서버 침입시도 : 1183회 / Server 대역 침입시도 누적 : 42996회 / Server 대역 접속시도 계정 : root / 42639회 (99%)
최고 접속시도IP : 218.65.30.134 (CN, China) - 20601회 /
  국가대역: [ CN,FR,AR,RU ] - 현재 차단

Posted
Filed under 취미/백패킹
무료이며, 화장실이 있습니다. 다리 뒤쪽으로 슈퍼가 있어 물 공급이 원할합니다.

밤에 별들이 무수히 쏟아지는 경험을 하실 수 있습니다.
아래는 제가 소장하고 있는 드론으로 찍은 사진들입니다. 클릭하시면 원본사이즈를 보실 수 있습니다.

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

2017/03/22 13:08 2017/03/22 13:08
Posted
Filed under 취미/백패킹
마도 - 꼬옥 가봐야 할 장소입니다.



참고 좌표 : http://m.blog.naver.com/haeinsammae/220480398882

2017/03/20 17:13 2017/03/20 17:13
Posted
Filed under OS/Linux
CentOS6에서 SSH 접근 시도 차단하기

기본 구성인 SSH 데몬은 무차별 공격(Blueforce Attack)에 취약할 수 있습니다. 이를 방어하기 위하여 iptables를 이용한 opensource가 있습니다. 바로 fail2ban 이라는 Application입니다. 이 프로그램은 /var/log/secure 로그 파일을 읽어 로그인 시도 실패에 대한 횟수를 지정한 수로 읽어 iptables로 차단을 하게 됩니다. 기본적으로 제공되는 프로그램이 아니기 떄문에 epel 패키지에서 가져와야 합니다.

1. Fail2Ban 설치
# rpm -Uhh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
# yum install -y fail2ban --enablerepo=epel
Loaded plugins: auto-update-debuginfo, fastestmirror
Setting up Install Process
Loading mirror speeds from cached hostfile
* base: ftp.daumkakao.com
* epel: mirror.premi.st
* epel-debuginfo: mirror.premi.st
* extras: ftp.daumkakao.com
* updates: ftp.daumkakao.com
Resolving Dependencies
--> Running transaction check
---> Package fail2ban.noarch 0:0.9.4-2.el6 will be updated
---> Package fail2ban.noarch 0:0.9.6-1.el6.1 will be an update
--> Finished Dependency Resolution
Dependencies Resolved
==========================================================
Package Arch Version Repository Size
==========================================================
Updating:
fail2ban noarch 0.9.6-1.el6.1 epel 468 k

Transaction Summary
==========================================================
Upgrade 1 Package(s)

Total download size: 468 k
Downloading Packages:

fail2ban-0.9.6-1.el6.1.noarch.rpm | 468 kB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : fail2ban-0.9.6-1.el6.1.noarch 1/2
Cleanup : fail2ban-0.9.4-2.el6.noarch 2/2
Verifying : fail2ban-0.9.6-1.el6.1.noarch 1/2
Verifying : fail2ban-0.9.4-2.el6.noarch 2/2

