BLOG ARTICLE OS | 91 ARTICLE FOUND

  1. 2011.06.15 파티션정보확인하기
  2. 2011.06.10 우분투 자체서비스인 vcn을 이용한 원격제어
  3. 2011.06.03 VMware 아무나 모르는 인터페이스 연결방식의 원리
  4. 2011.06.03 0604 보안템플릿 감사 및 보안로그
  5. 2011.06.02 0602 조직구조내 개체에 대학 엑세스 관리
  6. 2011.06.02 0531 1,2,3 장 사용자계정관련
  7. 2011.06.01 윈도우 IPC$ C$ ADMIN$ 없애기 1
  8. 2011.06.01 0601 그룹관리, 엑세스 제어, printer
  9. 2011.05.16 우분투에서 java 설치하기
  10. 2011.05.13 0513 공부정리, solaris 보안셋팅 및 , 디스크 full 시 교체, telnet관련, 가상랜을 이용한 네트워크 추가 및 인터넷 엑세스

파티션정보확인하기

OS/우분투 2011. 6. 15. 10:48
/proc/partitions 파일을 열어보면 정보확인가능

또는

GUI환경으로 보고 싶으면
sudo gparted  이렇게 쳐도나옴 

 gparted에서는 새로운 파티션추가 삭제 가능
예전에 우분투 먼저 설치하고 나중을 위해 할당해놓지 않았던 공간 200G정도를 gparted를 이용해서 붙인적이 있음.
 
저작자표시 비영리

'OS > 우분투' 카테고리의 다른 글

FreeNX(서버) 우분투에설치  (0) 2011.06.29
우분투 uuid 확인하는 방법  (0) 2011.06.15
우분투 자체서비스인 vcn을 이용한 원격제어  (0) 2011.06.10
우분투에서 java 설치하기  (0) 2011.05.16
Find 파일내 문자열 검색  (0) 2011.05.06
AND

우분투 자체서비스인 vcn을 이용한 원격제어

OS/우분투 2011. 6. 10. 14:17
그냥 우분투와 우분투를 원격제어할때는 다음과같이사용한다

서버우분투에서
 시스템 > 기본설정 > 원격데스크탐 에가서
  


이거 고대로 셋팅하면된다. 
접속암호해주고 
그리고  메뉴에 인터넷 > 원격제어 뷰어 보면에서 IP치면 접속된다 . 

근데 이건 로컬이나 사내에선 괜찮은데 멀리떨어지면.... freeNX쓰자
 

저작자표시 비영리

'OS > 우분투' 카테고리의 다른 글

우분투 uuid 확인하는 방법  (0) 2011.06.15
파티션정보확인하기  (0) 2011.06.15
우분투에서 java 설치하기  (0) 2011.05.16
Find 파일내 문자열 검색  (0) 2011.05.06
아수스 1215T 유선랜 드라이버 atl1c & 버그 발견.  (0) 2011.05.01
AND

VMware 아무나 모르는 인터페이스 연결방식의 원리

OS/windows 여러가지 2011. 6. 3. 20:38
작성자 : 유창훈

인터페이스 연결방식
 
 Bridgd                  Host Only                 NAT


1.Bridge

논리적인 그림
 case 1
 


case 2              실제 보유하고 있는 공인 IP만를 할당할 수 있다. 





물리적으로 표현하면 다음과 같다.  
하나의 포트를더 쓰고 있는 것과 같은 구조이다. 실지론 한포트만이지만.


아래 그림과 같이 공인IP 200.200.200.200과 200.200.200.201 을 사용하는 경우에 172.16.1.10~ 172.16.1.11 의 내부 내트워크는 서로간에 통신읋 하지 못한다.


2. HOST ONLY

외부로부터 독립된 요새!

Vmware는 새로운 guest OS가 host only로 추가될 시에 Vmnet.exe라고 하는 각 유형마다 할당된 스위치 프로세서에 하나를 의 OS를 더 추가하는 개념으로 상호통신이 가능하지만 다른 가상화도구인 Virtual BOX나 MS 의 Virtual PC의 경우는 독립된 Vmnet.exe스위치의 생성으로 서로간의 통신은 불가하다.




논리적인 개념 



물리적인 그림

다음의 경우처럼 Guest OS는 HOST oS에 물려있다. 





3. NAT


그림에서보는 빨간색선은 우리가 일반적으로 생각하기 쉬운 경로인데 그것이 아니다!!!!!



vmnet8번이 없어도 통신가능하다 하지만 없으면 다음과 같이 불편한 경우가 발생한다.


여기서 만약 VMnet 8 이 없다면????
다음의 경우를 보자





위에GuestOS관리시 컴퓨터에서 8번이 없어도 통신가능하다 . 하지만 !!
패킷이 라우터와 스위치를 거처 HOST PC를 거쳐 유입될 시에 VMnet8이 없으면 GestOS로 가기위해 다시 reverse NAT을 통해 찾아가야 하므로  복잡한 작업이이루어진다.

GuestOS의 관리 효율을 위해 VMnet8이 존재하는 것이다.GuestOS의 관리 효율을 위해 VMnet8이 존재하는 것이다.



