시험기간에는 다른 공부가 재밌고, 블로그 포스팅이 재밌고, 독서마저도 재밌음
전날(사실 당일이다) 새벽 3시까지 해커톤을 마무리 짓고, 동기들이랑 게임한판 뚝딱하고 집가니 5시였다(악마들의 계략에 넘어갔다) 알람을 기기마다 맞춰서 3종류를 7시반에 맞추고 잤다(눈을 감고 떴더니 쨍쨍)
몸이랑 뇌가 분리된 상태로 지난번과 필기때와 똑같은 성동공고로 향했다.
준비할 때는 일단 굉장히 막막했다. 필기와 달리 기출이나 문제집이 오피셜로 존재하는 것도 아니었기에 폭넓게 보안을 공부했다. 시험은 12문제가 출제되었고,구글링에서 나온 복기자료가 굉장히 도움되었다.(거의 절반은 비슷한 문제로 나온듯) 그리고 남은 문제들은 필기 공부하면서 공부했던 것 + 리눅스에 대한 명령어들이 많이 출제되었다.
VMware를 이용해서 가상머신 상에 리눅스 환경이 세팅되어 있었고, root 계정으로 로그인되어 있었다. 어떻게 사용하는 건지는 현장에서 가볍게 알려주니 그냥 아무 리눅스 쉘로 준비해도 될 것 같다.
같은 길을 준비하는 후배, 동기들에게 본 포스팅이 도움이 되었으면 하는 마음에 문제 복기를 해본다. 문제 순서와 무관하고, 답은 본인이 쓴거기에 100% 정답임을 보장하지는 못한다. 답을 외우지 말고 찾아봄이 좋을것 같다..
Q1. 주어진 Linux 시스템에서 비정상 트래픽이 유발되었다는 신고가 접수되었다. 시스템을 분석하여 root 권한을 획득한 일반계정명과 분석과정을 기술하라.
A1. vi /etc/passwd 로 들어가서 root와 uid, gid가 동일한 계정을 찾는다. (root:x:0:0:root:/root:/bin/bash에서 0:0부분)
Q2. 주어진 시스템의 4000~5000 사이의 TCP 포트번호를 열어 누군가가 허가없이 LISTEN하고 있다. 해당 포트 번호를 찾고 분석과정을 기술하라.
A2. netstat -nat | grep LISTEN 으로 찾는다.
Q3. 주어진 리눅스 시스템 로그 확인결과 Apache 환경파일이 변경되었음을 알았는데 "/etc/httpd.conf"와 "/etc/httpd.conf.old"를 비교하여 변경된 줄 번호와 분석과정을 기술하라.
A3. cmp /etc/httpd.conf /etc/httpd.conf.old 로 비교해본다. (diff 명령어를 써도됨)
Q4. 주어진 리눅스 시스템의 root 꼐정 자동 로그아웃 시간을 30초로 설정해는 과정을 기술하라.
A4. vi /etc/profile 에 들어가서 마지막줄에 TMOUT=30 을 추가해준다.
Q5. 주어진 리눅스 시스템의 암호화 강도가 낮아서 사용자들에게 패스워드를 변경하도록 하였다. 제대로 이행되지 않아 강제적으로 패스워드를 변경하려고 한다. 아래에 제시된 계정 패스워드 정책 설정 과정을 답안에 기술하라.
1. 변경한지 30일이 지나면 무조건 새 패스워드로 변경해야됨
2. 최소한 8자 이상 사용해야됨
A5. vi /etc/login.defs 에 들어가서 PASS_MAX_DAYS를 30으로 바꾸고, PASS_MIN_LEN을 8로 변경한다. 기존 사용자의 경우 /etc/shadow 파일에서 직접 수정하거나 chage -M30 <계정명>, passwd -x30 <계정명>을 사용하면 된다.
Q6. 아래 <내용>이 설명하고 있는 침입탐지기법을 입력하시오.
컴퓨터 프로그램에 침입한 스팸과 바이러스. 크래커를 탐지하는 하나의 개별 시스템이다.
침입자를 속이는 탐지기법으로 실제로 공격 당하는 것처럼 보이게 하여 크래커를 추적하고 정보를 수집한다
침입자를 오래 머물게하여 추적이 가능하게 하여, 능동적으로 방어할 수 있고, 침입자의 공격을 차단할 수 있다.
