Empty Box

터미널에서 ssh 를 이용하여 debian 이 설치된 원격 서버에 접근 하려고 하였다. freecatz:~ $ ssh freecatz@192.168.0.10 Debian GNU/Linux 10 \n \l freecatz@192.168.0.10: Permission denied (publickey). freecatz:~ $ 그러나 'Permission denied (publickey)' 에러가 나왔다. 서버측의 에러를 확인해 보자. root@FREECATZ-PE-KR:~# tail /var/log/auth.log ... 중략 ... Feb 4 02:47:15 FREECATZ-PE-KR sshd[948]: Connection closed by authenticating user freecatz 192.168..

딱히 업무에 필요는 없는데, gpg 를 이용하여 파일 암호화를 테스트 해보기로 하였다. 우선, gpg 가 설치 되어 있는지 확인 하고 설치 되어 있지 않다면 설치 하도록 한다. root@freecatz-web:~# apt-cache search gpg | grep "GNU Privacy Guard" gpg - GNU Privacy Guard -- minimalist public key operations kgpg - graphical front end for GNU Privacy Guard root@freecatz-web:~# apt install gpg Reading package lists... Done Building dependency tree Reading state information... ..

앞단에 방화벽이 있기에 Debian 10 에서 iptables 나 firewalld 를 사용 하고 있지 않고 있다. 그러다가 어느날 로그를 보니 다양한 나라의 아아피 주소로 부터 ssh 연결 시도가 들어 오고 있었다. 찾아보던 중 tcp_wrappers 를 이용한 필더링이 있다고 하여 시도해 보았다. * tcp_wrappers 의 자세한 내용은 이곳을 참고 한다. 대부분 /etc/hosts.deny, /etc/hosts.allow 파일을 아래와 같은 형식으로 사용하고 있었다. /etc/hosts.deny /etc/hosts.allow ALL : ALL sshd : ALL ALL : 허용할 IP주소 sshd : 허용할 IP주소 위의 설정과 같이 쉽게는 전체를 막고, 필요한 것만 풀어 주는것이 편리 하기는 ..

이 문서는 보안 지식이 부족한 개발자 수준에서 작성 되었으며, 작성된 내용중 잘못되거나 틀린 부분이 있을수 있으므로 단순히 참고만 하며, 시스템에 적용시 발생 하는 모든 문제점은 스스로 책임 지도록 한다. 보건복지부에서 매년 유관 기관들의 시스템의 보안 검사를 한다고 한다. 우리 회사도 그 대상의 기관들중 하나다. 현재 우리 회사의 보안 담당자는 공석(2년전 퇴사)인 상태에서, 개발자 수준에서 인터넷을 더듬더듬 찾아 가면서 리눅스 기초 보안 설정을 시작 하게 되었다. 우리 회사의 주력 리눅스 배포판은 Debain 10 과 Ubuntu 18.04 이며, 이 문서에서는 Debian 10 을 기준으로 작성 한다. 대부분의 시스템이 AWS 의 private subnet 에 위치 하여 OPEN VPN을 통해서만 ..

Lynis 는 리눅스나 유닉스 계열에서 사용하는 보안 검사 도구 라고 한다. rkhunter 와 chkrootkit 관련 하여 검색 하다가 알게 되어 사용법을 정리 해두게 되었다. 우선 Lynis 다운로드를 위해 아래의 링크로 방문하여 가급적 최신 버젼을 내려 받도록 한다. https://downloads.cisofy.com/lynis/ 이 문서에서는 lynis-3.0.6.tar.gz 를 내려 받아 사용할 것이다. * 참고 : 직접 내려 받아서 설치 하는 것 보다 apt 나 yum 등의 패키지 관리자를 이용하기를 제작사에서 권장 한다. 이 문서는 apt 나 yum 등의 패키지 관리자의 repository 에 Lynis 가 없다는 가정 하에 작성 하였다. root@FREECATZ-PE-KR:~# pwd /..

Debain 10 에 MSSQL Server 2019 와 mssql-cli 를 설치하면서 기록으로 남겨 두게 되었다. root@FREECATZ-PE-KR:~# uname -a Linux FREECATZ-PE-KR 4.19.0-18-cloud-amd64 #1 SMP Debian 4.19.208-1 (2021-09-29) x86_64 GNU/Linux root@FREECATZ-PE-KR:~# wget https://packages.microsoft.com/keys/microsoft.asc root@FREECATZ-PE-KR:~# ls microsoft.asc root@FREECATZ-PE-KR:~# apt-key add ./microsoft.asc E: gnupg, gnupg2 and gnupg1 do no..

1. sshd 설정 파일 수정 root@FREECATZ.PE.KR:~# vi /etc/ssh/sshd_config ... 중략 ... Port 22 Port 9022 ... 중략 ... 위와 같이 '9022' 번 포트를 추가 한다. 2. ssh 재시작 root@FREECATZ.PE.KR:~# /etc/init.d/ssh restart [ ok ] Restarting OpenBSD Secure Shell server: sshd. 또는 root@FREECATZ.PE.KR:~# service ssh restart [ ok ] Restarting OpenBSD Secure Shell server: sshd. 또는 root@FREECATZ.PE.KR:~# systemctl restart ssh [ ok ] Res..

OS : Debian 10 64Bit Zabbix : 5.4 zabbix server 와 zabbix agent 가 구성 되었다는 가정 하에 진행 한다. root@freecatz-db:~# cd /etc/zabbix/ root@freecatz-db:/etc/zabbix# openssl rand -hex 32 > zabbix_agentd.psk root@freecatz-db:/etc/zabbix# cat zabbix_agentd.psk 1b344bc4be421d3656127bd7296debc10c21e8f218aaa9ac274500cdda0a3ba1 root@freecatz-db:/etc/zabbix# chmod 744 ./zabbix_agentd.psk root@freecatz-db:/etc/zabbix..

OS : Debian 10 64Bit goaccess 는 apache, nginx 등의 '실시간 웹서버 로그 분석기' 라고 한다. 명령어 형식으로도 사용이 가능 하고, html 로 뽑아 낼 수도 있다고 한다. 글을 작성 하는 시점에 보니, 1.5.2 버젼 까지 나왔지만 현재 데비안 패키지 리스트에는 올라오지 않았다. 소스 내려 받아서 컴파일 이야 하면 되는데, 서버 사양도 좋지 않고, 의존성 관련된 패키지 설치 하기 귀찮기도 하고, 버젼별로 사용법이 크게 달라지지는 않는것 같고 해서 그냥 패키지 리스트에 있는 1.2 버전을 사용 하기로 하였다. 최신 버젼이 필요한 경우 https://goaccess.io/ 에서 소스를 내려 받아 컴파일 하여 사용 할 수 있다. 1. goaccess 설치 root@free..

1. 인증서 유효 기간 확인 root@freecatz-web:~# certbot certificates Saving debug log to /var/log/letsencrypt/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Found the following certs: Certificate Name: freecatz.pe.kr Domains: freecatz.pe.kr zabbix.freecatz.pe.kr Expiry Date: 2022-01-18 03:14:40+00:00 (VALID: 82 days) Certificate Path: /etc/letsencrypt/live/f..