하면 사용자들은 패스워드를 한 번 바꿈으로써 그 NIS 영역에 들어있는 모든 컴퓨터들에 영향을 줄 수 있다.
NIS는 결코 안전하지 못하다. 안전하도록 하고자 했던 적조차 없다. NIS는 간편하고 쓸모 있도록 고안되었다. (네트웍 상의 어디에 있건) 당신의 NIS 영역의 이름을 짐작할 수 있는 사람은 당신의 passwd 파일 복사본을 얻을 수 있고, 당신의 사용자 패스워드를 깨기 위해 crack과 john the ripper를 쓸 수 있게 된다. NIS를 속여서 온갖 추잡한 속임수를 쓸 수도 있다. 꼭 NIS를 써야 갰다면, 이런 위험들을 잘 알고 있어야 한다.
5.10 방화벽
방화벽(firewall)은 당신의 지역 네트웍 안팎으로 오갈 수 있는 정보를 통제하는 한 가지 방법이다. 전형적인 방식은 방화벽 호스트를 인터넷과 지역 lan에 연결시키고, lan과 인터넷 사이의 접근은 방화벽을 통해서만 가능하도록 하는 것이다. 이렇게 하면 방화벽에서 인터넷과 당신의 lan 사이를 오가는 정보를 제어할 수 있다.
방화벽을 설정하는 수많은 유형과 방법들이 있다. 리눅스 컴퓨터는 상당히 저렴하면서도 훌륭한 방화벽이 될 수 있다. 방화벽 코드는 컴파일을 통해 2.0 이상의 커널에 바로 삽입될 수 있다. 사용자 공간 도구인 ipfwadm을 쓰면, 사용 중에도 허용되는 네트웍 소통의 유형을 바꿀 수 있다.