 


저작자표시 비영리

'OS > windows 여러가지' 카테고리의 다른 글

[유틸] exe to TXT  (0) 2011.08.01
[유틸]bat to exe  (0) 2011.08.01
윈도우 IPC$ C$ ADMIN$ 없애기  (1) 2011.06.01
Windows 7의 성능(Performance)은 windows xp에 비해 어떻게 향상되었을까요?  (0) 2011.02.10
windows 7에서 우분투 10.10 원격접속하기  (0) 2011.02.10
AND

0604 보안템플릿 감사 및 보안로그

OS/windows server 2003 2011. 6. 3. 20:16
9장 보안템플릿적용. 보안정책 테스팅, 감사설정, 보안로그 관리
사용자권한설정
mmc > 스냅인추가제거 > 그룹정책편집기 추가 > 컴퓨터 구성 > 윈도우설정 > 로컬정책 > 사용자관리권한
보안템플릿( c: windows/security/templates / .....  )
기존에 전체적으로 적용되는 보안정책을 일일이 수정하려면 힘드니까 미리 정의된 틀 같은것을 사용하는 것.
되돌리기가안되니까 덮어쓰기 쓰기 전에 백업해야 한다. 
보안정책을 수정했을때, 기존의 보안정책과 다른 점을 비교 분석해야 하므로 분석도구를 사용해서 비교한다. 

감사설정
현재 시스템을 모니터링, 이벤트가 발생했고 결과가(로그) 어떻게 되었고 어떻게 관리하겠다. 
기준을 적용해서 해킹 전과 해킹 후의 변화점을 파악가능. 
감사정책은 로그 기록으로 한다.   >>> 이벤트 유형에 따른 로그기록
전부다 기록하지말고 , 유형에 상황에 따라 성공, 실패 둘다 같은 어떤것을 로그에 기록할지 결정해야 한다. 모두다 기록하면, 성능과 용량에 안좋다. 

폴더 우클릭에 보안에 고급보안에 가면 감사 탭에 설정가능
확인 은 관리도구의 이벤트 뷰어에 남아있다. 보기에서 필터 , 검색이 있다.            

이게 좀 불편하므로 이벤트 뷰어에 저장하고 싶은 메뉴(ex > 보안)에 우클릭후 저장
저장을 *. csv파일로 한다. (실제로 Windows/system32/Config/ 아래 있다. )    
실제로 이렇게 로그 분석하는건 보여주는 식이고 잘 하지 않지만,,,, 그래도 팁이다

MS의 로그파서라는 프로그램을 다운받아 sql형식으로 관리가능하다. 

10 파일시스템
새로운 하드 추가해서 문자 이름으로 하지말고 C 밑에 포인팅 개념으로 붙여넣을 수 있다. 

MBR

GPT : 아이태니엄 64비트 CPU 에 제공되는 윈도우에만 적용된 디스크 파티셔닝
윈도우 2003서버에서도 가능(서비스팩 1이상설치시에)
인텔의 서버용 CPU인 아이태니엄에만 제공되었으나 지금은 x86버전에서도 지원됨
주파시셔닝 128개까지 가능

기본디스크 : 그냥 디스크 .    동적 디스크로 변환가능
동적디스크 : 레이드 구성을 위한 디스크 .  기본 디스크로 변환하면 손실위험있다. 하지마라
동적디스크의 단순볼륨(심플볼륨이) 되어야 한다.

레이드 : 성능적 향상과 데이터 보존의 안정성(내결함성)

* 컨케이트네이트에서 growfs를 하면 확장가능
단순불롬 : 기본적인 파일 볼륨
확장불륨 : 윈도우에서는 스팬볼륨(확장볼륨2000 이상) 이라고 컨케이트네이트를 부른다.  
NT4.0에서는 Volume set   ,    
리눅스에서는 LVM(레이드라고 여기지 않음)
* LVM : 100+ 100 = 150+50

윈도우에서 디스크관리자
> 추가된 하드디스크가 보일것임
> 디스크 2 라고 표시된 부분 우클릭 디스크 초기화> 여기서 그냥 디스크 포멧해서 써도 되고 디스크 문자 할당하지 않고 c:\ 하위에 폴더형식으로 합류시킬수있다.( 비어있는 NTFS 폴더에 탑재)
> 다시 디스크 2라고 표시된 부분에서 동적디스크로 할당 선택
> 옆에  그래프 부분에 가서 우클릭 새 볼륨할당
> 볼륨마법사에서
단순, 스팬, 스트라이프, 미러 선택가능
단순은 그냥 일반 디스크
스팬은 단순 확장(컨케이트네이트)
스트라이브는 두개의 드라이브를 번갈아가며 저장
미러는 단순 복제 ( 2중 복제임)
> 다음으로 넘어가면 각 선택에 따른 디스크를 선택할 수 있는데, 마찬가지로 동적할당이 되어 있는 디스크여야만 함
 


 
저작자표시 비영리

'OS > windows server 2003' 카테고리의 다른 글

Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가  (0) 2011.08.08
0602 조직구조내 개체에 대학 엑세스 관리  (0) 2011.06.02
0531 1,2,3 장 사용자계정관련  (0) 2011.06.02
0601 그룹관리, 엑세스 제어, printer  (0) 2011.06.01
AND

0602 조직구조내 개체에 대학 엑세스 관리

OS/windows server 2003 2011. 6. 2. 19:59
6장. 조직구조내 개체에 대한 억세스 관리
1. 엑티브 디렉터리 개체의 권한수정
 
2. 조직구조의 제어 위임

OU의 특징
1. 조직화
2. 위임(관리)
3. 정책(GPO :  Group Policy Object )

Group 
Permission 부여 ( 보다 쉽고 확장 고려 해서 만들어 진 것이 그룹이다)

종류
로컬 , 도메인 로컬, 글로벌, 유니버셜 그룹
* AD환경에서 입력가능한 모든값(= 속성 = 주소, 이름,부서...  ===>>> "스키마")

AD에서 유효사용권한이나, 상속의 개념은 NTFS랑 다르다.


