juk의 블로그

IPSec VPN

사설망끼리 통신하는 경우만 VPN터널을 타고 통신되도록 설정 터널구간은 20.0.0.0/30 네트워크를 사용 하며 IPSec를 이용한 VPN를 구성

R1(config)#int tunnel 0

R1(config)#ip address 20.0.0.1 255.255.255.252

R1(config-if)#tunnel source 10.0.0.1

R1(config-if)#tunnel destination 10.0.0.2

R1(config-if)#exit

R1(config)#crypto isakmp policy 1

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#hash sha

R1(config-isakmp)#group 2

R1(config-isakmp)#exit

R1(config)#crypto isakmp key 0 cisco address 10.0.0.2

R1(config)#crypto ipsec transform-set IPSEC esp-3des ah-sha-hmac

R1(cfg-crypto-trans)#exit

R1(config)#crypto map VPN 1 ipsec-isakmp

R1(config-crypto-map)#set peer 10.0.0.2

R1(config-crypto-map)#set transform-set IPSEC

R1(config-crypto-map)#match address 100

R1(config)#access-list 100 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255

R1(config)#route-map SKILL permit 1

R1(config-route-map)#match ip address 100

R1(config-route-map)#set ip next-hop 20.0.0.2

R1(config)#int tunnel 0

R1(config-if)#crypto map VPN

R1(config-if)#int fa 0/0.10

R1(config-if)#ip policy route-map SKILL

R1(config-if)#int fa 0/0.20

R1(config-if)#ip policy route-map SKILL

R2(config)#int tunnel 0

R2(config)#ip address 20.0.0.2 255.255.255.252

R2(config-if)#tunnel source 10.0.0.2

R2(config-if)#tunnel destination 10.0.0.1

R2(config-if)#exit

R2(config)#crypto isakmp policy 1

R2(config-isakmp)#encryption 3des

R2(config-isakmp)#hash sha

R2(config-isakmp)#group 2

R2(config-isakmp)#exit

R2(config)#crypto isakmp key 0 cisco address 10.0.0.1

R2(config)#crypto ipsec transform-set IPSEC esp-3des ah-sha-hmac

R2(cfg-crypto-trans)#exit

R2(config)#crypto map VPN 1 ipsec-isakmp

R2(config-crypto-map)#set peer 10.0.0.1

R2(config-crypto-map)#set transform-set IPSEC

R2(config-crypto-map)#match address 100

R2(config)#access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255

R2(config)#route-map SKILL permit 1

R2(config-route-map)#match ip address 100

R2(config-route-map)#set ip next-hop 20.0.0.1

R2(config)#int tunnel 0

R2(config-if)#crypto map VPN

R2(config-if)#int fa 0/0

R2(config-if)#ip policy route-map SKILL

- 해설

crypto isakmp key 0 cisco address 10.0.0.1// cisco는 서로간의 인증암호 이며 10.0.0.1은 암호를 교환하며 터널링을 맺을 라우터의 실제 인터페이스 주소

crypto ipsec transform-set IPSEC esp-3des ah-sha-hmac// ipsec를 구성하기 위한 문장이며 IPSEC는 자신이 만들 정책이름을 뜻함

crypto map VPN 1 ipsec-isakmp// ipsec를 인터페이스에 씌우기 위해 정책을 만드는 것이며 VPN은 자신이 만들 정책이름

set peer 10.0.0.1// ipsec VPN을 맺을 라우터의 실제 인터페이스 주소

set transform-set IPSEC// ipsec VPN을 맺을때 사용하는 transform으로 IPSEC정책을 이용

match address 100// ipsec VPN은 이 주소에 정의된 주소규칙만 허용

route-map SKILL permit 1// 강제로 통신경로를 지정하기위해 사용

match ip address 100// 통신시킬 주소를 정의

set ip next-hop 20.0.0.1// 위의 acl이 움직일 때 반드시 이 주소로 통신하게 설정, 그러니 쉽게 풀자면 acl100이 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255 이렇게 되어있다면 192.168.0.0/24 네트워크가 172.16.0.0/24로 통신하는 경우는 상대편 라우터의 20.0.0.1 주소로 패킷전송

crypto map VPN// 정의한 인터페이스에 VPN정책을 적용

ip policy route-map SKILL// 정의한 인터페이스에 강재라우팅 정책을 적용

사용자계정

●유저 생성

데비안 에서는 adduser와 useradd가 같지 않다.

