태그 Archives: CentOS7

sudo – Heap buffer overflow 취약점 Baron Samedit [CVE-2021-3156]

sudo 명령의 -s 옵션 또는 -i 옵션을 이용하여 이스케이프(‘\’) 으로 Heap buffer overflow 취약점이 발견 되었음 ‘ㅅ’a

root 권한 탈취가 가능하므로 심각한(important) 취약점 이라고 볼수 있다.

취약점 테스트

1 2	~]# sudoedit -s '\' `perl -e 'print "A" x 65536'` Segmentation fault

위와 같이 Segmentation fault 가 발생한다면 취약한 버전 으로 업데이트가 필요로 하다 ‘ㅅ’a

업데이트 CentOS 7 ~ 8

1	~]# yum install sudo

업데이트 Ubuntu 14.04 ~ 21.04

1	~]# apt-get update && apt-get install sudo

시스템 재 부팅은 불필요 하다 ///ㅅ///

https://access.redhat.com/ko/security/vulnerabilities/5740281

https://ubuntu.com/security/CVE-2021-3156

CentOS 7 에서 systemd 의 쓸모 없는 로그를 필터링

시스템 로그 분석을 매주 진행하는데 systemd 에서 아래와 같은 메세지가 많이 표현됨.

Sep 23 00:00:00 HOSTNAME systemd: Started Session XXXXXXXX of user root.

Sep 23 00:00:00 HOSTNAME systemd: Starting Session XXXXXXXX of user root.

Sep 23 00:00:00 HOSTNAME systemd: Removed session XXXXXXXX.

Sep 23 00:00:00 HOSTNAME systemd: Starting User Slice of root.

Sep 23 00:00:00 HOSTNAME systemd: Stopping User Slice of root.

Sep 23 00:00:00 HOSTNAME systemd: Created slice user-X.slice.

Sep 23 00:00:00 HOSTNAME systemd: Removed slice user-X.slice.

Sep 23 00:00:00 HOSTNAME systemd: Starting user-X.slice.

Sep 23 00:00:00 HOSTNAME systemd: Stopping user-X.slice.

로그 분석할때 쓸모가 없기 때문에 rsyslog 에서 예외 적용 한다.

~]# echo 'if $programname == "systemd" and ($msg contains "Removed session" or $msg contains "Starting User Slice of" or $msg contains "Stopping User Slice of" or $msg contains "Created slice" or $msg contains "Removed slice" or $msg contains "Starting user-" or $msg contains "Stopping user-" or $msg contains "Started Session" or $msg contains "Starting Session") then stop' > /etc/rsyslog.d/ignore-systemd-session-slice.conf

~]# systemctl restart rsyslog

출처 : https://access.redhat.com/solutions/1564823

정보보호 관리체계(ISMS) – centos 서버 패치

Information Security Management System(ISMS) / 한국 정보보호 관리체계 인증(K-ISMS)

사실 처음 공부를 시작할때 개발자 vs 엔지니어 로 고민 했던 사람들이 많았다.

그런 우리의 고민을 모든 날려버린 직업이 발생하는데 바로 DevOps 이다.

개발자에게 엔지니어의 역할을 맞기거나 엔지니어에 개발을 요구 하는…

그래서 숙련 되지 않는 엔지니어를 위해서(혹은 개발자지만 엔지니어 역량이 요구되는 직무인 사람) 서버 기본 보안 설정에 대한 글을 포스팅 하게 되었다.

(ISMS 혹은 K-ISMS 에 필요한 포스팅을 했을때 블로그에 해당 링크를 통해 유입 되는 사람이 많다.)

사실 한국 과학기술정보통신부에서 발행하는 문서 “201712_주요정보통신기반시설_기술적_취약점_분석평가_가이드” 에 따라

centos 7 에서 설정해줘야 하는 부분만 스크립트로 작성 하였다.