 AD에서 개체 권한
권한 종류
: 모든권한, 쓰기, 읽기, 모든자식 개체 만들기, 모든 자식 개체 삭제    =====> ACE
권한별 설명
: 읽기 : 기본이다. AD의 장점 검색이 가능해야 하기 때문에
모든권한
NTFS의 소유권가져오기 : take ownership - 다른사람의 권한 통째로 가져오기 (양도불가)
원진이가 중요문서를 자기만을 소유권자로 해놓고 잠수탔을때, 관리자가 고급보안설정에서 소유자탭

사용자등록정보에서 왼쪽에 Dram사업부에 정민이 넣고 dram밑에 개발팀에 창훈이와 득원이가 있다. 여기서 창훈이 등록정보에 조직에 가서 관리자에 정민이 넣고 득원이 등록정보 조직에 관리자에 창훈이 넣으면 창훈이 등록정보 부하직원에 득원이가 나온다. 

이제 정민이가 관리자의 모든권한이 아닌 Dram사업부내에서 모든 권한을 가지도록 해보자   ====>> ACE를 고쳐야한다. 엑티브 디렉토리 내의 스키마를 변경가능하도록해준다.
AD사용자관리자에서 Dram사업부 우클릭해서 제어 위임 해서 원하는 권한만 선택가능


AD사용자관리에서 보기의 보안을 클릭하면, 히든되있는게 많이 나온다


* 권한 계산
NTFS랑 똑같다


NTFS에서는 압축 쿼터 EFS 
쿼터는 디스크드라이브 우클릭해서 할당량 조절하는거, 관리자로 들어가서 전체 할당량 조절할 수 있고 할당량 항목에 들어가서 개별 사용자별 할당량을 조절할 수 도 있다. 
압축과 EFS는 동시 적용 불가능하다
압축은 논리적으로 압축

EFS로 압축된건 압축한 사용자밖에 못본다. 백업은 도구의 인터넷 옵션에서> 내용 >인증서 > 인증서 내보내기 



7. GPO
 
그룹정책의구현 (Active Directory 구조상에서)
대상 :  GPO > S(Site)  > D(Domain)  > O(OU)         ===>>>>> 정책은 위에서 아래로 내려오고, 하부정책은 위에 정책과 충돌되면 오버라이드 되어 하부가 우선시되고 Link를 통해서 적용이된다.
 
Site : 도메인간 떨어져있는 물리적구조

GPO의 영향은 두가지에 영향을 준다
유저 와 머신          : 사용자들은 12시 부터 사용하지마라 하면 컴퓨터는 사용할 수 있다. 
 
물리적으로 Site에 걸어줄 수 있고 논리적으로 Domain과 OU에 걸어줄 수 있다. 
정책설정은 그룹정책 개체 편집기를 통해서 가능하다. ===== gpedit.msc   >>>>>> 엑티브디렉토리에서 하는것임
사용자구성, 컴퓨터 구성으로 나뉜다.   사용자 정책은 로그인할 때 컴퓨터정책은 부팅할때 적용된다. 

로컬에서는 로컬 관리자로 접속후 로컬 보안설정에서 여러가지 설정가능

AD에서 멤버 컴퓨터들에게 적용할때 이렇게 적용한다 
 
멤버에서 도메인 관리자로 들어가서 mmc로 스냅인추가제거에서 추가 들어가서 정책편집기> 찾아보기> default domain policy 들어가서 제어판이나 여러가지 버튼 감추기 할 수도 있다. 

사용툴은 GPMC 라는 툴을 사용한다. 기본으로 그룹정책편집기가 있지만 잘 사용안한다.   ===>
mS 홈피에서 GPMC검색


 

nwtraders.msft 우클릭하면 등록정보에 그룹정책에 보면 적용되는 정책을 알 수 있다. 
1. 기존에 default domain policy가 있으니까 그게 전체 적용되니까,  새로운 정책을 원하는 부서에만 적용되도록 새로 만들어 보자
2. mem01에서 dc관리자 계정으로 가서 nwtraders.msft 영업부에가서 그룹정책에 새로만들기는 새로 정책생성과 링크도 해주고, 추가는 기존 정책에 링크만해준다
3. 새로만들기 해서 이름적고 만들어서 더블클릭 그룹정책이 열린다. 
4. 세부정책을 적용하면된다.여기서 정책 별로 정책이 적용되는 범위도 정하고 예외도 적용하고 해야한다. 
        5. 그러면 영업부에 속해있는 유저들은 방금 생성한 정책에 적용을 받게된다.  



* GPO 는 세부적으로 SYSVOL안에 GPT 와 GPC 이루어져있다.
(GPT 에 셋팅내용들어있고, GPC는 버전으로 이루어져있다. )
사용자는 로그인시에 SYSVOL안에 GPT정보를 가져와서 레지스트리에 적용하고 로그아웃할때 지워지고 , 이런식이다.
GPT 는 c:\windows\SYSVOL\sysvol\nwtraders.msft 이하 내용들 .... 레지스트리값으로 ini파일들
GPC  는 active directory 사용자 및 컴퓨터에서 nwtrader.msft >  system > Policies 밑에 있는 것들


GPMC에서는 해당 적용하고 싶은 팀 에 가서 우클릭해서  첫번째꺼하면 새로운 정책 생성후 링크도 됨
GPMC에서 Link order순서는 아래서부터 적용되는 순서로 읽어야된다. 밑에서 위로... 그래서 옵션없을시 1번 정책이 최후 적용되는 정책이다. 