Updated:
fail2ban.noarch 0:0.9.6-1.el6.1
Complete!
2. 구성 파일 복사
기본 fail2ban 구성파일은 /etc/fail2ban/jail.conf로 되어있습니다. 기본으로 기동하게 되면 에러를 발생하게 합니다.
따라서, 적용할 수 있도록 다음과 같이 변경하셔야 합니다.
[root@www ~]# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
위와 같이 복사가 완료한 후 설정 파일을 열게 되면 보호할 수 있는 여러가지 방법이 존재합니다.
3. jail.local의 기본값 설정
[root@www ~]# vim /etc/fail2ban/jail.local
첫번째 섹션은 fail2ban이 따르는 기본 규칙을 다룹니다. 가상 서버에 더 세세히 변경하려면 각 섹션의 세부사항을 정의 할 수 도 있습니다.
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space (and/or comma) separator.
# 제외할 아이피를 설정합니다.
ignoreip = 127.0.0.1/8
# "bantime"은 호스트에 접근을 제안하는 시간(초 단위)입니다.
bantime = 3600
# "findtime" 시간 동안 "maxretry"를 초과할 경우 대상이 되도록 합니다. (초 단위)
findtime = 600
# "maxretry"는 /var/log/secure내에 fail 횟수에 대한 제안 설정입니다
# 아래는 3회 이상일 경우 bantime동안 차단됩니다.
maxretry = 3
ignoreip줄에 개인서버 IP를 입력하시기 바랍니다. 또한, 각 주소는 공백으로 구분할 수 있습니다. 접근하시는 IP를 넣을 경우 이 서버에서 실수로 접근하는 분을 차단하지 않을 것입니다.
bantime은 호스트에 접근 제한 시간입니다. 기본 단위는 초이며, 해당 시간 이후 자동으로 해제 됩니다.
maxretry는 접근 실패시 몇번이후 차단할 수 있도록 하는 것이며, 횟수로 설정합니다. (기본 6회)
findtime은 호스트가 로그인 시도후 600초 이내에 maxretry값 이상 실패하면, 해당 IP를 bantime동안 차단합니다.
4. jail.local에 ssh-iptables 섹션 구성
ssh 세부 정보 섹션은 구성에서 아래 있습니다. 하지만 이 섹션에는 따로 세부정보를 설정할 수가 없습니다. 예를 들면, fail시 담당 email을 발송 할 수 있도록 하는 기능도 포함되어있습니다.
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=root, sender=jaehun@me.com]
logpath = /var/log/secure
maxretry = 5
enabled는 해당 섹션의 동작유무를 나타냅니다. 기동은 true 중지는 fail로 설정할 수 있습니다. 기본적으로 sshd 설정에 fail2banuses가 일치하는 구성 파일이 있습니다. /etc/fail2ban/filter.d/sshd.conf  내에 기본 설정이 되어있습니다.
Action은 fail2ban이 일치하는 IP주소를 차단하기 위해 행할 단계입니다. failter 항목과 마찬가지로 각 작업은 action.d 디렉토리 내에 파일을 참조합니다. 기본 금지 조치인 IPTABLES는 /etc/fail2ban/action.d/iptables.conf 내에 존재합니다. iptables 세부사항에서 fail2ban을 추가로 사용자 정의가 가능합니다. 예를 들어 비표준 포트를 사용하는 경우 대괄호 내에 포트 번호와 일치하도록 변경하여 다음과 같이 표시 할 수 있습니다.
ex: iptables [name = SSH, port = 30000, protocol = tcp]
fail2ban에서 모니터링하는 프로토콜은 tcp에서 udp까지 변경이 가능합니다. 해당 엑션이 동작되면 fail2ban이 이메일을 발송할 수 있습니다. 해당 명령인 sendmail-whois는 /etc/fail2ban/action.d/sendmail-whois.conf 에 기본 설정이 되어있으므로 참조하시기 바랍니다. logpath는 secure 파일의 위치를 나타냅니다.
5. fail2ban 기동하기
fail2ban의 설정값을 변경하면 항상 fail2ban을 재시작하여 주시기 바랍니다.
/etc/init.d/fail2ban restart 또는 service fail2ban restart
항상 root로 기동하셔야 합니다. 만일 fail2ban이 iptables내에 적용되어있는지를 확인하고 싶다면 아래와 같이 확인할 수 있습니다.
iptables -L
요즘들어 SSH로 접근시도하는 중국발 blueforce공격이 심해지고 있습니다. 어이없는 패스워드 설정으로 공격자에게 root를 주는 황당한 일을 당하지 맙시다~
2017/03/17 14:22 2017/03/17 14:22
Posted
Filed under OS/Linux

SSH 접근 제어 방법
접속을 허가한 계정만 ssh를 통해서 접속이 가능하게 설정해보자.
[테스트 시나리오]
서버에는 tommy, john, root 계정이 존재 한다. root와 john는 ssh로 접속이 가능하게 하고, tommy로는 접속이 되지 않도록 하고 싶다.

[설정]
이 방법은 pam 인증을 이용한 방법이므로 /etc/pam.d/sshd 에 다음과 같은 라인을 추가시켜 준다. /etc/pam.d/sshd 제일 상위 줄에에 추가시켜 준다.

#%PAM-1.0 
auth required /lib/security/pam_listfile.so item=user sense=allow file=/etc/sshd_acl onerr=succeed


각 간격은 tab 으로 띄어준다.
위와 같이 추가한 뒤에는 /etc/sshd_acl 파일을 생성한뒤에 다음과 같이 추가한다.

 #vi /etc/sshd_acl
root
john


자! 그럼 모두 완료 되었다.

[실행테스트]
 -> sshd_acl에 등록된 사용자 [root@john john]# ssh -l john 192.168.0.2  john@192.168.0.2's password: 
Last login: Tue Dec 14 15:31:36 2016 from john

-> sshd_acl에 등록이 되지 않은 사용자
[root@john john]# ssh -l tommy 192.168.0.2
tommy@192.168.0.2's password:
Permission denied, please try again.

