쿠버네티스 시작~

쿠버네티스 시작 ~

DemoProjV 어제 한 것 : 취약점 체크리스트 작성오늘 할 것 : 체크리스트 기반 모의해킹 및 보안점검 http://192.168.30.254:8083/DemoProjV2/  1.토큰사용목적  단일토큰 :   1. 로그인성공 JWT 발급 서버측 -> 클라이언트로 JWT 발급 2. 권한이 필요한 모든 요청 : 클라이언트 -> 서버측 JWT 전송 권한이 필요한 요청은 서비스에서 많이 발생  클라이언트측 xxs나 http통신을 가로채서 토큰을 훔침 이를 대비하기 위한 로직이 필요. 다중토큰 : refresh 토큰   access/Refresh 토큰  생명주기를 짧게 발급 (약10분)  , 토큰이 만료 되었을때 함께 받은 Refresh 토큰 (24시간) 토큰 재발급  1. 로그인 성공시 2개 토큰 Acce..

https://hub.docker.com/ Docker Hub Container Image Library | App ContainerizationIncrease your reach and adoption on Docker Hub With a Docker Verified Publisher subscription, you'll increase trust, boost discoverability, get exclusive data insights, and much more.hub.docker.com

오늘은 PAM , 셀리눅스  PAM (장착형 인증모듈) :  중요 포인트  : pam_tally2 / 복잡성pluggable authentication module리눅스 상에 인증방법을 제공하는 인증모듈 정책에 따라서 정책에 맞는 인증 방식을 제공구성파일/etc/pam.d   => 적재된 서비스 pam 설정파일/lib/security /lib64/security => PAM에 의해 호출되는 라이브러리 파일 (.so) [모듈]/etc/security => pam모듈 실행에 필요한 추가 설정 파일    128  mkdir /backup   129  cp -a /etc/pam.d/ /backup/   130  cd /etc/pam.d/   131  vi passwd#password substack s..

오늘 하루 공부로 다 끝내자 총 18문제 / 80분 / 60점이상 합격` ` ` 1번 케이블문제  (6.5점씩)2번 ~ 9번 : 설정문제  (5.5점씩)10 ~ 15번 : 단답 /선택형 (5.5점씩)16 ~ 18번 : 라우터 세팅 (5.5점씩) 케이블문제 설정문제유튜브 보고 익히기 (난이도 최하)단답/ 선택형 문제  ※ 리눅스에서 지정된 호스트에 도달할때까지 통과하는 경로정보와 경로에서의 지연시간을 추적하는 명령어는 ?traceroute ※7 계층별 장비 및  프로토콜 : 응표세전네데물     (메메메메 패프)7계층-응용HTTP FTP IRC SSH DNS6계층-표현SSL,FTP,IMAP ,SSH5계층-세션소켓, API4계층-전송L4스위TCP,UDP,SCTP,DCCp,SCTP3계층 -네트워ICMP IGM..

192.168.10.200(지사)에 본사꺼 만들기  이제 192.168.10.100(본사)에 지사용 만들기    index.php가 안뜸 network fail 뜸오류 해결 grant all privileges on sevas.* to dbmaster@'db.sevas10.com' identified by 'asd123' with grant option; grant all privileges on sevas.* to dbmaster@'10.10.10.10' identified by 'asd123' with grant option;grant all privileges on sevas.* to dbmaster@'ns.sevas10.com' identified by 'asd123' with grant opti..

snat : 인터넷 연결 /클라이언트 존(내부망)(사설 -> 공인)dnat : 포트포워딩 / 주소 변환  (공인-> 사설 ip ) DMZ : dnat(사설 ip노출하면 안되니까)을 사용하는 서버들의 네트워크 / 네트워크 보안 보통 회사에는 기본 3개이상의 망이 필요하다 DMZ, 내부서버망, 내부망 외부, - 인터넷 X / 일반 사무 컴퓨터 web,- 로그 vpn - DBssh ftp  dnat은 대상이 되는 포트를 정해줘야 한다   https://192.168.10.100:4444/ DMZ network + 외부망 : DMZ_SERVER 10.10.10.10 인터넷 연결 됨내부망 network + 외부망 : 칼리 20.20.20.20 인터넷 연결 됨  방화벽 내리면 인터넷 끊김 실습문제 ) 방화벽 내려도..

