![]()
2022년 11월 openssl 재단에서 엄청난 취약점이 발견되었다는 기사가 많이 나왔다. 취약점이 공개되기 이전에는 엄청난 취약점이라고 공포심 조장이 많았는데, 실제 취약점이 공개되고 난 다음에는 영향력도 크지 않고 유효한 취약점이 되기에는 많은 조건이 있기 때문에 사실 그만큼 위험성이 높은것은 아니었다. KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr 취약점에 대한 기사를 보자마자 우리 회사 Container image에는 해당 취약점이 없을까? 현황 파악을 할 수 있을까? 하는 생각이 많았다. 근데 결론부터 말하면, 현재 회사에서는 개발/배포 과정에서 image에 대한 취약점 점검이 없었어서 취약점 점검을 위한 설계를 하였다. 취약점 점검을 위한..
담당자의 업무 효율화를 위해 Ansible 사용 방법과 이를 통한 스크립트 점검 자동화 방법에 대해서 알아보자!! 먼저, Ansible을 사용하기 위해서는 기본적으로 작업 대상(hosts)을 지정하고 작업 내용(playbook)을 저장해야 한다. 작업 대상은 Ansible hosts, 작업 내용은 Ansible Playbook으로 분류되어 지정하면 되며, 실행 방법은 아래와 같다. - 물론 이외에도 Inventory 등의 기타 다른 옵션이 존재하나, 그것은 더 효율적으로 하기 위한 방법이지 필수 사항은 아니다.(아마(?)) [Ansible Server] ansible-playbook playbook_test.yml # playbook Name을 지정하면 된다. Ansible hosts 작성 hosts는 ..
![]()
Ansible 설치 방법 : https://dobby-isfree.tistory.com/85 [Ansible] 서버 스크립트 자동 점검 Ansible 설치 방법 [1/2] 필자가 재직중인 회사에서는 매년 정기적으로 각 서버의 취약점을 점검하기 위해 취약점 점검 스크립트를 실행하고 조치하고 이행점검을 하는 등의 반복적인 일을 하고 있다. 서버 취약점 점검 dobby-isfree.tistory.com Ansible 설치 방법은 위 게시물에 나와있듯이 매우매우 쉽다. 이번에는 Ansible을 통해 실제 서버 점검 스크립트를 자동으로 돌리기 위한 방법에 대해 알아보자!! Ansible 원격 접속 허용 사전 작업 먼저 Ansible은 아래 그림에서 알 수 있듯이, Server - Client 구조로 되어 있고, ..
![]()
필자가 재직중인 회사에서는 매년 정기적으로 각 서버의 취약점을 점검하기 위해 취약점 점검 스크립트를 실행하고 조치하고 이행점검을 하는 등의 반복적인 일을 하고 있다. 서버 취약점 점검 솔루션을 구매하여 운영한다면 편하겠지만, 상황상.. 솔루션은 없으므로 자체 점검 스크립트를 제작하여 직접 스크립트를 실행하여 취약점 점검을 진행하고 있었다.(작년까지만 해도..) 근데.. 서버 대수가 늘어남에 따라 수동으로 하기에는 너무너무!! 힘들어서 이를 자동화 하기 위한 방법을 알아 보았고, 타사에 재직 중인 지인을 물어보니깐 Ansible을 통해 원격에서 일괄 점검한다는 소식을 듣고 나도 시스템을 구성해보기로 했다!! Ansible이란? Ansible로 검색해보면 IaC란 키워드가 바로 보인다. IaC는 Intfas..
![]()
이전 게시물에서 Gophish 설치 방법에 대해 알아보았다. - Gophish 설치 방법 : https://dobby-isfree.tistory.com/83?category=891753 [Gophish] 악성메일 모의훈련 Gophish 설치 방법 Gophish 라는 아주아주 좋은 악성메일 모의훈련을 할 수 있는 Tool이 있어서, 오늘은 해당 Tool에 대해 소개를 하고자 한다. Gophish 설치 방법 1. 공식 Github를 통해 설치하는 서버 또는 단말기에 해당하 dobby-isfree.tistory.com 이번에는 실제 악성메일 모의훈련을 하기 위해 Gophish의 각 항목별로 설정 방법에 대해 알아보자!! 1. Users & Groups - 모의훈련을 하기 위한 대상자의 이름/메일주소/직책을 넣..
![]()
Gophish 라는 아주아주 좋은 악성메일 모의훈련을 할 수 있는 Tool이 있어서, 오늘은 해당 Tool에 대해 소개를 하고자 한다. Gophish 설치 방법 1. 공식 Github를 통해 설치하는 서버 또는 단말기에 해당하는 Gophish 파일을 다운로드하고 압축해제 한다. - 공식 Github : https://github.com/gophish/gophish/releases wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip unzip gophish-v0.11.0-linux-64bit.zip 2. 압축해제 이후, config.json에서 Gophish 관리자 페이지에 접속할 수..
![]()
Wazuh는 기본적으로 Wazuh Agent에서 생성 된 로그를 기반으로 Decode/Rule을 통해 이벤트를 탐지한다. 그렇기에 Wazuh Agent에서 어떤 로그를 수집/모니터링 및 분석할지가 중요하다!! Wazuh Server는 Wazuh Agent의 /var/ossec/etc/ossec.conf 하단에 위치한 을 기본으로 수집/모니터링한다. 위에서 볼 수 있듯이 기본적으로 /var/log 위치의 로그를 수집/분석한다. 그렇다면, 기본 경로의 파일 외 내가 원하는 로그 파일을 수집하고자 할 때는 어떻게 할 수 있을까? 아래 Wazuh Document에 나와있지만, 조금 알아보기가 어려워서 나름 정리해보았다. 작동 방식 - 데이터 수집 기록 · 와즈 문서 (wazuh.com) How it works ..
![]()
힘들게.. 힘들게.. Wauzh Agent/Server 그리고 ElasticSearch를 연동하였다. 그리고 SSH 접속, Sudo 등의 몇가지 테스트한 결과 아래의 이벤트를 얻을 수 있었다. 이전 게시물을 통해 어떤 방식으로 Wazuh Agent와 Wazuh Server가 구성되는지 알아보았다. [Wazuh] Wazuh란? 구성 및 개념도[1/2] :: 하다 보면 늘어나는 업무 지식 (tistory.com) [Wazuh] Wazuh란? 구성 및 개념도[1/2] Wazuh란? Wazuh는 클라우드, 컨테이너, 서버를 보호하기 위한 오픈소스 플랫폼의 서비스이다. 즉, 잘만 사용하면 여느 유료 솔루션 부럽지 않은 Server H-IDS 유형의 오픈소스 솔루션이다. 로그 데이터 dobby-isfree.tist..
![]()
1편을 이어서, 이번에는 Wazuh와 ElasticSearch 간의 데이터 연동을 알아보자! 앞편에서 설명했듯이, Wazuh는 기본적으로 Elasticsearch + Kibana와 연동을 기본으로 한다. 2. Wazuh Server ↔ Elastic Server(정확히는 ElasticSearch와 연동) 결론부터 말하면, Wazuh Server에 설치되어 있는 Filebeat를 통해 Elastic Server로 데이터를 전달한다. 위 그림과 같이 Wazuh Server에서 Filebeat가 실행되고 있음을 알 수 있다. /etc/filebeat/filebeat.yml 파일을 참조하여 시행되며, 해당 파일에는 Filebeat로 전달할 데이터와 ES 정보가 담겨있다. 위 설정을 보면 알 수 있듯이, File..