-> sshd_acl에 등록한 사용자 (tommy 를 acl등록후 연결 성공)
[root@john john]# ssh -l tommy 192.168.0.2
tommy@192.168.0.2's password:
Last login: Tue Dec 14 15:31:36 2016 from john

이 방법을 사용하여, 서버에 계정을 가지고 있으면 누구나 서버에 접속할 수 있는것이 아니라,
root가 허가를 해준 사용자만이 접속 가능하도록 설정할수 있다.

2017/03/16 08:58 2017/03/16 08:58
Posted
Filed under OS/Linux
SAN Storage에서 LUN을 던저주었을 경우 아래와 같이 설정한답니다.

mpathconf --enable 이후 /etc/multipath.conf 파일 내에 수정을 하고 재부팅 하면
기본적으로 설정 방식대로 올라오는 것이지요~

blacklist_exceptions {
# multipath 사용할 wwid들만 입력
wwid ...
}

blacklist {
# 아래와 같이 넣는 이유는 usb 또는 디스크 추가시
# multipath 내에 join 되지 않도록 하기 위함입니다
wwid *
}

# multipath 사용할 볼륨 고정
multipaths {
multipath {
wwid 360a.........
alias data001
}
multipath {
wwid 360b.......
alias data002
}
}

이렇게 하면 보통 큰문제없이 설치가 됩니다. 간혹 클러스터 구성에 quorum이 들어갈 경우 아래와 같이 넣어주셔야 합니다

defaults {
user_friendly_....
# 아래부분 추가 (quorum 사용시 또는 cluster 사용시)
no_path_retry fail
flush_on_last_del yes
}


[##_1C|2226670473.pdf||_##]
2017/02/28 17:57 2017/02/28 17:57
Posted
Filed under OS/Linux
Red Hat 제품 보안팀은 Linux 커널의 DCCP 프로토콜 IPV6 구현에 따른 영향에 대한 보안 취약점을 인지하고 있으며 이는 CVE-2017-6074로 지정되어 있습니다. 본 취약점은 2017년 2월 20일에 공지되었으며 중요한 영향을 미치는 것으로 평가되고 있습니다.

배경정보
DCCP는 프로그래머가 응용 프로그램 계층에서 네트워크 정체 설정을 제어할 수 있도록 고안된 4 계층 (전송 계층) 프로토콜입니다. 이 프로토콜은 3 계층 (네트워크 계층) 프로토콜로 IP를 사용하므로 인터넷을 통해 라우팅할 수 있습니다. 이로 인해 이러한 프로토콜은 IPV4 및 IPV6 기반 시스템 모두에서 작동하도록 고안되었습니다. 본 취약점은 IPV6 기반 DCCP 연결을 명시적으로 사용하여 악용됩니다. DCCP는 내부의 상태 머신을 사용하여 연결을 추적합니다. 이러한 경우 소켓이 LISTEN 상태에 있는 동안 DCCP 상태 머신은 DCCP_PKT_REQUEST 데이터 구조를 잘못 처리합니다. 이를 통해 네트워크에 연결된 동일한 노드에서 클라이언트와 서버 모두를 제어할 수 있는 로컬 사용자는 "Use After Free" (메모리 해제 후 사용) 상태가 주어질 수 있습니다. 연결이 완료되면 연결 당 skbuff라는 데이터 구조체가 만들어지게 됩니다. 마지막 skbuff에 다른 구조체에 있는 skb_shared_info를 호출하게 되며 여기에는 ubuf_info 구조체가 포함됩니다. 이 구조체에는 skb가 삭제될 때 호출할 함수 포인터가 포함되어 있습니다. skbuff 메모리 해제 이후 이러한 ubuf_info 구조체의 콜백 함수를 호출하게 되면서 오류 상태가 발생합니다. 이를 통해 공격자는 악의적인 명령으로 메모리를 덮어쓰기할 수 있는 상황을 만들 수 있으며 메모리 해제와 이차적인 악의적인 명령 사이에서 함수 포인터 값을 악용할 수 있습니다.

대응방법
영향을 받는 커널 버전을 실행하고 있는 모든 Red Hat 고객의 경우 패치 릴리즈 후 커널을 업데이트할 것을 권장합니다. 영향을 받는 패키지와 권장 완화 방법은 아래에 설명되어 있습니다. 커널 업데이트를 적용하려면 시스템을 다시 시작해야 합니다.
이 공격에는 sk_shared_info 구조체에 대한 메모리가 해제된 후 사용될 수 있도록 동일한 시스템에서 실행되고 있는 서버와 클라이언트가 필요합니다. 

Red Hat 제품 보안팀은 본 취약점이 이번 업데이트에서 중요한 영향을 미치는 것으로 평가하고 있습니다.