보안뉴스 : https://knvd.krcert.or.kr/domesticVul.do  SNORT (IDS) [ vi /etc/snort/local ]   / snort -i ens33 -c local /  tail -f /var/log/snort/alert  / vi /etc/sysconfig/iptables alert은 10.10.10.100 에서 hping3 는 칼리20.20.20.20에서 실습 request와 replyalert  icmp   20.20.20.20 any -> 10.10.10.10 any (msg:"REQUEST_ICMP"; itype:8; sid:50007;) alert  icmp   10.10.10.10 any -> 20.20.20.20 any (msg:"REPLY_ICMP";..

iptables(IPS)와 snort(IDS) [ 기본 환경 설정 ]iptable 192.168.10.10web 10.10.10.10mini 10.10.10.100칼리 20.20.20.20 [ vi /etc/sysconfig/iptables ]# Generated by iptables-save v1.4.21 on Thu Jun 13 16:41:18 2024*nat:PREROUTING ACCEPT [0:0]:INPUT ACCEPT [0:0]:OUTPUT ACCEPT [0:0]:POSTROUTING ACCEPT [0:0]-A PREROUTING -d 192.168.10.100/32 -p tcp --dport 80 -j DNAT --to-destination 10.10.10.10:80-A PREROUTING ..

시험 보는 날  https://snort.org/ Snort - Network Intrusion Detection & Prevention SystemWith over 5 million downloads and over 600,000 registered users, it is the most widely deployed intrusion prevention system in the world.snort.org   10.10.10.100)  wget https://snort.org/downloads/snort/snort-2.9.20-1.centos.x86_64.rpm --no-check-certificate C:\Users\Administrator>scp -r D:\Class231228jyj\0_share\..

vi /etc/my.cnf[mysqld]character-set-server=utf8[client]default_character_set=utf8 create database stest; use stest; create table class (no int auto_increment unique not null,id char(40) primary key,pw char(40) not null,nick varchar(40) not null,reg_date  datetime,index (no),unique sevas(no,id)); show databases;  use mysql; show tables; select Host, User, Password from user;update user set passwo..

vi /etc/sysconfig/iptables # Generated by iptables-save v1.4.21 on Thu Jun 13 16:41:18 2024 *nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0]                                                                                             DNAT : 네트워크 주소 변환 / pre 라우팅-A PREROUTING -d 192.168.10.100/32 -p tcp --dport 80 -j DNAT --to-destination 10.10.10.10:..

커널포워딩커널 포워딩은 램 라우팅과 같다   [ 실습 환경 설정]DB(록키)ens33 : 20.20.20.20 / VM 2 / DB WEB(미니)ens32 : 20.20.20.254   / NAT  / DB용 게웨ens33 : 192.168.10.10 / VM 2  / WEBens34 : 10.10.10.254   / VM 1  /  OTP용 게웨 OTP (미니)ens33 : 10.10.10.10     / VM 1  / OTP [ 커널 포워딩 영구 설정 ]192.168.10.10 ) vi /etc/sysctl.conf   net.ipv4.ip_forward = 1 수정 후  sysctl -p    (적용)결과 : 192.168.10.10 에서 firewall을 stop해도 10.10.10.10  -> ..