* GPO 가 충돌할때 상속에 대한 수정옵션  
무시안함 = no overide = Enforced 하면 A B C 이렇게 상위에서 내려오면 C에서 앞에 옵션들 걸어주면 B옵션이 적용된다. 
--------------------------------------------------------------------------

8장 폴더 리디렉션 구성

1. 공유폴더생성(보안을 위해 숨김공유설정권장 $)
1) 권한은 everyone제거, authenticated users에 Full Control을 부여
2) GPMC를 이용해서 정책 GPO정책 생성 및 편집 적용
3) 사용자 설정 -windows - 폴더 리디렉션 - 내문서- 속성 ((고급/ 기본))
기본 --- 대상폴더(루트경로 이해 경로로 지정)
4) 컨테이너에서 레벨에 따라 (site - domain - ou) 적절하게 링크하여 사용

링크 참조 http://blog.naver.com/hjsjss?Redirect=Log&logNo=70033081897




저작자표시 비영리

'OS > windows server 2003' 카테고리의 다른 글

Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가  (0) 2011.08.08
0604 보안템플릿 감사 및 보안로그  (0) 2011.06.03
0531 1,2,3 장 사용자계정관련  (0) 2011.06.02
0601 그룹관리, 엑세스 제어, printer  (0) 2011.06.01
AND

0531 1,2,3 장 사용자계정관련

OS/windows server 2003 2011. 6. 2. 19:50
access token을 부여받는다.
엑티브 디렉토리 구조에서 , 하나의 도메인 안에서 인증받게 되면
다른 도메일을 가서도 인증을 안받아도 된다.

* 로그인 : 시스템에 들어가기위해 ID pass를 인증받는것(그냥 로그인프로세스만돌아간다,인증만)
로그온 : 로그인을 포함한 여타의 다른 서비스를 (로그인프로세스 + 권한할당, 정책, 영역...)

* 숙제 : 윈도우상의 기본적인 프로세스들 조사 역할 공부 정리

윈도우는 winlogin.exe 로그온 프로세서이다. 
윈도우 로그온은 
로컬로그온 처리   >xp에서 로그온 대상이 "이 컴퓨터"
도메인 로그온 처리   > xp에서 로그온 대상이 "DC"
세컨더리 로그온 처리 > Run AS   = su와 같은 방법 ; Shift + 우클릭해서 다음계정으로실행
스마트 카드 로그온 처리    > 
네트워크 로그온 처리 >

DC가 있는 운영체제(2003)에서 로그온 대상이 "이 컴퓨터가" 없는 이유?
보안적인 이유  >> 기본적인 보안정책에 의해 막고 있다. 


2003에서 관리도구 >  엑티브디렉토레 사용자 및 컴퓨터 > wtraders.msft    > 개체프레임에서 우클릭
> 새로만들기 ( 사용자)  > 새개체 성과 이름 사용자 로그온 이름 적고 > 암호입력 >마침

xp에서 추가된 계정확인해보기, 사용자계정에서 확인 >  administrator에서 기존에 암호없이 잘썼는데 도메인에 합류하는 순간 정책이 적용되어 암호가 없으면 안되기때문에 새 암호생성해준다
> 그리고 새로 로그온한다(administrator)    >   확인후 로그오프   > wjlee로 로그온한다
=======>>>이게 로컬로그온과 도메인 로그온이다.

원격에서 DC를 관리하기위해 콘솔관리하기위해.
xp에서 DC의 관리자로 로그인해서 xp에서 관리도구가 안보이므로 작업표시줄 우클릭해서 사용자지정에 관리도구표시
> xp 관리자로 로그인해서 >2003서버설치시디넣고 > i386디렉토리의 ADMINPAK설치(서비스팩 1 핫픽스 329474가 깔려있어야한다)
> 사용자 추가해서 > DC에 추가되었는지 확인하고 > Xp에서 추가한 계정으로 접속 >  접속할때 dwlee@nwtraders.msft   로 하면 밑에 귀찮게 안해도 된다. 
> 이제 run as를 해보기위해  "Active Directory 사용자 및 컴퓨터에 shift 우클릭하고 
> administrator@nwtraders.msft 로 로긴하면 su와 같은 효과가 난다.



윈도우에서 암호는 
최대 20자 까지 가능
커퍼로스 사용하면 255자까지 
단점중하나는 레거시 시스템( 암호의 복잡도가 높으면 이전 버전과 호환성이 안좋을수있다)
윈도우에서 대소문자 구분은 레지스트리와 암호입력 뿐임
moc 2003에서 알려주는 2003 기본 암호는   admonistrator  /  P@ssw0rd
moc 2008에서 알려주는 2003 기본 암호는   admonistrator  /  Pa$$w0rd


MMC
스냅인을 이용한 통합 관리도구
나만의 MMC만들기
xp에서 DC에 관리자로 로그온
시작의 실행 > mmc > 스냅인추가 > 추가할거 추가하고 확인 
ex>디스크 관리를 로컬과, 다른 멤버의 디스크 관리를 추가하면 하나의 콘솔에서 여러대의 관리가능


도움말 및 지원센터> 위쪽의 옵션> 왼쪽의 윈도우 도움말 설치 및 공유 >디스크에서 도움말설치> 찾아보기 > 2003서버 시디 찾아 설치


OU 조직구조 ?
도메인내에서 개체를 조직화 하기위해서 사용한다
이는 그룹과는 다르다.
OU는 정책을 내리는 단위, 그룹은 권한을 내리는 단위... 헷갈리지말자

NT 4.0 은 5000개까지 개체지원
Active Directory 는 거의 무한대의 개체 지원
OU는 보안의 용도가 아니라 권한 부여가 안된다.   --> 도메인 개체를 조직화한다. 그룹핑한다. 
==> 관리의 위임을 위한 최소단위가 된다. & 정책을 적용 대상 단위

조직 구조의 계층적 모델
기능기반 =  마케팅 영업부 ...   > Sales consultants Marketing
조직기반 = 국내영업, 해외영업  > Manufacturing Engineering  Research
위치기반 = 
하이브리드기반 = 섞어쓰기

가장많이 쓰이는 것은 하이브리드 기반의 위치기반 + 기능 기반
조직마다 다르게 쓰인다

X.500(DAP)   ===>무겁다  ------->> LDAP(경량화한것)