adduser는 여러 질의를 통해 유저를 생성하고, useradd는 명령어 한 줄에 여러 옵션들을 적용해 유저 생성

그리고 newusers라는 게 있는데 파일하나를 만들어 유저정보를 입력하고(형식은 /etc/passwd파일과 똑같이 해야 함) newusers <파일이름>을 치면 유저정보가 있는 파일에 있는 내용이 passwd파일에 그대로 올라간다.

ex)

- adduser 만들기 예제

# adduser sample

Adding user 'sample'...

Adding new group 'sample' (1004)

Adding new user 'sample" (1004) with grouop 'hey; ...

Creating home directory '/home/sample' ...

Copying files from 'etc/skel' ...

Enter new Unix password:

Retype new UNIX password:

.

.- useradd 만들기 예제

# useradd sample

#

참고로 useradd는 -m 옵션을 넣지 않으면 홈 디렉터리를 만들지 않는다.

useradd 옵션

-u : uid 지정

-g : 메인 그룹 지정(gid나 그룹이름이나 상관없음)

-m : 홈 디렉토리 생성 명령어

-d : 기본 홈디렉토리 경로로 하고 싶지 않을때 홈 디렉토리 경로 따로 설정

-s : 사용하고 싶은 쉘 선택

-G : 보조 그룹 지정

-e : 계정 사용 기간 설정(2009-11-01)

-o : 이미 존재하는 uid나 gid를 지정 하게 해 줄수 있는 옵션

옵션을 지정하지 않으면 /etc/default/useradd에 있는 옵션을 적용

- newusers 만들기 예제

# vim userfile// 유저정보파일을 먼저 만들어 놔야함

--------------------------------------------------------------------

sample1:123:501:501::/home/sample1:/bin/bash

sample2:123:502:502::/home/sample2:/bin/bash

--------------------------------------------------------------------

sample2:123:502:502::/home/sample2:/bin/bash 해석하면

-> ID=sample2 비번=123 uid=502 gid=502 홈 디렉토리=/home/sample2 쉘 bin/bash

# newusers userfile

# vim /etc/passwd

--------------------------------------------------------------------

root:x:0:0:root:/root:/bin/bash

.

.

.

sample1:x:501:501::/home/sample1:/bin/bash

sample2:x:502:502::/home/sample2:/bin/bash

--------------------------------------------------------------------

이제 sample1으로 로그인 해보면 로그인이 된다.

● /etc/passwd 파일

# vim /etc/passwd

--------------------------------------------------------------------

root:x:0:0:root:/root:/bin/bash

daemon:x:1:1:daemon:/usr/sbin:/bin/sh

.

.

gold:x:1000:1000:gold,,,:/home/gold:/bin/bash

--------------------------------------------------------------------

사용자이름:패스워드:UID:메인GID:사용자 진짜 이름:홈 디렉토리:쉘

● /etc/shadow 파일

# vim /etc/shadow

--------------------------------------------------------------------

root:$ad45aIDIIadj$:14534:0:99999:7:::

.

.

gold:$6123dfsas:14534:0:99999:7:::

--------------------------------------------------------------------

사용자이름:패스워드:마지막 패스워드변경일로부터 지난 날:몇 일이 지나야 바꿀 수 있는지:패스워드를 반드시 바꿔야 하는 날로부터 며칠이 지나 갔는지:패스워드가 만기 되었음을 몇일동안 건지:패스워드가 만기되어 계정 사용불가가 된지 며칠이나 지났는지:계정 사용불가가 된 것이 1970-1-1일부터 계산하여 며칠째 됫는지:차 후 확장을 위해 남겨둔 항목

● /etc/default/useradd 파일

- useradd 명령어를 주면 이 파일에서 설정된 옵션들이 적용해 생성한다.