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

#!/bin/bash

### 루트 권한 check

U=$(env | grep "^SUDO_USER=" | cut -d"=" -f2)

if [[ x$U == "x" ]];then

echo "should get super user permition with ( sudo -i )"

exit 1

## root 계정의 원격 접속 제한

TARGET=/etc/ssh/sshd_config

CHECK=$(grep -n ^PermitRootLogin $TARGET)

if [[ -n $CHECK ]];then

TNUM=$(cut -d':' -f1 <<< $CHECK)

TSTR=$(cut -d':' -f2 <<< $CHECK)

if [[ $(echo $CHECK | grep -i yes$) ]];then

sed -i "${TNUM}s/$TSTR/PermitRootLogin no/g" $TARGET

else

echo "PermitRootLogin no" >> $TARGET

unset TARGET CHECK TNUM TSTR

## 계정 잠금 임계값 설정

if [[ -z $(grep "pam_tally2.so" /etc/pam.d/password-auth-ac) ]];then

sed -i '5 i\auth required pam_tally2.so deny=5 magic_root unlock_time=600;

11 i\account required pam_tally2.so' /etc/pam.d/password-auth-ac

if [[ -z $(grep "pam_tally2.so" /etc/pam.d/system-auth-ac) ]];then

sed -i '5 i\auth required pam_tally2.so deny=5 magic_root unlock_time=600;

11 i\account required pam_tally2.so' /etc/pam.d/system-auth-ac

## 패스워드 복잡성 설정 - 패스워드 최소 길이 설정

TARGET=/etc/login.defs

CHECK=$(grep -n ^PASS_MIN_LEN $TARGET)

if [[ -n $CHECK ]];then

TNUM=$(cut -d':' -f1 <<< $CHECK)

TSTR=$(cut -d':' -f2 <<< $CHECK)

TVELUE=$(awk '{print $2}' <<< $TSTR)

if [ $TVELUE -lt 8 ];then

sed -i "${TNUM}s/$TSTR/PASS_MIN_LEN\t8/g" $TARGET

else

echo "PASS_MIN_LEN\t8" >> $TARGET

## 패스워드 복잡성 설정 - 패스워드 최대 사용 기간 설정

TARGET=/etc/login.defs

CHECK=$(grep -n ^PASS_MAX_DAYS $TARGET)

if [[ -n $CHECK ]];then

TNUM=$(cut -d':' -f1 <<< $CHECK)

TSTR=$(cut -d':' -f2 <<< $CHECK)

TVELUE=$(awk '{print $2}' <<< $TSTR)

if [ $TVELUE -gt 90 ];then

sed -i "${TNUM}s/$TSTR/PASS_MAX_DAYS\t90/g" $TARGET

else

echo "PASS_MAX_DAYS\t90" >> $TARGET

## 패스워드 복잡성 설정 - 패스워드 최소 사용 기간 설정(0 일 설정 금지)

TARGET=/etc/login.defs

CHECK=$(grep -n ^PASS_MIN_DAYS $TARGET)

if [[ -n $CHECK ]];then

TNUM=$(cut -d':' -f1 <<< $CHECK)

TSTR=$(cut -d':' -f2 <<< $CHECK)

TVELUE=$(awk '{print $2}' <<< $TSTR)

if [ $TVELUE -eq 0 ];then

sed -i "${TNUM}s/$TSTR/PASS_MIN_DAYS\t1/g" $TARGET

else

echo "PASS_MIN_DAYS\t1" >> $TARGET

## ssh - Session Timeout 설정

if [[ -z $(grep "^TMOUT=600" /etc/profile) ]];then

echo "TMOUT=600" >> /etc/profile

## UMASK 설정 관리

TARGET=/etc/login.defs

CHECK=$(grep -n ^UMASK $TARGET)

if [[ -n $CHECK ]];then

TNUM=$(cut -d':' -f1 <<< $CHECK)

TSTR=$(cut -d':' -f2 <<< $CHECK)

TVELUE=$(awk '{print $2}' <<< $TSTR)

if [ $TVELUE -lt 22 ];then

sed -i "${TNUM}s/$TSTR/UMASK\t\t22/g" $TARGET

else

echo "UMASK\t\t22" >> $TARGET

## cron 파일 소유자 및 권한 설정 (권한 제한(only root))

echo root > /etc/cron.allow

## 패스워드 파일 보호 / /etc/passwd 파일 소유자 및 권한 설정

chmod 400 /etc/shadow

chown root:root /etc/shadow

## 로그온시 경고 메세지 제공

echo -e "\e[31;1m

o o O o o o o o-O-o o o o-o

| | / \ |\ | |\ | | |\ | o

o o o o---o | \ | | \ | | | \ | | -o

\ / \ / | | | \| | \| | | \| o |

o o o o o o o o o-O-o o o o-o

\e[32;1m

This Server useable to Authorization User Only.

if you not of that. go away!