영향을 받는 제품
영향을 받는 Red Hat 제품 버전은 다음과 같습니다:
- Red Hat Enterprise Linux 5
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 7
- Red Hat Enterprise MRG 2
- Red Hat Openshift Online v2
- Red Hat Virtualization (RHEV-H/RHV-H)
- RHEL Atomic Host

공격 내용 및 영향 
본 취약점을 통해 로컬 시스템 계정이 있는 공격자가 권한을 상승시킬 수 있는 가능성이 있습니다. 이러한 취약점은 일반적으로 UAF (Use After Free)라고 부르며 이전에 실행된 free() 작업으로 인해 사용 중인 할당을 더이상 참조하지 않는 포인터를 통해 메모리에 접근하는 코드 경로를 사용하여 악용됩니다. 본 취약점은 DCCP 네트워킹 코드에 존재하며 충분한 액세스 권한을 갖는 악의적인 공격자가 해당 코드에 액세스하여 모든 로컬 인터페이스의 DCCP 네트워크 연결을 설정할 수 있습니다. 악용에 성공하면 호스트 커널 크래시, 호스트 커널 컨텍스트에 있는 코드 실행 또는 커널 메모리 구조를 변경하여 다른 권한 상승을 유발할 수 있습니다. 공격자는 시스템의 로컬 계정에 액세스할 수 있어야 합니다. 이는 원격 공격이 아니며 IPV6 지원이 활성화되어 있어야 합니다.

체크 스크립트
대응 방법
영향을 받는 커널 버전을 실행하고 있는 모든 Red Hat 고객의 경우 패치 릴리즈 후 커널을 업데이트할 것을 권장합니다. 영향을 받는 패키지와 권장 완화 방법은 아래에 설명되어 있습니다. 커널 업데이트를 적용하려면 시스템을 다시 시작해야 합니다.

사용자 삽입 이미지
영향을 받는 제품 업데이트
* 이러한 패치에 액세스하려면 활성 EUS 서브스크립션이 필요합니다.
사용 계정에 활성 EUS 서브스크립션이 없을 경우 보다 자세한 내용은 Red Hat 영업팀 또는 해당 영업 담당자에게 문의하시기 바랍니다.

Red Hat Enterprise Linux Extended Update Support 서브스크립션이란?

**RHEL AUS에서 이러한 패치에 액세스하려면 활성 AUS 서브스크립션이 필요합니다. 
 

완화 방법
응용 프로그램이 DCCP 프로토콜을 사용하려할 때 DCCP 커널 모듈이 자동으로 로드됩니다. 이 모듈이 로드되지 않도록 하려면 시스템 전반의 modprobe 규칙을 사용합니다. 다음과 같은 명령 (root로 실행)을 통해 실수로 또는 의도적으로 모듈이 로드되지 않게 합니다. Red Hat 제품 보안팀은 이러한 방법이 권한이 있는 사용자라도 실수로 모듈을 로드할 수 없도록 하기 위한 강력한 방법이라고 생각합니다. [code]# echo "install dccp /bin/true" >> /etc/modprobe.d/disable-dccp.conf

DCCP 모듈이 이미 로드된 경우 시스템을 다시 시작해야 합니다. 대부분의 경우 DCCP 커널 모듈은 사용 중이거나 네트워크 인터페이스가 활성화 상태일 때 언로드할 수 없습니다. 추가 도움이 필요할 경우 KCS 기사 ( https://access.redhat.com/solutions/41278 )를 참조하거나 Red Hat 글로벌 지원 서비스에 문의하십시오. 또한 RHEL 6 및 7 시스템을 완전 업데이트하기 위한 기본 SELinux 정책은 CVE-2017-6074에 대한 bugzilla 상세 정보에 설명되어 있듯이 본 결함을 완화시킬 수 있습니다.
 
2017/02/27 13:04 2017/02/27 13:04
Posted
Filed under OS/Linux
RHEL7을 VM에서 구동하다 다음과 같이 에러가 발생됨을 확인하였습니다.
 
[ 0.000000] Fast TSC calibration failed.
 
위의 부분은 부팅시 발생되는 부분이며, TSC는 Time Stamp Counter의 약자이더군요.
해결방법은 다음과 같이 하시면 해결하실 수 있습니다.

/etc/default/grub 마지막줄에

GRUB_CMDLINE_LINUX="clocksource=tsc"
위의 항목을 넣어주시고 다음과 같은 명령을 수행하여 주시기 바랍니다.

[root@dev ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-123.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-123.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-b161999d89d0472890f8a83cc933a9fb
Found initrd image: /boot/initramfs-0-rescue-b161999d89d0472890f8a83cc933a9fb.img
done
[root@dev ~]#
위와 같이 출력되고 나신 뒤부터는 정상적인 부분을 보실 수 있습니다.
위의 에러는 3.x 커널에 vmware 4.x 버젼에서 발생된다고 합니다.

저와 같이 해결을 하시기 바랍니다. 파이팅~!!!
2017/02/27 13:00 2017/02/27 13:00
Posted
Filed under OS/Linux
만일 아래의 명령을 실수로 내렸을 때에 복구 방법은?
chmod 777 * -R
오늘 작업중 유난히 특별 케이스를 보았습니다. 상당히 맨붕이 왔지만... yum 혹은 RPM에서 설치 하셨다면 다음과 같이 패키지에 들어있는 패키지의 퍼미션들을 뽑아서 복구 할 수 있습니다. 기본적인 퍼미션 복구 방법은 다음과 같습니다.
rpm --setperms packagename
위의 명령은 setperms로 packagename에 관련된 파일에 대하여 최초 설치시 퍼미션으로 되돌리는 것입니다. 전체의 퍼미션을 복구 하고 싶을 경우는 다음과 같이 하시면 됩니다.
rpm --setperms -a
이와 관련하여 소유권까지 변경되었다면... 다음 명령어로도 수행이 가능하니 참조하실 수 있겠죠?
rpm --setugids packagename
위의 퍼미션 처럼 동일하게 패키지 최초 설치시 소유권으로 되돌려줍니다. 퍼미션과 소유권을 전체 설정하고 싶으시다면 다음과 같이 하실 수 있습니다.
rpm --setugids --setperms -a
위와 같이 하면 시스템에 설치되었던 패키지 RPM 리스트수대로 chown및 chgrp 그리고 chmod 명령을 수행하여 해당 시스템에 퍼미션들을 수정하게 될 것입니다.
2017/02/27 12:57 2017/02/27 12:57
Posted
Filed under OS/Linux
많은 곳에 쓰이는 조건식에 대하여 아래와 같이 나열해봅니다. 조건식의 문자열 비교

조건식

설명

문자열1 == 문자열2 문자열이 일치
문자열1 != 문자열2 문자열이 일치하지 않음
-z 문자열 빈 문자열
-n 문자열 빈 문자열이 아님
문자열 == 패턴 문자열이 패턴에 매치
문자열 != 패턴 문자열이 패턴에 매치하지 않음
조건식의 수치 비교

조건식

설명

수치1 -eq 수치2 수치가 같음
수치1 -ne 수치2 수치가 같지 않음
수치1 -lt 수치2 수치1이 수치2보다 작음
수치1 -le 수치2 수치1이 수치2보다 작거나 같음
수치1 -gt 수치2 수치1일 수치2보다 큼
수치1 -ge 수치2 수치1이 수치2보다 크거나 같음
조건식에 따른 파일검사

조건식

설명

-e 파일명 파일이 존재함
-d 파일명 디렉토리
-h 파일명 심볼릭링크
-f 파일명 일반 파일
조건식에 따른 조건 논리연산

조건식

설명

조건1 && 조건2 양쪽다 성립
조건1 || 조건2 한쪽 혹은 양쪽 다 성립
!조건 조건이 성립하지 않음
true 조건이 언제나 성립
false 조건이 언제나 성립하지 않음
2017/02/27 12:56 2017/02/27 12:56
Posted
Filed under OS/Linux
OPENSSL POODLE  sslv3 패치가 또 나왔습니다. 얼마전 있었던 heart bleed와 쉘 버그에 이어 푸들 쇼크가 한바탕 몰아쳤습니다. SSL3를 아예 꺼두고 하위 호환성을 위해 TLS_FALLBACK_SCSV 를 사용하라는 가이드 라인이 있습니다. 업계에서는 SSL을 더이상 사용하지 않는 방향으로 가는 듯 합니다.

푸들 관련 기사 및 정보
http://security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
(국내 기사)
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20141015090101 http://news.imaso.co.kr/134361

추가로 OpenSSL을 사용하시는 분들은 푸들 보다 (더 심각한) DOS 공격 관련 취약성이 있으니 패치를 권고한다는 문서도 있습니다. 공격으로 인한 메모리 릭이 발생할 수 있는 버그는 2건 입니다.

OpenSSL 패치 보고서.
POODLE 및 메모리 누수  :  http://www.theregister.co.uk/2014/10/15/openssl_ddos_vulns/

지난 수요일 https://www.openssl.org/  에 푸들과 DOS 공격을 위한 네 가지 패치가 올라와 있습니다.
2017/02/27 12:54 2017/02/27 12:54