어제한것 firewall 비활성화하고 iptable활성화한것 / 인터넷도 안디ㅗ괴  터널포워당= 랜라우팅 192.168.10.10) [ 커널포워딩 설정 ]service iptables stop sysctl -a |grep ip_forward vi /etc/sysctl.confnet.ipv4.ip_forward = 1sysctl -p       (바뀐것 확인) iptable은 포워드를 검사할수있다  [ 기본정책 ]   :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] *ACCEPT :  허가  *REJECT  : 반송 *DROP   :  폐기  LOG      :  로그기록 RETURN :  룰 연계 [ iptables 룰 ]-A INPUT -..

메일서버  mail server- postfix메일- sendmail메일 korea10.com 추가 MX mail 추가  메일송신   SMTP  (메일서버와 메일 서버간의 통신) 메일수신  POP3,IMAP (서버와 클라이언트 수신) [ 메일관련 프로그램 ]- MTA(Mail Transfer Agent) 전자 메일을 다른데로 전송하는 서버 프로그램 - MUA(mail User Agent) 전자메일을 사용자에게 할당하는 클라이언트 프로그램 - MDA(Mail Delivery Agent) MTA가 수신한 메세지를 시간에 맞게 사용자 우편한테 쓰기위한 프로그램  - MRA(mail Reterieval Agent) 리모트 서버에 있는 우편함으로 부터 사용자의 MUA로 메일을 가져오는 프로그램 [ 리눅스 메일 서..

워터링홀 공격: 웹 사이트를 미리 감염시킨 뒤 잠복하면서 피해자의 컴퓨터에 악성코드를 추가로 설치하는 공격 어제 만든 카카오톡 exe로 실습 mount -t cifs //192.168.30.27/0_share /mountcd /mountpython3 -m http.server 80                   192.168.30.170의 게시판) ㄴ 게시판 클릭과 동시에 다운 받아짐 RAT 공격: 원격으로 관리자 권한 탈취 하는 공격DB 복제 : 수업 안나가는데 자료는 있음  OTP / PAMPAM : 탈부착이 가능한 인증 모듈 중요한 서비스 이용 시에는 ID/PW 외에 추가적인 인증수단을 더하여 Two Factor 인증을 수행하게 됩니다.2 Factor 인증의 가장 일반적인 방식은 OTP(One T..

SSL 인증 방법 (HTTPS 구성)cert => 인증서csr  => 인증서 신청서key  => 암호화 yum install openssl mod_ssl mkdir -p /cert/key cd /cert/key[1. 키생성]openssl genrsa -out sevas.key 2048 [2. 신청서작성 ]openssl req -new -key sevas.key > sevas.csr Country Name [xx]  : 어디나라?  KR state or province name  :  지역   Seoul locality Name     :  도시   Gangnam organization Name  :  WebSecure organizational Unit Name :  sevas common Name(ho..

rocky20.20.20.20 vm2 mini ens33 : 192.168.30.170ens32 : 20.20.20.254 vm2 [root@localhost ~]# firewall-cmd --query-masquerade   (확인)no [root@localhost ~]# firewall-cmd --add-masquerade --permanent  (NAT설정)success [root@localhost ~]# firewall-cmd --reload success [root@localhost ~]# firewall-cmd --query-masquerade 20.20.20.20) create database sevas;use sevas; 게시판 DBcreate table b_tb(b_no    int  u..

(금) 휴가 OWASP(The Open Web Application Security Project)  ver2017오픈소스 웹 애플리케이션 보안 프로젝트웹에 대한 위험성을  10대 웹 애플리케이션의 취약점 (OWASP TOP 10)으로 하여 3~4년마다 발표. A1 Injection (인젝션) SQL, OS, XXE(Xml eXternal Entity), LDAP 인젝션 취약점 예상치 못하는 SQL 명령이나 쿼리를 보내 데이터에 접근하는 방법 대응방안: 시큐어 코딩 , 시그니처 필터링 A2 Broken Authentication (취약한 인증) 인증과 세션 관리와 관련된 애플리케이션 기능을 정확하게 구현되어 있지 않음.  공격방법: header 에 암호 또는 정보 또는 세션토큰을 제공하는등 어플리케이션의..