\e[0m" > /etc/motd

### 어드민 그룹(wheel) 현재 접속한 ID 설정

ADMINGROUP="wheel"

if [[ ! -z $U ]];then

ACID=$U

## 어드민 그룹이 없을 경우 생성한다.

if [[ ! -z $(id $ACID 2>/dev/null) ]];then

if [[ -z $(grep ^$ADMINGROUP: /etc/group) ]];then

groupadd -r $ADMINGROUP

## root 계정 su 제한

chgrp $ADMINGROUP $(which su)

chmod 4750 $(which su)

## SUID, SGID, Sticky bit 설정 파일 점검

chgrp $ADMINGROUP $(which newgrp)

chmod 4750 $(which newgrp) $(which unix_chkpwd)

## 불필요한 계정 제거

ID_LIST=( adm lp sync shutdown halt news uucp operator games gopher nfsnobody squid ftp www-data list )

for a in ${ID_LIST[@]}

if [[ ! -z $(id $a 2>/dev/null) ]];then

userdel $a

DELLIST="$DELLIST $a"

done

if [[ ! -z $DELLIST ]];then echo -e "\e[31;1m"$DELLIST" art deleted.\e[0m";fi

unset ID_LIST DELLIST ADMINGROUP

## 홈 디렉토리의 존재 관리

echo "아래 리스트는 계정별 홈디렉토리를 나타낸다. / 홈디렉토리가 없는 계정이 존재해서는 안된다."

for b in $(awk -F: '!/^#/&&$6!~/^\/dev\/null$/&&$6!~/^\/$/{print $1":"$6}' /etc/passwd)

USERNAME=$(cut -d: -f1 <<< $b)

USERHOME=$(cut -d: -f2 <<< $b)

if [ ! -d $USERHOME ];then

echo "$USERNAME"

else

if [[ -z $(ls -dal $USERHOME|grep ^d......--.) ]];then

echo -en "\e[31;1m$USERNAME"

ls --time-style=long-iso -dal $(readlink -f $USERHOME)|awk '{print "\t"$1"\t"$3"\t"$4"\t"$8}'

fi;fi

done

echo -e "\e[0m"

## 계정이 존재하지 않는 GID 금지

echo "아래 리스트는 그룹별 속한 아이디를 보여 준다. / 속한 아이디가 없는 그룹은 삭제해야 한다."

for a in $(cat /etc/group|grep -v ^#)

GROUPNAME=$(cut -d: -f1 <<< "$a")

GROUPNUM=$(cut -d: -f3 <<< "$a")

ACCHECK=$(awk -F: '!/^#/&&$4~/^'$GROUPNUM'$/{print $1}' /etc/passwd)

if [[ -z $ACCHECK ]];then

if [[ $GROUPNAME == "cdrom" ]] || [[ $GROUPNAME == "floppy" ]] ||

[[ $GROUPNAME == "tape" ]] || [[ $GROUPNAME == "dialout" ]];then

echo -e "\e[34;1m$GROUPNAME group for default devices\e[0m" #> /dev/null

elif [[ $GROUPNAME == "disk" ]] || [[ $GROUPNAME == "sys" ]] ||

[[ $GROUPNAME == "mem" ]] || [[ $GROUPNAME == "kmem" ]] ||

[[ $GROUPNAME == "man" ]] || [[ $GROUPNAME == "systemd-journal" ]] ||

[[ $GROUPNAME == "lock" ]] || [[ $GROUPNAME == "man" ]] ||

[[ $GROUPNAME == "input" ]];then

echo -e "\e[34;1m$GROUPNAME group for Linux kernel\e[0m" #> /dev/null

elif [[ $GROUPNAME == "man" ]];then

echo -e "\e[34;1m$GROUPNAME group for manual\e[0m" #> /dev/null

else

if [[ -z $(groupmems -l -g $GROUPNAME) ]];then

if [[ -z $(find / -xdev -group $GROUPNAME) ]];then

echo -e "\e[31;1m$GROUPNAME group is empty\e[0m"

else echo -e "\e[34;1m$GROUPNAME group has some file and folder.\e[0m"

else echo -e "\e[32;1m$GROUPNAME group has [ $(groupmems -l -g $GROUPNAME) ]\e[0m"

fi;fi

else

echo -e "\e[32;1m$GROUPNAME group has [ "$ACCHECK" ]\e[0m"

unset ACCHECK GROUPNUM GROUPNAME

done

“계정이 존재하지 않는 GID 금지 / 홈 디렉토리의 존재 관리” 항목은 보여줄뿐 수동으로 맞추어야 한다.