검색과 저장을 위한 조직구조관리를 위한 개념
RDN =   상대경로처럼,  home                           
DN =   절대경로처럼, 계층적으로 /etc/home

실습 : 조직구조 만드는 방법
* 컨테이너 하위에 OU추가 불가
OU 하위에 OU추가 가능
XP에서 DC관리자로 접속후 active Directory 사용자 및 컴퓨터 에서 
nwtraders.msft에서 우클릭 
새로 만들기 조직구성단위 만들면  
>>>>>  OU 가 만들어짐. 
계속 만들어서 구조를 만들어서 관리가능,    ====  >> 특정 OU만 가능/불가능

* 명령어로 OU 추가하기
dsadd ou ou=bitec, dc=nwtraders, dc=msft
조직 구조를 만들어서 유저를 조직에 드래그가능
하지만 같은 도메인nwtraders.msft으로 구성된 OU들 안에서는 유저의 이동이되고 다르면 안된다
* 리소스킷이 있으면 이동이 가능


2장.  사용자 계정 
등록정보는  꼼꼼하게 등록정보채운다.
사용자계정 :  신분증명, 윈도우내의 서비스 제한(사용자서비스), 특정자원접근제어
로컬 접속과 도메인 접속시 데이터 베이스가 SAM으로 옆에 있으냐, 레퍼런스로 가지고있나차이
이슈 : 동일 이름, 임시직
패스워드기간 제한  : 42일
암호 reset : 사용자가 접속시 새로운암호입력가능

사용자계정 종류 : 4개, 관리, 손님, 원격제어 , 도움말
사용자계정 고려사항:

* 명령어로 유저 추가
dsadd user "cn=shjeon,ou=미국,ou=해외영업부,ou=영업부,dc=nswtraders,dc=msft" 
                                      -samid shejeon -pwd P@ssw0rd
컴퓨터계정 : 유창훈이란 계정을 가진 사람은 특정 컴퓨터에서만 접속가능 & 특정컴퓨터는 
백신을 깔아야지만 인터넷접속가능
ID와 PASSWORD가지고있다. 
이유 : 인증, IPSec,감사, 관리 , SMS(System management server -->SCMM으로바뀜)
컴퓨터계정은 컨테이너 내에 위치

* 실무에서 전원이 켜진상태로 스냅샷을 찍으면 시간 동기화문제로 DC가 멤버를 거부할 수도 있다 
그럴땐 멤버가 도메인에서 workgroup로 갔다가 다시 도메인에 합류하면 재 연결해서 잘된다

* 명령어로 컴퓨터계정 추가 
dsadd computer cn=bu-mem-004,dc=nwtraders,dc=msft -samid bu-mem-004
컴퓨터를 생성후 사용자 계정이 들어가있는 물류팀.... 같은 곳에 넣어두면 해당 
                        컴퓨터도 같은 영향을 받게된다. 나중에 정책설정시

3. 사용자계정 템플릿 생성
똑같은 권한, 역할, 번호같은 부분을 템플릿화해서 이용할 수 있다. 
사용자 계정 클릭해서 우클릭하면 복사. 누르면 일부는 복사되고 나머지는 입력할수있게 복사된다.
실무에서는 일단 틀(기본정보만입력) 만 만들어놓고"사용안함 (disable) 해 놓고 복사를 눌러서 새로만들면서 사용한다.
계정 템플릿 만들때 가이드 라인
각 부서별로, 짦은기간, 완료기간, 
잠김(lock)과 사용안함(disable)의 차이;
잠김은 관리자가아닌 특정 임계값을 넘었을때 자동으로 
사용안함은 관리자가 지정


보안정책적용해서 락 해보기
dc에서 기본도메인 보안설정 --> 보안설정 --> 계정정책 -->암호정책
최근암호기억 : 42일 주기로 바꿔야만하는데, 같은걸 돌면안된다.
dc에서 기본도메인 보안설정 --> 보안설정 --> 계정정책 -->계정잠금정책
여기에서 로그온 횟수및 잠금 시간 결정가능, 
혹 잠겨있는 사용자( 사용자계정에 가면 각 사용자 정보나오는데, 여기서 잠겨있으면
관리자가 해제할 수 있다)

암호리셋 == > 주의!
암호리셋은 암호 초기화 . 사용자가 암호 잊어버렸을때,
* 다음의 정보는 다 날라간다
사용자의 공개키로 암호화된 이메일 
컴퓨터에 저장된 암호정보
암호화된 파일
컴퓨터 계정을 리셋해야 하는 경우
컴퓨터가 도메인 인증에 실패한 경우  -->> 리셋 -->> 안되면 도메인탈퇴후 재가입
암호가 동기화 되어야 할 필요가 있을경우.

* 컴퓨터 시스템의 동기화를 안하고 싶다면 = Microsoft 사이트에서 disablepass changed검색


[[[[[[[[검색!!!]]]]]]]]]]]]]]
Active Directory 의 꽃중의 꽃

저작자표시 비영리

'OS > windows server 2003' 카테고리의 다른 글

Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가  (0) 2011.08.08
0604 보안템플릿 감사 및 보안로그  (0) 2011.06.03
0602 조직구조내 개체에 대학 엑세스 관리  (0) 2011.06.02
0601 그룹관리, 엑세스 제어, printer  (0) 2011.06.01
AND

윈도우 IPC$ C$ ADMIN$ 없애기

OS/windows 여러가지 2011. 6. 1. 20:00

지금 cmd창을 열고 'net share'란 명령을 실행해보자.
ADMIN$, IPC$, C$ 등 Windows에서 기본적으로 설정되어 있는 공유가 있다. 사용자에게 편리한 운영체제.. MS의 말을 빌자면 그렇다고 한다. 시스템 관리자가 시스템을 빠르고 효과적으로 관리하기 위한 목적으로 만들어졌다고 한다.