# vim /etc/default/useradd

--------------------------------------------------------------------

SHELL=/bin/bash// 쉘 방식 선택

GROUP=100// 기본 소속 보조그룹(우분투9.04버전에선 무시)

HOME=/home// 홈 디렉토리 선택

INACTIVE=-1// 패스워드 종료일 이후 유효 기간 (-1 사용안함)

EXPIRE=// 계정 종료일

SKEL=/etc/skel// 이 폴더안에 있는 파일이 홈 디렉토리 안에 생성됨

CREATE_MAIL_SPOOL=yes// 메일 스풀 파일 만들건지 말건지

--------------------------------------------------------------------

※ 지시문 앞에 빈칸이 있으면 인식이 안 된다.

● /etc/adduser.conf

- adduser 명령어를 주면 이 파일에서 설정된 옵션들이 적용해 생성한다.

# vim /etc/adduser.conf

--------------------------------------------------------------------

DSHELL=/bin/bash// 쉘 방식 결정

DHOME=/home// 홈 디렉토리 설정

GROUPHOMES=no// 메인 GID안에 홈폴더를 만들건지(유저 아이디 sample 이고 메인 그룹이 stu라면 경로가 /home/stu/sample)

LETTERHOMES=no// 유저의 첫글자를 딴 폴더안에 홈폴더를 만들건지(유저 아이디 xuser 경로 /home/x/xuser)

SKEL=/etc/skel// 이 폴더안에 있는 파일이 홈 디렉토리 안에 생성됨

FIRST_SYSTEM_UID=// system uid의 첫 번째 uid 범위

LAST_SYSTEM_UID=// system uid의 마지막 uid 범위

FIRST_SYSTEM_GID=// system gid의 첫 번째 gid 범위

LAST_SYSTEM_GID=// system gid의 마지막 gid 범위

FIRST_UID=// adduser명령어로 만들어진 유저의 첫번째 UID범위

LAST_UID=// adduser명령어로 만들어진 유저의 마지막 UID범위

FIRST_GID=// 기본 소속메인 그룹의 첫 번째 GID범위

LAST_GID=// 기본 소속메인 그룹의 마지막 GID범위

USERGROUPS=yes// 유저 생성시 사용자 이름(UID)과 같은 그룹(GID)을 만 들어 메인 GID로 적용할건지(sample:x:1000:1000)

USERS_GID=1000// 위 값이 no일시 모든 사용자의 메인 GID를 설정

DIR_MODE=0755// 홈 디렉토리 퍼미션 설정

SETGID_HOME=

QUOTAUSER=""

SKEL_IGNORE_REGEX=

GRUB

리눅스에서 사용하는 부트로더중 하나이다. OS의 커널을 로드 하고 커널파라메터를 커널에 넘겨주는 역할을 한다.

# vim /boot/grub/menu.lst

--------------------------------------------------------------------

# menu.lst - See: grub(8) ...

.

.

default0

timeout5

color cyan/blue white/blue

.

.

titleDebian GNU/Linux, kernel 2.6.26-2-686

root(hd0,0)

kernel/boot/vmlinuz-2.6.26-2-686 root=/dev/sda1 ro quiet

initrd/boot/initrd.img-2.6.26-2-686

titleDebian GNU/Linux, kernel 2.6.26-2-686 (single-user mode)

root(hd0,0)

kernel/boot/vmlinuz-2.6.26-2-686 root=/dev/sda1 ro single

initrd/boot/initrd.img-2.6.26-2-686

titleWindows NT/2000/XP

root(hd0,2)