~]# usermod 유져명 -d /홈/디렉토리

~]# groupdel 그룹명

가이드 라인 문서중 apache / NFS / ftp / sendmail 은 사용 여부에 따라 추가적인 보안 조치를 해야 한다.

아래는 가이드 라인 문서에 따른 점검 항목 및 centos 에서의 처리 방법 예제 이다.(hwp 로 제작된 pdf 라서 복사가 안됨….)

계정 관리

root 계정 원격 접속 제한 (상) 스크립트

패스워드 복잡성 설정 (상) 서버관리자 숙지

계정 잠금 임계값 설정 (상) 스크립트

패스워드 파일 보호 (상) 스크립트

root 이외의 UID가 '0' 금지 (상) 일반적으로 문제 없음

root 계정 su 제한 (하) 스크립트

패스워드 최소 길이 설정 (상) 스크립트

패스워드 최대 사용 기간 설정 (상) 스크립트

패스워드 최소 사용 기간 설정 (상) 스크립트

불필요한 계정 제거 (하) 스크립트(list 수동)

관리자 그룹에 최소한의 계정 포함 (하) 스크립트(list 수동)

계정이 존재하지 않는 GID 금지 (하) 일반적으로 문제 없음

동일한 UID 금지 (상) 일반적으로 문제 없음

사용자 shell 점검 (하) 일반적으로 문제 없음

Session Timeout 설정 (하) 스크립트

파일 및 디렉터리 관리

root 홈, 패스 디렉터리 권한 및 패스 설정 (상) 일반적으로 문제 없음

파일 및 디렉터리 소유자 설정 (상) 일반적으로 문제 없음

/etc/passwd 파일 소유자 및 권한 설정 (상) 스크립트

/etc/shadow 파일 소유자 및 권한 설정 (상) 스크립트

/etc/hosts 파일 소유자 및 권한 설정 (상) *위험수용*

/etc/(x)inetd.conf 파일 소유자 및 권한 설정 (상) 일반적으로 문제 없음

/etc/syslog.conf 파일 소유자 및 권한 설정 (상) 일반적으로 문제 없음

/etc/services 파일 소유자 및 권한 설정 (상) 일반적으로 문제 없음

SUID. SGID, Stick bit 설정 파일 점검 (상) 일반적으로 문제 없음

사용자, 시스템, 시작파일 및 환경 파일 소유자 및 권한 설정 (상) 일반적으로 문제 없음

world writable 파일 점검 (상) 일반적으로 문제 없음

/dev에 존재하지 않는 device 파일 점검 (상) 일반적으로 문제 없음

HOME/.rhosts, hosts.equiv 사용 금지 (상) 일반적으로 문제 없음

접속 IP 및 포트 제한 (상) *서비스에 따라 개별설정 필요*

hosts.lpd 파일 소유자 및 권한 설정 (하) 일반적으로 문제 없음

NIS 서비스 비활성화 (상) 일반적으로 문제 없음

UMASK 설정 관리 (상) 스크립트

홈디렉토리 소유자 및 권한 설정 (상) 스크립트(list 수동)

홈디렉토리로 지정한 디렉토리의 존재 관리 (상) 스크립트(list 수동)