A6. 허니팟(Honey Pot)
Q7. 주어진 시스템에 누군가가 ICMP 프로토콜을 사용하여 공격을 시도하고 있는데, ICMP 프로토콜은 DoS, 포트스캔, Ping of Death 등 많은 해킹에 이용된다. 모든 ICMP 패킷에 대한 Echo를 무시하도록 하는 과정을 기술하라.
A7. sysctl -A | grep icmp로 echo_ignore_all 에 관한 부분을 찾는다.
vi /proc/sys/net/ipv4/icmp_echo_ignore_all 로 들어가서 0을 1로 바꿔준다.
Q8. (웹로그를 보여주며) 웹 서버가 해킹을 당해서 웹로그를 확인해보았다. 서버가 공격에 뚫린 시점을 [시:분:초]로 나타내라.
A8. 일반적인 html, css, img같은 정보만 왔다갔다 하다가 갑자기 어느시점에 중요 파일들이 빠져나가는 시점이 있다. 이건 딱보면 느낌이 온다.
Q9. (로그파일을 보여주며) 아파치 서버에서 발생한 로그이다. 검색 봇에 해당하는 IP 주소를 작성하라. 없으면 없다라고 작성하고 여러개면 콤마로 구분하라.
A9. robot.txt에 접근하는 IP가 3개 있었는데 그것들이다.
Q10. 서버가 이상하게 느려져서 검토해본결과 본 서버가 스니핑에 사용되고 있다는 판단을 하게 되었다. 판단 근거를 찾아서 기술하고, 해결방법을 서술하시오.
A10. cd /var/log 로 들어가보니 message 파일과 secure 파일이 있었다. cat 명령어로 .message 파일을 확인해본결과 특정 시점에 root 계정을 이용해서 짧은 시간내에 여러차례 특정ip에 여러포트로 접근했다가 실패한 흔적이 있었고, secure 파일에도 동일한 흔적이 있었다. 해당 로그를 판단 근거로 서술하고, 해결법으로는 root 계정이 털린것 같으니 root 계정의 비밀번호를 변경하고 lastlog로 root 계정에 접근한 ip를 확인해서 차단시킨다. 라는 내용을 서술했다.
Q11. 괄호로 중간중간 비워놓고, 해당 용어에 대한 설명을 해뒀다. 괄호에 들어갈 용어를 적는 단답식 문제
A11. '악성코드' 아니면 '바이러스'인것 같은데 아직 모르겠다.
Q12. 로그분석 문제
A11. 공격자 IP 분석 문제였던것 같다.
팁이라면 그냥 구글링해서 기출되었던 문제를 찾고, 정답을 익히면서 공부하면된다. 실전에서 리눅스 명령어 특히 위치가 기억 안날땐 일단 /etc로 들어가보고 /var, /proc/sys 등의 폴더를 찬찬히 돌면서 생각해보면 감이 온다. 실기 시간이 120분인데 20분컷이 가능하다 느긋하게 검산하며 풀어도 시간은 충분하다.
매번 실기 시험때가 되면 조회수가 늘어나네요ㅎㅎ 좋아요, 댓글 환영합니다
결과는 10일정도 있다가 발표한다고 한다.
결과 나올 때까지 공부(시험공부X)할 책도 한권 사봤다. 개념은 이제 조금 감잡을꺼 같아서 실전 예제가 많다고 소개하는 책으로 골라봤다. 다 읽으면 이것도 차차 리뷰해보겠다.
(2021.12.14.) 결과는 합격이였고 이젠 본격적으로 방학 때 보안을 좀 파다가 BoB가 되었던 군대가 되었던... 다음 목표를 정해보겠다
'IT > 자격증' 카테고리의 다른 글
| 정보보안산업기사 필기 합격 후기 & 공부방법 + 공부기간 + 꿀팁 + 문제집추천 (Feat. 컴공 일주일 공부하고 합격하기, 정보보호병) (0) | 2024.03.31 |
|---|---|
| SQLD 합격 후기 & 공부방법 + 공부기간 + 꿀팁 (Feat. 군대에서 노랭이로 공부하고 합격하기) (0) | 2023.09.28 |
| [후기] 정보처리산업기사 22년도 제3회 실기 합격 후기 22.10.17. (0) | 2022.11.25 |
| [후기] 정보처리산업기사 22년도 제3회 필기 합격 후기 22.07.05. (0) | 2022.07.15 |
| [후기] 인터넷 보안 전문가 2급 필기 후기(feat. 정보보호병) (0) | 2021.10.25 |