허나.. 이 공유는 보안에 위협이 된다. 원격에서 \\192.168.10.110\C$ 요런식으로 실행을 하면 바로 접근을 할 수 있게 되기 때문이다.


Windows XP/2000에서는 이 공유에 사용되는 비밀번호를 별도로 설정할 수 없고 관리자의 비밀번호와 동일하게 사용된다. 보안에 전혀 관심이 없는 혹은 별다른 지식이 없는(이건 내 자신도 포함되는 말이지만..) 일반 사용자들의 경우 이 공유가 위험하다는 사실을 모르며, 심지어는 이런 공유가 있는지조차 모르는 사용자가 대다수일 것이다.


많은 사용자들이 PC에서 단순한 비밀번호를 사용하거나 아예 비밀번호도 없이 사용을 하게 되는데, 이럴 경우 누구에게나 자신의 PC를 개방해 놓고 사용을 한다고 봐도 무방하다.


비밀번호가 없을 경우는 말할 것도 없고, 단순한 비밀번호의 경우 간단한 툴로도 금방 크래킹이 가능하기 때문이다. 그리고 복잡한 비밀번호를 설정해 둘 경우 시간이 오래 걸릴 수는 있겠지만 크래킹 자체가 불가능한 것은 아니다.

그럴바에는 차라리 이 공유를 제거하는게 안전하다. 자신이 서버를 운영한다던가 하는 특별한 경우가 아니면 거의 필요가 없기 때문이다.


그럼 이제 공유를 해제하는 방법에 대해서 알아보자. 공유 제거는 다음과 같은 명령어로 간단히 할 수 있다.


C:\>net share c$ /delete
c:\>net share admin$ /delete


이 명령을 실행하고 나서 'net share' 명령을 다시 실행해 보면 공유가 제거된 것을 확인할 수 있을 것이다. 그러나 이렇게 하면 재부팅 후 다시 공유가 생성된다. 재부팅 후에도 공유가 다시 생성되지 않게 하려면 레지스트리를 수정하여야 한다.


ㅇ Windows 2000 server의 경우

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters에서 다음을 추가한다.
   - Value name : AutoShareServer
   - Data Type : DWORD
   - Value : 0(zero)

Windows 2000/XP Professional의 경우

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters에서 아래와 같이 추가한다.
   - Value name : AutoShareWks
   - Data Type : DWORD
   - Value : 0(zero)



요렇게 설정하면 된다. 요렇게 설정을 하고 시스템을 재부팅하게 되면 공유가 다시 살아나지 않게 된다.



문제는 IPC$의 경우이다.
IPC$ 공유는 네트워크 서버의 원격 관리에 주로 사용된다. "IPC$를 제거하면 네트워크 서비스 일부에 문제가 발생한다. 절대 해제할 수 없다..." 라고 혹자들은 말한다.

사실 어떤 문제가 발생하지 않는다고 100% 보장은 못하기에 꼭 제거하라고 하지는 못하겠다.
다만 제거하기를 원해도 C$, ADMIN$와 같은 방법으로는 제거가 안된다.



한 가지 방법은 Server Service를 중지시키는 것이다. 자신의 PC에서 서버를 운영할게 아닌 이상 꼭 필요하지 않은 서비스이므로 중지시켜도 무방하리라 본다. 또 요렇게 할 경우 C$, ADMIN$ 등도 동일하게 적용이 되므로 레지스트리에서 별도로 수정을 하지 않아도 된다.

저작자표시 비영리

'OS > windows 여러가지' 카테고리의 다른 글

[유틸]bat to exe  (0) 2011.08.01
VMware 아무나 모르는 인터페이스 연결방식의 원리  (0) 2011.06.03
Windows 7의 성능(Performance)은 windows xp에 비해 어떻게 향상되었을까요?  (0) 2011.02.10
windows 7에서 우분투 10.10 원격접속하기  (0) 2011.02.10
스레드프로그래밍 셋팅 및 간단한 예제  (0) 2010.09.28
AND

0601 그룹관리, 엑세스 제어, printer

OS/windows server 2003 2011. 6. 1. 17:28
3. 그룹관리
. 권한 할당의 효율성
. 그룹종류
보안그룹 : 권한 할당을 위한 그룹
배포 : 이메일과 같은 응용프로그램에서만 사용가능함

.도메인기능수준
windows 2000 혼합 :
지원되는 DC - NT, 4.0, 2000 , server 2003    >>  글로벌,  도메인 로컬 그룹 지원가능
windows 2000 기본
지원되는 DC - 2000 server 20003                >> 글로벌, 도메인 로컬, 유니버셜 그룹지원가능
windows server 2003
지원되는 DC - server 2003                          >> 글로벌, 도메인로컬, 유니버셜 그룹 지원가능


<그룹간 전환가능표>


. 기능수준이 올라가게 되면 내리는 것은 불가능 (active directory 사용자 및 컴퓨터에서 도메인 우클릭)
. 글로벌 , 유니버셜, 도메인 로컬 그룹
. 로컬그룹 : 일반 그룹
. 도메인로컬그룹 : Active Directory 안에 구성된 로컬그룹
. 그룹생성 실습해보기
Users >  user 개체 창 우클릭해서 새로만들기 > 그룹
생성 명령어
       dsadd group "cn=DL Sales File Read,ou=영업부,ou=nwtraders,dc=msft" -samid "DL Sales File Read" -secgrp ues -scope l
삭제
               dsrm "cn=DL Sales File Read,ou=영업부,dc=nwtraders,dc=msft"

. 그룹 구성원 관리
. 그룹전략
AGP, AGUDLP ADLP(NT에서, Local은 도메인로컬) AGLP AGDLP
. 그룹중첩은 3단계까지만 하자. 