숨겨진 파일 및 디렉토리 검색 및 제거 (하) 일반적으로 문제 없음

서비스 관리

finger 서비스 비활성화 (상) 일반적으로 문제 없음

Anonymous FTP 비활성화 (상) 일반적으로 문제 없음

r 계열 서비스 비활성화 (상) 일반적으로 문제 없음

cron 파일 소유자 및 권한 설정 (상) 스크립트

Dos 공격에 취약한 서비스 비활성화 (상) 일반적으로 문제 없음

NFS 서비스 비활성화 (상) 일반적으로 문제 없음

NFS 접근 통제 (상) 일반적으로 문제 없음

automountd 제거 (상) 일반적으로 문제 없음

RPC 서비스 확인 (상) 일반적으로 문제 없음

NIS, NIS+ 점검 (상) 일반적으로 문제 없음

tftp, talk 서비스 비활성화 (상) 일반적으로 문제 없음

Sendmail 버전 점검 (상) *서비스에 따라 개별설정 필요*

스팸 메일 릴레이 제한 (상) *서비스에 따라 개별설정 필요*

일반사용자의 Sendmail 실행 방지 (상) *서비스에 따라 개별설정 필요*

DNS 보안 버전 패치 (상) *서비스에 따라 개별설정 필요*

DNS Zone Transfer 설정 (상) *서비스에 따라 개별설정 필요*

Apache 디렉토리 리스팅 제거 (상) *서비스에 따라 개별설정 필요*

Apache 웹 프로세스 권한 제한 (상) *서비스에 따라 개별설정 필요*

Apache 상위 디렉토리 접근 금지 (상) *서비스에 따라 개별설정 필요*

Apache 불필요한 파일 제거 (상) *서비스에 따라 개별설정 필요*

Apache 링크 사용 금지 (상) *서비스에 따라 개별설정 필요*

Apache 파일 업로드 및 다운로드 제한 (상) *서비스에 따라 개별설정 필요*

Apache 웹 서비스 영역의 분리 (상) *서비스에 따라 개별설정 필요*

ssh 원격접속 허용 (상) 일반적으로 문제 없음

ftp 서비스 확인 (하) *서비스에 따라 개별설정 필요*

ftp 계정 shell 제한 (상) 일반적으로 문제 없음

Ftpusers 파일 소유자 및 권한 설정 (하) 일반적으로 문제 없음

Ftpusers 파일 설정 (상) 일반적으로 문제 없음

at 파일 소유자 및 권한 설정 (상) 일반적으로 문제 없음

SNMP 서비스 구동 점검 (상) 일반적으로 문제 없음

SNMP 서비스 커뮤니티스트링의 복잡성 설정 (상) 일반적으로 문제 없음

로그온 시 경고 메시지 제공 (하) 스크립트

NFS 설정 파일 접근 권한 (상) 일반적으로 문제 없음

expn, vrfy 명렁어 제한 (상) 일반적으로 문제 없음

Apache 웹 서비스 정보 숨김 (상) *서비스에 따라 개별설정 필요*

패치 관리

최신 보안패치 및 벤더 권고사항 적용 (상) 서버관리자 숙지

로그 관리

로그의 정기적 검토 및 보고 (상) 서버관리자 정기 점검

정책에 따른 시스템 로깅 설정 (하) 일반적으로 문제 없음

일반적으로 문제 없음 = centos 7 기본 설치 상태에서 문제가 이미 없거나 설치 되지 않는 서비스 및 명령어

스크립트 = 올려둔 스크립트로 패치가 되는 경우

스크립트(list 수동) = 올려둔 스크립트 실행시 관리자가 인지 할 수 있도록 리스트 출력 (관리자 개입 수정 필요)

서버 관리자 숙지 = 일회성이 아닌 지속 적으로 관리자가 신경 써야 하는 부분

위험 수용 = 사이드 라인을 따라 갈 경우 서버에 장애 발생

서비스에 따라 개별 설정 필요 = 서버 목적에 따라 설치시 별도로 보안 점검이 필요로 하는 부분

AWS – AMI 리전 복사

AWS 에서 생성하여 운영중인 EC2 를 AMI(Amazon 머신 이미지) 를 생성하여 다른 Region 으로 복사 할 수 있다.

즉 서버 이동이 리전을 이동하여 생성할 수 있기 때문에 많이 쓰이지는 않겠지만…

사용된 OS 는 CentOS 7 이고 AMI 복사 및 인스턴스 시작은 문제 없이 진행이 되었다.

리전간 복사한 AMI를 이용하여 인스턴스를 시작할 경우 SSH로 로그인을 할수 없는 경우가 발생 하였다.

발생한 사유는 selinux 의 fcontext 가 리전간 복제 후 인스턴스를 시작할때 풀려버리는 문제가 있다.

Server refused our key

Disconnected: No supported authentication methods available.

정상 값 ssh_home_t

1 2	.ssh]# ls -lZ ~/.ssh/authorized_keys -rw-------. centos centos system_u:object_r:ssh_home_t:s0 authorized_keys

비 정상 값 default_t

1 2	.ssh]# ls -lZ ~/.ssh/authorized_keys -rw-------. centos centos system_u:object_r:default_t:s0 authorized_keys

해결 방법은 아래와 같이 해결이 가능할 것으로 보인다.

