본문 바로가기

분류 전체보기

 (8)
Ansible 스터디 4주차 - 모니터링 자동화 Ansible facts를 이용한 모니터링. /home/ansible/ansible-project/20240206/1/ansible.cfg [defaults] inventory = ./inventory remote_user = ansible ask_pass = false [privilege_escalation] become = true become_method = sudo become_user = root become_ask_pass = false ansible 유저로 접속하여 Sudo로 명령하도록 설정. inventory 위치설정 /home/ansible/ansible-project/20240206/1/inventory [compute] node01 ansible_host=192.168.122.231 ..
Ansible 스터디 4주차 - 보안설정 자동화 패스워드 변경 주기 설정 ansible builtin user 모듈을 활용한다. *centos 계정이 NOPASSWD:ALL 설정이 되어있다고 가정함. /home/ansible/ansible-project/20240205/1/ansible.cfg [defaults] inventory = ./inventory remote_user = centos ask_pass = false [privilege_escalation] become = true become_method = sudo become_user = root become_ask_pass = false /home/ansible/ansible-project/20240205/1/inventory [compute] node01 ansible_host=192.1..
Ansible 스터디 3주차 - 환경 설정 자동화 hostname 모듈을 활용한 hostname 설정 ansible inventory 및 설정파일 /home/ansible/ansible-project/4/ansible.cfg [defaults] inventory = ./inventory remote_user = ansible ask_pass = false inject_facts_as_vars = false roles_path = ./roles [privilege_escalation] become = true become_method = sudo become_user = root become_ask_pass = false /home/ansible/ansible-project/4/inventory [compute] com01 ansible_host=192...
Ansible 스터디 3주차 - 시스템 구축 자동화 Ansible User 모듈을 이용한 사용자 계정 생성 AWS로 실습 후 개인 환경에서 다시 복습. ansible.cfg, inventory 파일 작성 ansible/20240203/ansible.cfg [defaults] inventory = ./inventory remote_user = centos ask_pass = false [privilege_escalation] become = true become_method = sudo become_user = root become_ask_pass = false sudo 권한으로 명령을 실행하기 위해 ansible.cfg 작성 ansible-vault 를 이용한 사용자 계정 정보 생성 root@server:~/ansible/20240203# ansible-..
Ansible 스터디 2주차 반복문과 조건문, 롤과 콘텐츠 컬렉션 반복문 만약 어떤 서버들이나 전체 서버들에서 특정 서비스가 올라와 있어야 하거나, 꺼져 있어야 한다면 service 빌트인 모듈을 활용하여 일괄적으로 원하는 상태로 바꾸어 줄 수 있다. check-service.yml --- - hosts: all tasks: - name: Check sshd state ansible.builtin.service: name: sshd state: started - name: Check chronyd state ansible.builtin.service: name: chronyd state: stopped 만약 전체 서버에서 sshd는 반드시 실행되어 있어야하고, chronyd는 꺼져 있어야 한다면 위와같이 yaml파일을 작성할 수 있다. Node02의 경우 chronyd..
Ansible 스터디 1주차 엔서블 기본사용 스터디를 위한 테스트 환경 생성 생성되는 vm에 기본적으로 추가되는 계정과 비밀번호 또한 알고있다는 가정하에 설정 시작. 인벤토리를 활용한 제어노드 지정 계정 : centos 비밀번호 : passed 해당 계정은 sudo 권한을 가지고있음 호스트들을 그룹화하여 각 그룹에 대한 변수를 다르게 지정해줄 수 있어 체계적으로 관리 가능함. 호스트가 늘어나 한 파일에서 관리가 어려워지면 파일을 분리하여 관리해줄 수 있음. 호스트만 정의해주고 처음으로 ping 모듈을 통하여 테스트 해보면 제어노드의 계정 그대로 ssh 접속을 시도하고 있고 key checking을 하는것을 볼 수 있음. 아래와 같이 그룹에 대한 변수를 지정해주어 key checking을 해제해줄 수 있고 원하는 계정을 사용가능함. 또한 모든 그룹이..
AWS workshop IMDSv1의 SSRF - simulation 및 detection IMDSv1의 SSRF - simulation 및 detection 해당 workshop에서는 IMDSv1을 사용하도록 구성된 EC1 인스턴스에서 호스팅 되고있는 SSRF(Server Side Request Forgery) 에 취약한 웹 어플리케이션을 unauthorized use 를 시뮬레이션 한다. 그 뒤 AWS CIRT(고객 인시던트 대응팀)가 이러한 보안 event에 대응할 때 수행하는 몇가지 detection activity를 살펴본다. *SSRF : Server Side에서 생성되는 요청을 변조해 해커가 의도한 서버로 요청을 보내거나 요청 자체를 수정할 수 있는 공격 사용 tool Assisted Log Enabler for AWS 해당 툴은 S3 버킷을 생성하고, 서비스를 확인하여 loggi..
S3 취약점 및 보안 Gashida님의 AHSS 1기 온라인 스터디에서 학습한 내용을 정리하였습니다. S3 접근통제 S3 접근통제 방법에는 객체 & 버킷 액세스 제어 목록(ACL), 버킷정책 , IAM 정책이 있습니다.  1. 객체 & 버킷 엑세스 제어 목록 액세스 제어 목록(ACL)을 사용하여 버킷 및 객체 각각에 대한 액세스를 제어할 수 있습니다.ACL은 IAM보다 먼저 적용되며, ACL를 사용하면 각 객체에 대해 액세스를 개별적으로 제어해야 하므로 일반적인 경우에는 사용을 권장하지 않습니다. 따라서 버킷을 생성하면 기본적으로 ACL이 비활성화 되어있습니다. 2. 버킷정책 버킷 정책은  아래 예제와 같은 엑세스 정책 언어로 표현됩니다.{ "Version":"2012-10-17", "Statement":[ ..

티스토리툴바