<그룹의 개념이 없었을 때 >


 

<그룹의 개념이 있을 때 >



* 2003에서 local 은 SAMB이고 NT에서 local은 도메인로컬이다.

XP에서 디렉토리 속성에서 보안 탭에 가면 권한설정이 가능하다.

NT 4.0은 한 도메인 안에  PDC 와 BDC로구성되어있다. 이는 부하 방지 목적으로 BDC는 DC이긴 하지만 PDC와 같은 권한은 없고 단순히 BDC를 PDC에 추가적으로 붙여서 확장성을 용이하게 하는 목적으로 사용되었다. 

하지만 2000 으로 넘어오면서 부터 Active Directory 개념으로 바뀌게 되어 PDC BDC개념이 없어 지고 동일한 권한을 가진 DC의 관계가 되었다. 여기서 DC들은 모두 같은 정보를 가지고 있어야 하는데 DC 끼리의 정보의 불 일치로 인해 문제가 발 생하게 되면 2000은 충돌이 났었지만 , server 2003은  Link Valued Replication으로 가능하다.
 



4. 엑세스 제어

Permission : 무엇을 사용할 수 있냐. 하는 리소스에 대한 작업 가능 여부
Rights : 무엇을 할거냐,  시간변경 전원종료 사용자 생성

Permission이 더 크다. 

윈도우의 보안
- Security Principal(보안주체) : 사용자, 컴퓨터 , 개체 ;;  GUID, SID 부여
- Security IDentifile(SID) : 알파벳과 숫자로 이루어진 값, 보안주체를 유일하게 식별
- DACL( Discrestionary Access Control List) :  개별 리소스에 대해서 각각의 사용자/ 그룹의 접근 허용/거부 리스트             ; Permission에 대한 
- ACE( Access Control Entry) : 개별 보안 entry (DACL 은 ACE가 여러개 모인것.
- SACL : 감사용

솔라리스 보안  되새김질...
: 파일 권한부여  ---->> ACL   --->> RBACL
: Identification  > Authentication   > aythorization


공유폴더 권한상태

명시적 허용 : allow만 채크
명시적 거부 : deny만 채크
암시적 거부 : 둘다 채크 안함
상속을 통한거부: 비활성화 deny만 채크
상속을 통한허용: 비활성화 allow만 채크  



NTFS
동일파티션 에서 파일이나 디렉토리 이동,복사시 : 권한 유지
다른파티션 으로 파일이나 디렉토리 이동,복사시 : 이동된 디렉토리 바로 위의 권한 상속


디렉토리의 고급 보안설정에서 "상속가능한 권한을 부모 개체에서 이 개체 및 모든 자식 개체에......" 이 부분을 채크 해제 하면
다음과같은 선택이 나온다. 
  복사 : 자기까지는 받고 자기 밑에는 안받는다 
  제거 : 자기도 안받는다. 



NTFS에서 중첩 권한 계산

userA(rw) fileA
groupA(r)
-------------------- userA는 groupA의 멤버   userA의 사용권한은 rw

userA(r) fileA
groupA(rw)
-------------------- userA는 groupA의 멤버   userA의 사용권한은 rw

userA(rw) fileA
groupA( )
-------------------- userA는 groupA의 멤버   userA의 사용권한은 권한없음

userA() fileA
groupA(rw)
-------------------- userA는 groupA의 멤버   userA의 사용권한은 권한없음


userA(r) fileA
userB(rw)
groupA(rw)
groupB(rwx)
-------------------- userB는 groupA의 멤버 와 groupB의 멤버  userB의 사용권한은 rwx

userA(r) fileA
userB(rw)
groupA(rw)
groupB( )
-------------------- userB는 groupA의 멤버 와 groupB의 멤버  userB의 사용권한은 권한없음
====================================================================================
1. 권한 중첩시 거부 권한 우선
2. 권한은 합집합.



공유폴더
복사하면 공유해제
공유폴더에 $붙이면 숨김
IPC$ 공유폴더 리스트를 볼때
PRINT$          프린터 공유
NETLOGON
SYSVOL         정책적용할때 로긴시
FAX$ 임시파일이나, 임시로 생성된 파일

공유폴더 관리는
2003  DC
Administrator그룹
Sever Operators그룹
2003을 실행하는 멤버 서버나 독립실행 서버
Administrators 그룹
Power Users 그룹


net share 명령어 참고

명령어는 윈도우에서 공유된 리스트 보여줌
net share c$ /delete
삭제
net share 야동=c;\디렉토리 
추가

 

 
공유폴더를 설정후 Active Directory에 게시하게 되면 검색이 쉬워짐

 

공유폴더와 NTFS권한이 동시에 부여된 경우   =  교집합
공유폴더가 rw인데 NTFS가 r이면 r가 된다.


***   유효사용권한탭 을 사용하면 이러한 권한 계정 계산을 쉽게할 수 있다. 

오프라인 파일
공유폴더를 사용하다가 전원이 나가서 연결이 끊어졌을 경우 대비하여서 클라이언트 사용자가 미리 다 다운받아서 작업하는것이다. 별로 추천은 안한다.




5. Printer
printer : Machine과 Print device(프린터)사이의 인터페이스
프린터를 만들고 엑티브데릭토리랑 연결시키기
DC에서 프린터 추가 하면 바로 Active Directory에 게시가 된다. 
net share 하면 나옴.