원본 서버에서 selinux 를 disabled 시킨다. ( vi /etc/sysconfig/selinux )
AMI를 생성 한다.
AMI를 다른 리전으로 복사 한다.
복사된 AMI를 이용하여 인스턴스를 새롭게 띄운다.
selinux 를 enforcing 시킨다.

아울러서 복사전에 다음과 같이 authorized_keys 파일의 컨텍스트를 선언해 두는것도 도움이 될 수 있다.

1 2	~]# semanage fcontext -a -t ssh_home_t '/home/centos/.ssh/authorized_keys' ~]# restorecon -R /home/centos

graylog 를 통한 syslog 통합 감사(audit)

graylog 는 syslog 처리를 위한 빅데이터 분석 솔루션이다. 기본적으로야 syslog 를 한곳에 적재하여 로그 감사를 하는 목적으로 사용한다.

물론 syslog 뿐만 아니라 웹로그등을 수집하여 분석하는것 역시 가능하다.

Mongodb + elasticsearch + java 를 사용하여 운영 되며 노드를 추가하여 다중 노드에서의 분석 처리가 가능하다.

위와 같이 대쉬보드를 만들어 한눈에 볼수 있으며 alert 설정을 통해 중요 특정한 이벤트 발생시 손쉬운 확인이 가능 하다.

graylog 의 권장 사항은 4GB의 램을 필요로 하나 구축테스트를 해본 결과 1GB 에 2GB 수준의 swap 으로 정상적인 운영이 가능했다.

오픈소스이기 때문에 유료 프로그램인 kiwi syslog의 라이선스 비용 대비 40% 수준이면 클라우드에 구축하여 운영할 수 있다.
(t2.micro / 1 core – 1GB RAM) CentOS7 에서 graylog 를 설치 하는 방법을 설명한다.

1. 가상 서버를 준비하고 기본적인 업데이트 및 hostname 지정 등을 한 뒤에 리부팅 한다.

~]# yum update yum

~]# yum update

~]# hostname Graylog-01

~]# echo "Graylog-01" > /etc/hostname

~]# yum install epel-release

~]# yum install wget pwgen java perl-Digest-SHA

~]# sync

~]# reboot

2. 시스템 메모리 및 네트워크 튜닝값을 적용 한다.

~]# echo "fs.aio-max-nr = 1048576

fs.file-max = 6815744

kernel.sem = 250 32000 100 128

kernel.shmall = 2097152

kernel.shmmax = $(free -b|awk '/^Mem:/{print int($2*0.9)}')

net.core.rmem_default = 262144

net.core.rmem_max = 16777216

net.core.wmem_default = 262144

net.core.wmem_max = 16777216

net.ipv4.tcp_rmem = 262144 262144 16777216

net.ipv4.tcp_wmem = 262144 262144 16777216

net.ipv4.ip_local_port_range = 9000 65500" >> /etc/sysctl.conf

~]# sysctl -p

3. swap 을 생성한다.(aws-centos7 의경우 swap 설정되어 있지 않다.)

프로그램 초기 설치시 selinux 충돌을 방지 하기 위해 임의 setenforce 0 명령어로 selinux 를 permissive 모드로 변경 후 진행 한다.

~]# setenforce 0

~]# cd /

~]# dd if=/dev/zero of=/swapfile bs=1M count=2048

~]# chown root:root /swapfile

~]# chmod 600 /swapfile

~]# mkswap /swapfile

~]# swapon /swapfile

재부팅 후에 swap 이 자동 적용 될수 있게 fstab 을 수정한다. ~]# vi /etc/fstab

1	/swapfile swap swap defaults,noatime 0 0

4. elasticsearch 설치

~]# echo '[elasticsearch-2.x]

name=Elasticsearch repository for 2.x packages

baseurl=http://packages.elastic.co/elasticsearch/2.x/centos

gpgcheck=1

gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch

enabled=1

' | sudo tee /etc/yum.repos.d/elasticsearch.repo

~]# yum install elasticsearch

~]# systemctl enable elasticsearch.service

~]# systemctl start elasticsearch.service

5. mongodb 설치

~]# echo '[mongodb-org-3.4]

name=MongoDB Repository

baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/

gpgcheck=1

enabled=1

gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

' | sudo tee /etc/yum.repos.d/mongodb-org.repo

~]# yum install mongodb-org

6. mongodb 설정

mongdb 의 data 파일을 /free/mongo_data 에 적재할 예정 이기 때문에 conf 파일을 수정 하고 selinux 설정을 추가 한다.

