이 랩에서는 Linux 에서 커널 락다운 모드 (kernel lockdown mode) 가 활성화되어 있는지 확인하는 방법을 배우게 됩니다. 커널 락다운은 시스템 보안을 강화하기 위해 특정 커널 기능을 제한하는 보안 기능입니다.
/proc 파일 시스템을 통해 cat 명령을 사용하여 커널의 락다운 상태를 검사하고, dmesg를 사용하여 커널 링 버퍼 (kernel ring buffer) 에서 락다운 관련 메시지를 확인하며, /sys/kernel/security 디렉토리 내의 보안 설정을 검사하여 이를 수행할 것입니다. 이러한 단계는 Linux 시스템의 현재 락다운 상태에 대한 포괄적인 이해를 제공할 것입니다.
이 단계에서는 Linux 커널의 현재 락다운 상태를 확인합니다. 커널 락다운은 특히 물리적 접근이 우려되는 시스템에서 보안을 강화하기 위해 특정 커널 기능을 제한하는 보안 기능입니다.
락다운 상태는 /proc 파일 시스템을 통해 노출되며, 구체적으로는 /proc/sys/kernel/lockdown에 위치합니다. /proc 파일 시스템은 프로세스 및 기타 시스템 정보를 제공하는 가상 파일 시스템입니다.
락다운 상태를 확인하기 위해 cat 명령을 사용합니다. cat 명령은 파일의 내용을 표시하는 데 사용됩니다.
아직 열려 있지 않다면 터미널을 엽니다. 데스크탑 왼쪽에서 Xfce Terminal 아이콘을 찾을 수 있습니다.
이제 터미널에 다음 명령을 입력하고 Enter 키를 누릅니다.
cat /proc/sys/kernel/lockdown다음과 유사한 출력을 볼 수 있습니다.
[none] integrity confidentiality출력은 현재 락다운 모드를 대괄호 ([none] 예시) 로 표시하고 사용 가능한 락다운 모드를 나타냅니다.
none: 커널이 락다운 모드에 있지 않습니다.integrity: 사용자 공간에서 실행 중인 커널을 수정할 수 있는 기능을 제한합니다.confidentiality: 사용자 공간에서 커널로부터 기밀 정보를 추출할 수 있는 기능을 제한합니다.특정 출력은 커널 구성에 따라 다를 수 있지만, 구조는 유사합니다. 락다운 상태를 이해하는 것은 Linux 시스템의 보안 상태를 평가하는 데 중요합니다.
다음 단계로 진행하려면 **계속 (Continue)**을 클릭하십시오.
/proc 파일 시스템을 확인하는 것 외에도, 락다운 상태 변경과 관련된 커널 메시지는 종종 커널 링 버퍼 (kernel ring buffer) 에 기록됩니다. dmesg 명령을 사용하여 이러한 메시지를 볼 수 있습니다.
dmesg 명령은 커널 링 버퍼를 검사하거나 제어하는 데 사용됩니다. 부팅 및 런타임 중에 커널에서 생성된 메시지를 표시합니다.
커널 락다운과 관련된 메시지가 있는지 확인하기 위해 dmesg의 출력을 grep으로 파이프하고 "lockdown"이라는 용어를 검색할 수 있습니다. 파이핑 (|) 은 한 명령의 출력을 다른 명령의 입력으로 보냅니다.
터미널에 다음 명령을 입력하고 Enter 키를 누릅니다.
dmesg | grep lockdown다음과 유사한 출력을 볼 수 있습니다.
[ 0.000000] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-... root=UUID=... ro ... lockdown=none
[ 0.000000] Kernel lockdown: Lockdown is disabled.이 출력은 "lockdown"이라는 단어를 포함하는 커널 메시지를 보여줍니다. 부팅 중에 설정된 락다운 상태 또는 나중에 발생한 변경 사항을 확인할 수 있습니다. 정확한 메시지는 시스템이 부팅되고 구성된 방식에 따라 달라집니다.
출력이 표시되지 않으면 버퍼에 락다운에 대한 특정 커널 메시지가 기록되지 않았거나, 버퍼가 가득 차서 메시지가 덮어쓰여졌을 수 있습니다. 그러나 dmesg를 확인하는 것은 커널 수준 이벤트를 확인하는 일반적인 방법입니다.
다음 단계로 이동하려면 **계속 (Continue)**을 클릭하십시오.
이 마지막 단계에서는 /sys/kernel/security 디렉토리를 탐색합니다. /sys 파일 시스템은 커널 데이터 구조에 대한 인터페이스를 제공하는 또 다른 가상 파일 시스템입니다. /sys/kernel/security 디렉토리는 특히 커널에 의해 로드된 Linux Security Modules (LSM) 과 관련된 정보 및 제어를 포함합니다.
LSM 은 커널이 다양한 보안 모델을 지원할 수 있도록 하는 프레임워크입니다. 예로는 SELinux, AppArmor 등이 있습니다.
ls 명령을 사용하여 이 디렉토리의 내용을 나열해 보겠습니다. ls 명령은 디렉토리 내용을 나열합니다.
터미널에 다음 명령을 입력하고 Enter 키를 누릅니다.
ls /sys/kernel/security/로드된 LSM 에 따라 다음과 유사한 출력을 볼 수 있습니다.
apparmor lockdown lsm selinux이 출력은 /sys/kernel/security 내의 하위 디렉토리를 보여줍니다. 각 하위 디렉토리는 종종 로드된 LSM 또는 lockdown과 같은 보안 기능에 해당합니다.
ls 및 cat을 사용하여 이러한 하위 디렉토리의 내용을 더 자세히 검사할 수 있습니다. 예를 들어, /sys/kernel/security 내의 lockdown 디렉토리의 내용을 보려면 다음을 사용할 수 있습니다.
ls /sys/kernel/security/lockdown/그리고 해당 디렉토리 내의 파일, 예를 들어 lockdown 파일 자체 (/proc/sys/kernel/lockdown과 유사한 정보를 포함할 수 있음) 의 내용을 보려면 다음을 사용할 수 있습니다.
cat /sys/kernel/security/lockdown/sys/kernel/security 디렉토리를 탐색하면 시스템에서 활성 보안 모듈 및 해당 구성에 대한 더 깊은 통찰력을 얻을 수 있습니다.
이제 다양한 방법을 사용하여 커널 락다운 상태를 확인하고 /sys 파일 시스템에서 커널 보안 인터페이스를 탐색하는 방법을 배웠습니다.
Lab 을 완료하려면 **계속 (Continue)**을 클릭하십시오.
이 Lab 에서는 Linux 에서 커널 락다운 상태를 확인하는 방법을 배웠습니다. cat /proc/sys/kernel/lockdown 명령을 사용하여 현재 락다운 모드와 none, integrity, confidentiality와 같은 사용 가능한 모드를 확인했습니다. 이러한 모드를 이해하는 것은 시스템 보안을 평가하는 데 중요합니다.
또한 dmesg 명령을 사용하여 커널 링 버퍼에서 락다운 관련 메시지를 확인하는 방법을 탐색했습니다. 이 명령은 락다운 활성화 또는 비활성화와 관련된 내용을 포함하여 커널 이벤트 및 상태 변경에 대한 통찰력을 제공합니다. 마지막으로, /sys/kernel/security 디렉토리 내의 보안 설정을 검토했습니다. 이 디렉토리는 락다운 관련 설정을 포함하여 다양한 보안 모듈 및 해당 구성에 대한 보다 자세한 보기를 제공합니다.