savedefault

makeactive

chainloader+1

--------------------------------------------------------------------

default0

-> timeout이 끝낫을때 몇 번째 title로 부팅할지

timeout5

-> 몇 초 뒤에 기본 title로 부팅할지

hiddenmenu

-> 부팅시 GRUB 메뉴를 보여주지않음 (데비안에는 기본옵션으로 없음 추가해줘야함)

color cyan/blue white/blue

-> color 글자색/배경색 선택된글자색/선택된배경색

글자 색과 배경색에 모두 사용 가능한 색깔은 black, blue, green, cyan, red, magenta, brown, light-gray 이고, dark-gray, light-blue, light-green, light-cyan, light-red, light-magenta, yellow, white는 글자 색에만 사용

hid

titleDebian GNU/Linux, kernel 2.6.26-2-686

-> 부팅시 GRUB 메뉴에서 표시될 이름

root(hd0,0)

-> 부트파티션이 있는 파티션 번호 (hd0,0)은 sda1이랑 같음

kernel/boot/vmlinuz-2.6.26-2-686 root=/dev/sda1 ro quiet

-> 커널 이미지 경로 root파티션 장치명(경로) 커널파라미터

initrd/boot/initrc.img-2.6.26-2-686

-> initrc 이미지(리눅스 부팅 과정에서 루트 파티션을 사용하기 전 준비 작업 으로서 실행되어야 할 프로그램을 압출해서 담아 놓은 초기화 루트파일) 경로

root(hd0,2)

-> 윈도우가 깔려있는 파티션

rootnoverify(hd0,2)

-> rootnoverify는 root와 비슷하지만 해당 파티션을 마운트하지 않는다. NTFS 파티션처럼 GRUB이 인식할 수 없는 파티션을 루트 장치로 지정할 때 사용(기본으로 없는 옵션)

makeactive

-> GRUB의 루트 디바이스를 부팅 가능한 파티션으로 지정

chainloader+1

-> makeactive 명령으로 부팅 가능하도록 지정된 파티션의 첫 번째 섹터부터 읽어들이기 시작해 부팅을 시작하도록 하라는 뜻

· 커널 파라미터 종류

quite : 커널 메시지를 화면상에 출력되지 않게 하는 옵션

vga : 화면 해상도 설정

ro : read only로 마운트

single : single유저 모드로 부팅

grub비밀번호

방법1.

# grub

grub> md5crypt

Password: <비밀번호입력>

Encrypted: $nafqew/fd33lsdfaksd,/afsd.

컨트롤 + C로 빠저나옴

# vim /boot/grub/menu.lst

.

.

password --md5 $nafqew/fd33lsdfaksd,/afsd.

-> timeout 밑부분쯤에 password입력하고 나온 문자를 password --md5 다음에 적어줌

방법2.

# grub-md5-crypt

Password: <비밀번호입력>

Retype password: <확인차재입력>

$nafqew/fd33lsdfaksd,/afsd.

# vim /boot/grub/menu.lst

.

.

password --md5 $nafqew/fd33lsdfaksd,/afsd.

-> timeout 밑 부분쯤에 password입력하고 나온 문자를 password --md5 다음에 적어줌

방법3.

# grub-md5-crypt > grubpass

<비밀번호입력>후엔터// 출력을 grubpass파일로 해놔서 모니터 상에서 안 보인다.

<비밀번호재입력> 후엔터

# cat grubpass// 파일에 재대로 기록 되었는지 확인

Password:

Retype password:

$nafqew/fd33lsdfaksd,/afsd.

# vim /boot/grub/menu.lst

파일이 열리면 아무것도 건들지말고 컨트롤 +w n을 눌러준다. 그러면 창이하나 더생기는데 :e grubpass를 입력해서 새창에 grubpass파일을 불러온다 그러면 윗 창에 생기는 암호가 생기는데 yy로 복사한뒤 컨트롤 + w w로 grub파일로 이동한 뒤 p를 눌러 옴겨놓고

timeout 밑쯤에

password --md5 $nafqew/fd33lsdfaksd,/afsd. 를 추가해준다.