~]# sed -i 's=#^ dbPath: /var/lib/mongo$= dbPath: /free/mongo_data=g' /etc/mongod.conf

~]# systemctl enable mongod.service

~]# systemctl start mongod.service

7. graylog 설치

~]# rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.rpm

~]# sudo yum install graylog-server

8. graylog 설정

conf 파일을 수정하기 전에 pwgen 을 이용하여 secret 값을 생성 하고 shasum 을 이용하여 관리자 패스워드 값을 생성한다.

]# pwgen -N 1 -s 72

LVTBitCSsOFx0aJkvAPNHBjTJVLTB0Z5l8vy4X5AltgMhIYCyV7Pwo2sKAX3iYEPyTyeK7l9

~]# echo 'P@$$W0RD' | shasum -a 256 | cut -d" " -f1

eec206d73eb43b63a9c381aadcc43864a0fe881c79e4d716f08bda25ef30d7f4

~]# vi /etc/graylog/server/server.conf ## 각 값을 찾아서 수정한다.

password_secret = LVTBitCSsOFx0aJkvAPNHBjTJVLTB0Z5l8vy4X5AltgMhIYCyV7Pwo2sKAX3iYEPyTyeK7l9

root_password_sha2 = eec206d73eb43b63a9c381aadcc43864a0fe881c79e4d716f08bda25ef30d7f4

root_email = 관리자@이메일.com

root_timezone = Asia/Seoul

web_listen_uri = http://127.0.0.1:9000/

9. graylog 시작 및 systemd 등록

1 2	~]# systemctl enable graylog-server.service ~]# systemctl start graylog-server.service

10. nginx 설치

여기서는 손쉬운 http/2 구축과 brotli 이미지 압축 등을 위해 codeit – nginx 을 설치 한다.

~]# cd /etc/yum.repos.d

~]# wget https://repo.codeit.guru/codeit.el`rpm -q --qf "%{VERSION}" $(rpm -q --whatprovides redhat-release)`.repo

~]# wget https://repo.codeit.guru/codeit.mainline.el`rpm -q --qf "%{VERSION}" $(rpm -q --whatprovides redhat-release)`.repo

~]# yum -y install nginx

11. nginx 설정

DH 파라메터파일을 생성 한다.

1	~]# openssl dhparam -dsaparam -out /etc/nginx/dhparam.pem 4096

/etc/nginx/nginx.conf 파일을 수정한다.

user nginx;

worker_processes auto;

error_log /var/log/nginx/error.log warn;

pid /var/run/nginx.pid;

load_module modules/ngx_http_geoip_module.so;

load_module modules/ngx_stream_geoip_module.so;

events {

worker_connections 1024;

}

http {

include /etc/nginx/mime.types;

default_type application/octet-stream;

geoip_country /usr/share/GeoIP/GeoIP.dat;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '

'$status $body_bytes_sent "$http_referer" '

'"$http_user_agent" "$http_x_forwarded_for"';

access_log /var/log/nginx/access.log main;

server_tokens off;

sendfile on;

keepalive_timeout 65;

gzip on;

gzip_types text/html text/css text/x-component application/x-javascript application/javascript text/javascript text/x-js text/richtext image/svg+xml text/plain text/xsd text/xsl text/xml image/x-icon application/octet-stream;

brotli on;

brotli_types text/html text/css text/x-component application/x-javascript application/javascript text/javascript text/x-js text/richtext image/svg+xml text/plain text/xsd text/xsl text/xml image/x-icon application/octet-stream;

server_names_hash_bucket_size 64;

include /etc/nginx/conf.d/*.conf;

ssl_dhparam /etc/nginx/dhparam.pem;

ssl_session_timeout 24h;

ssl_session_cache shared:SSL:30m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

ssl_buffer_size 8k;

ssl_stapling on;

resolver 8.8.8.8 8.8.4.4 valid=300s;

resolver_timeout 5s;

ssl_trusted_certificate "/etc/pki/tls/certs/ca-bundle.crt";

ssl_stapling_verify on;

ssl_prefer_server_ciphers on;

client_max_body_size 100m;