검색기능을 통해서 프린터를 검색할 수 있다.    >  검색은 엑티브디렉토리에서 도메인찍고 검색하거나  . 프린터찾기 메뉴를 통해서 찾기 가능

프린터 보안
everyone을 인증받은사용자로 바꾸기
사용자의 권한 조절하기, 
스풀러의 공간을 변경하자.  >>  인쇄서버등록정보에서 바꿀 수 있다. 로그도 저장 여부 체크할 수 있다. 
프린터관리, 문서관리, 인쇄 순으로 관리순위

프린터 우선순위 부여하기 
높은게 우선적이다  안하는게 좋다
프린터 속성에서 고급에 우선순위 조절가능 
   시간제한가능

프린팅 풀 설정
여러대의 프린터를 클러스트링화해서 Idle한 프린터에게 서출력되도록 한다. 같은 공간에 픤터를 놔둬야 한다. 
프린터 속성> 포트 > 밑에 프린터 풀링 채크 >  클러스트링할 프린터목록을 체크

저작자표시 비영리

'OS > windows server 2003' 카테고리의 다른 글

Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가  (0) 2011.08.08
0604 보안템플릿 감사 및 보안로그  (0) 2011.06.03
0602 조직구조내 개체에 대학 엑세스 관리  (0) 2011.06.02
0531 1,2,3 장 사용자계정관련  (0) 2011.06.02
AND

우분투에서 java 설치하기

OS/우분투 2011. 5. 16. 13:24
http://ubuntu.or.kr/~ubuntu/viewtopic.php?p=61602

관리의 소프트웨어 소스의 기타에 첫번째 partner에 체크하고

 $ apt-get install sun-java6-jdk
 
저작자표시 비영리

'OS > 우분투' 카테고리의 다른 글

파티션정보확인하기  (0) 2011.06.15
우분투 자체서비스인 vcn을 이용한 원격제어  (0) 2011.06.10
Find 파일내 문자열 검색  (0) 2011.05.06
아수스 1215T 유선랜 드라이버 atl1c & 버그 발견.  (0) 2011.05.01
유용한 find 명령어 실무위주  (0) 2011.04.26
AND

0513 공부정리, solaris 보안셋팅 및 , 디스크 full 시 교체, telnet관련, 가상랜을 이용한 네트워크 추가 및 인터넷 엑세스

OS/Solaris 2011. 5. 13. 16:28

 
시나리오
솔라리스 두개를 같은 네트워크 대역으로 두고 솔라리스 둘다의 default router address는 래드헷의 가상 네트워크 주소를 향하게 한다
신호를 받은 래드헷의 가상 랜 카드는 실제랜카드로 인터넷에 엑세스 하게된다.
결과적으로 솔라리스에서도 인터넷 가능하도록해야한다
이런식으로 sol 을 계속적으로 추가할 수 있음.

셋팅값

Sol 1
ip 100.100.23.10
default 100.100.23.1 
 
Sol 2
ip 100.100.23.20
default 100.100.23.1 

RedHat eth0
ip 200.200.200.94
default 200.200.200.1
 
RedHat eth0:1
ip 100.100.23.1
default 200.200.200.1
 



레드햇 명령어

# netconfig -d eth0 
eth0 물리랜 설정
# netconfig -d eth0:1 
가상랜설정

# etc/rc.d/init.d/network restart
# echo "1" > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -j MASQUERADE
# iptables -t nat -F   ////초기화    윗줄을 두번이상했을때
 
1.각각 솔라리스와 레드헷 ping확인
2. 인터넷이 되기 위해선 추가적으로 해야할 것이 있다
솔라리스에서 
# ifconfig [interfacename] inet [ip address] netmask [netmask] up
/etc/hosts   수정  
/etc/defaultrouter   수정
/etc/resolv.conf 
;;; 실제 dns주소
 
/etc/netmasks 수정

*** 이렇게 해서 인터넷이 되야 정상인데 안된다.ㅠ
 



하드디스크 /var 공간이 다 찾을때 새로운 하드를 추가하여 고대로 백업하는거 === 해결과정

/dev/dsk/c0d0s3이    /var 에 마운트 되어있을때 
다운로드나 압축풀때 메일 프린트 에서 사용하는 디렉토리가    /var

새로운 하드 추가후 
#devfsadm
#format 으로 장치 네임확인 및 label로 저장후 나오기 
#newfs 로 장치에 파일시스템 생성
새로운 디렉토리 생성후 방금 생성한 파일시스템 마운트
  
# tar cvf - . |  (cd /migration ; tar xvf - )
혹은
# ufsdump 0f /var | (cd /migration ; ufsrestore -rf - )
띄어쓰기 조심
 
용량확인 
# du -sh /var
# du -sh /migration

부팅시 접속가능하도록 확
# vi /et/vfstab


시스템내에 계정 정보 확인

# logins
옵션
-p ; 패스워드가 없는 사용자 알려줌
-l : id 명령어와 같음

/var/am/loginlog      존재유무 확인 없으면 만들기
# touch /var/adm/loginlog
# chmod 600 loginlog
# chown root:sys loginlog

# vi /etc/default/login
내용중    RETRIES=5                 ;  5회이상 틀리면 로그 
; 원격에서 접속시 5번이상 암호 틀리면 loginlog에 저장
근데 한번만 틀려도 저장된다.....????




원격에서 root접속 막기
/etc/default/login
내용중 CONSOLE=/dev/console    주석처리하면 root 접근가능

SU관련
관련파일
/etc/default/su
CONSOLE=/dev/console 부분이 주석처리 되어있음
이것을 제거하게 되면 /var/adm/sulog에 su 를 사용한 f정보를 남기게된다.

 
저작자표시 비영리

'OS > Solaris' 카테고리의 다른 글

NVRAM과 PROM의 차이  (0) 2011.08.05
HOW-TO Configuration zone file  (0) 2011.05.11
0511 정리자료 DNS-zone 세팅, DNS구성 및 시나리오 작성  (0) 2011.05.11
솔라리스 10 웹서버 구축하기.  (0) 2011.05.09
솔 10 dhcp 클라이언트 셋팅 . 자동 ip 받아오기  (0) 2011.05.09
AND

티스토리툴바