}

/etc/nginx/conf.d/default.conf 파일을 수정한다.

server {

listen *:80;

server_name syslog.enteroa.com;

return 301 https://$host$request_uri;

}

server {

listen 443 ssl http2;

server_name syslog.enteroa.com;

ssl on;

ssl_certificate /etc/letsencrypt/live/syslog.enteroa.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/syslog.enteroa.com/privkey.pem;

location ^~ /.well-known/acme-challenge/ {

root /var/www/;

}

location / {

expires off;

proxy_set_header Host $http_host;

proxy_set_header X-Forwarded-Host $host;

proxy_set_header X-Forwarded-Server $host;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header X-Graylog-Server-URL https://syslog.enteroa.com/api;

proxy_pass http://127.0.0.1:9000;

}

12. let’s encrypt 를 이용하여 인증서 발급을 진행하였음. ( https://www.enteroa.com/2016/03/12/lets-encrypt-설치-및-운용centos )

nginx 에서 location 으로 let’s encrypt 설정을 /var/www 으로 했기 때문에 아래와 같은 명령어로 인증서 발급이 가능 하다.

~]# ./certbot-auto certonly --server https://acme-v02.api.letsencrypt.org/directory \

--rsa-key-size 4096 --agree-tos \

--email 관리자@이메일.com \

--webroot -w /var/www \

-d syslog.enteroa.com

~]# nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok

nginx: configuration file /etc/nginx/nginx.conf test is successful

~]# systemctl start nginx

13. selinux 설정

~]# yum -y install setools-console policycoreutils-python setroubleshoot-server

~]# setsebool -P httpd_can_network_connect 1

~]# setsebool -P nis_enabled 1

~]# semanage port -a -t http_port_t -p tcp 9000

~]# semanage port -a -t http_port_t -p tcp 9200

~]# semanage port -a -t mongod_port_t -p tcp 27017

~]# semanage fcontext -a -t mongod_var_lib_t "/free/mongo_data(/.*)?"

~]# restorecon -Rv /free/mongo_data

~]# setenforce 1

14. graylog 설정

graylog 서비스가 모두 정상적이라면 웹접근을 통해서 로그인을 할 수 있다.
로그인 한 뒤에 먼저 대시보드를 생성한다.
이후 input 생성을 하기위해 아래와 같이 설정 진행을 한다.
기본적으로 아래 다섯 항목을 설정 한다.
설정을 하게 되면 input 이 생성되고 곧 running 상태가 된다.

15. linux – rsyslog 설정 (UDP 설정)

~]# /etc/rsyslog.conf 파일의 맨밑에 삽입 한다. ( @=UDP / @@=TCP )

1	. @127.0.0.1:30511;RSYSLOG_SyslogProtocol23Format

rsyslog 을 재시작 한다.

1	~]# systemctl restart rsyslog

16. 생성된 input 의 show recived messages 버튼으로 이동하면 아래와 같은 화면을 볼 수 있다. (검색 화면과 같다.)

검색 일자를 선택하고 대쉬보드 추가를 할 수 있다.

17. L3 – syslog 설정 (cisco)

cisco 스위치의 경우 input 생성을 할때 RAW/Plaintest UDP 를 선택해서 진행해야 한다. ( RFC3414 표준이 아님 )
아울러 스위치는 일반적으로 분배의 목적으로 한개의 gateway 밑에 존재하므로 각 스위치마다 별도의 input 을 만든다
input 을 만들때 override source 옵션을 통해 특정된 port 에 들어온 메세지의 소스 호스트 네임을 알기 쉽도록 Office-L3 와 같이 설정한다.
일반적인 switch 장비의 log 설정 방법은 아래와 같다.

L3# conf t

L3(config)# logging on

L3(config)# logging traps information

L3(config)# logging host 123.123.123.123 transport udp port 12345

L3(config)# end

L3# wr

L3# show log

Trap logging: level informational, 141 message lines logged

Logging to 123.123.123.123 (udp port 12345, audit disabled,

link up),

32 message lines logged,

0 message lines rate-limited,

0 message lines dropped-by-MD,

xml disabled, sequence number disabled

filtering disabled

Logging Source-Interface: VRF Name: