'시스템' 카테고리의 다른 글

AWS 보안성 향상  (0) 2024.02.13
AWS 요금 절약 방법  (0) 2024.02.07
github runner group  (0) 2024.02.02
텔레포트 ec2 연동  (0) 2023.09.05
Forigate 방화벽 Syslog 백업  (0) 2023.07.21
블로그 이미지

iesay

,

풀노드 구축

이더리움 2024. 3. 13. 10:38

https://github.com/eth-educators/eth-docker

 

GitHub - eth-educators/eth-docker: Docker automation for Ethereum nodes

Docker automation for Ethereum nodes. Contribute to eth-educators/eth-docker development by creating an account on GitHub.

github.com

./ethd install
./ethd config
./ethd up 

config 과정에서 execution, consensus 노드 원하시는 걸로 선택
모니털이 필요하면 grafana, prometheus 설정



피어 찾을때 레이턴시가 적은 피어들을 찾아서 수동으로 넣어줄수있어요 geth
그걸 자동화해두면 성능 향상에 좋습니다

 

'이더리움' 카테고리의 다른 글

EIP-1559 분석  (2) 2021.07.12
graphsq + mongodb  (0) 2021.06.08
스마트컨트렉 함수 접근 방법  (0) 2020.12.08
token 송금  (0) 2019.10.28
rinkeby.io facebook으로 테스트 이더 받기  (0) 2019.10.25
블로그 이미지

iesay

,

go 프로젝트 세팅

2024. 2. 26. 15:07

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

AWS 보안성 향상

시스템 2024. 2. 13. 15:02

1] ALB 포트만 외부에 공개하고 모든 서비스는 private 구성

2] ECR 도커 이미지에 대한 스캔 활성화

3] SonarCube 시큐어코딩 개발망 구현

4] AWS Network Firewall(IPS)활용한 inbound // outbound 제어

5] AWS CloudTrail 활성화

6]  Access Key 대신 OIDC 사용

7]  AWS WAF 적극 활용  cf, ALB, Amplify

8] CSPM , CNAPP

https://koreantech.org/%EB%8D%94-%EB%82%98%EC%9D%80-%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C-%EB%B3%B4%EC%95%88%EC%9D%84-%EC%9C%84%ED%95%9C-12%EA%B0%80%EC%A7%80-%EC%B5%9C%EA%B3%A0%EC%9D%98-cnapp-%ED%94%8C%EB%9E%AB%ED%8F%BC/

 

더 나은 클라우드 보안을 위한 12가지 최고의 CNAPP 플랫폼

CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼)는 조직에 효율적인 클라우드 보안 도구와 기능을 제공하여 보안 위협과 위험을 완화하고 클라우드 애플리케이션과 워크로드를 보호합니다.

koreantech.org

 

9] IPS,  WAF 별도로 구축하여 보안관제 (aws read 계정)

10]  OS, DB 접근제어

11] URL Hunter 기능을 활용하여 악성코드 예외탐지 

 

 

12] Github 엔터프라이즈의 ip allow 정책을 활성화 하여

사내망과 private 형태의 인프라 구성  self-hosted 구축

 

 

 

 

'시스템' 카테고리의 다른 글

AWS DMS Postgresql 마이그레이션  (0) 2024.03.25
AWS 요금 절약 방법  (0) 2024.02.07
github runner group  (0) 2024.02.02
텔레포트 ec2 연동  (0) 2023.09.05
Forigate 방화벽 Syslog 백업  (0) 2023.07.21
블로그 이미지

iesay

,

 

 

- AWS 크레딧
- RI EC2,  RDS 적용
- 테스트서버 스냅샷 후  삭제
- RDS 개발 모드로 적용
- RDS 스토리지 gp3  20기가 시작 자동 용량 증가 옵션 활용
- 메가존 요금 절감 미팅
- 타 클라우드로 GCP  계정 마이그레이션,,, (크레딧)
- 메가존 billing  TAG 표시

 

대부분 요금이 스토리지, public IP, RDS쪽이 많이 발생

'시스템' 카테고리의 다른 글

AWS DMS Postgresql 마이그레이션  (0) 2024.03.25
AWS 보안성 향상  (0) 2024.02.13
github runner group  (0) 2024.02.02
텔레포트 ec2 연동  (0) 2023.09.05
Forigate 방화벽 Syslog 백업  (0) 2023.07.21
블로그 이미지

iesay

,

github runner group

시스템 2024. 2. 2. 14:46

https://www.youtube.com/watch?v=2lLsW9E3WcI

 

$export RUNNER_ALLOW_RUNASROOT="1"

 

default   러너를    self-hosted 그룹러너로 교체

 

# Create a folder



$ mkdir actions-runner && cd actions-runner



# Download the latest runner package



$ curl -o actions-runner-linux-x64-2.312.0.tar.gz -L https://github.com/actions/runner/releases/download/v2.312.0/actions-runner-linux-x64-2.312.0.tar.gz



# Optional: Validate the hash
$ echo "85c1bbd104d539f666a89edef70a18db2596df374a1b51670f2af1578ecbe031  actions-runner-linux-x64-2.312.0.tar.gz" | shasum -a 256 -c



# Extract the installer
$ tar xzf ./actions-runner-linux-x64-2.312.0.tar.gz



Configure
# Create the runner and start the configuration experience


중요 잘 확인 repo별이 아닌 조직 전체의 토큰이 나와야됨

$ ./config.sh --url https://github.com/조직 --token @@@@@@@@@@@@@@@



# Last step, run it!



$ ./run.sh
Using your self-hosted runner


# Use this YAML in your workflow file for each job
runs-on: self-hosted

조직에 러너그룹 설정  토큰 

 

 

 

 

 

레포에서 설정

 

 

 

'시스템' 카테고리의 다른 글

AWS 보안성 향상  (0) 2024.02.13
AWS 요금 절약 방법  (0) 2024.02.07
텔레포트 ec2 연동  (0) 2023.09.05
Forigate 방화벽 Syslog 백업  (0) 2023.07.21
Sonarqube 우분투 설치  (0) 2023.05.22
블로그 이미지

iesay

,

https://docs.github.com/ko/actions/hosting-your-own-runners

 

사용자 고유의 실행기 호스팅 - GitHub Docs

자체 호스팅 실행기를 만들어 사용자 지정이 가능한 환경에서 워크플로를 실행할 수 있습니다.

docs.github.com

 

https://docs.github.com/ko/actions/hosting-your-own-runners/managing-self-hosted-runners/managing-access-to-self-hosted-runners-using-groups

 

그룹을 사용하여 자체 호스트형 실행기에 대한 액세스 관리 - GitHub Docs

정책을 사용하여 조직에 추가된 자체 호스트형 실행기에 대한 액세스를 제한할 수 있습니다.

docs.github.com

이 기능을 사용할 수 있는 사람
Enterprise accounts, organizations owned by enterprise accounts, and organizations using GitHub Team can create and manage additional runner groups.

ISMS 하면서  ip allow 정책을 활성화 시키기 위해  회사에서 github 엔터프라이즈를 구매 하였다.

하지만 기존에 무료료 사용중인 runner가  ip allow 정책 때문에 repo에 접근을 못하는 상황이 발생 하였다.

내부 시스템이 어떻게 runner에 접근 못하는 상황인지 좀 의야해 하였지만

돈을 내고 쓰던지 ,,,,,,,,, 자체 self-hosted를  구축하게 되었다.

 

AS_IS (무료)  ip allow  X , 사용자 제한 X , buid runner 무료 제공
TO_BE (엔터프라이즈 버전) ip allow O, 사용자 제한 O,  buid runner 유료 or  self-hosted 자체 구축

 

 

self-hosted 자체 구축하면 하나의  github Organizations에서 여러개의 aws account에 배포 되고 하나의 self-hosted만 사용하도록 할러면   그룹으로 등록 해야 된다.

 

하지만 저게  Enterprises 버전에만 있고 해당 버전은 User 부족으로 개발자와 임원분들만 접근이 가능하다.

 

 

무료

일반 적인 무료 Runners에서는  repo당 1개의  token만 발행이 가능하다.

 

 

30  Day  - Demo 버전으로 사용 가능

Enterprises 버전 그룹으로 묶어 놓을수 있다.  

 

 

 

 

 

블로그 이미지

iesay

,

 

 

Putty 키고     127.0.0.1     포트 105번 하면 접속이 된다.

블로그 이미지

iesay

,

 

매주 화요일 12시 기능을 활성화 시켰다.

 

문제는 노트북 사용자 지문으로만 인식해서 사용하는 경우 저 메세지가 사라지지 않는다.

 

net share

 

 

 

net accounts

net user

 

 

 

 

 

블로그 이미지

iesay

,

1. 시큐어코딩

소나큐브(SonarQube) Docker로 구축하여 개발서버에 구축  개발자가 github push 할때마다 레포트 출력

 

 

2. 보안관제

F사를 통해서 클라우드 보안관제 

WAF 솔루션 도입 모든 패킷이 F사의 WAF에 통해서 이벤트 탐지

결국 ALB의 포트가 하나만 열러 있기 때문에 웹 공격만 관제

향후 Trend Micro™ Deep Security 관제도 가능

기존 ALB ->  WAF(EC2) -> 검사 진단  ->WAF ALB -> EC2 타겟그룹 

WAF 자체에서 차단 기능 제공

관제 회사에서 선조치 가능

WIX, github 처럼 순수 html만 되어 있는 홈페이지 경우 

위변조 탐지 및 악성코드 배포 관제로 해결 가능

 

요즘 보안관제 트렌드는 AWS account까지 관제 업체에 read 권한만 위탁

 

 

 

3. 접근제어

Dbsafer OS, DB 구매

 

4. 취약점 점검 방법

- 웹 : OWASP ZAP 활용하여  주요정보통신 기반시설 가이드로 수동 점검

- ECR :  AWS 도커 이미지 진단 기능이 있슴

- 서버 : 서버 스크립트 점검 

-보안 장비 , AWS : 체크리스트 점검

 

5. PC 

한꺼번에 유지보수 해주는 회사가 찾아 보면 많습니다.

UTM 장비 포티넷 :   유해 사이트 차단, 악성코드 관제,  NAC ,  방화벽,  VPN 제공

DLP  지란지교  : 유해 사이트 차단 , PC 보안 점검 가능

AV(Anti-Virus) : 비트디펜더   윈도우, 맥, 리눅스용 제공

 

6. AWS 보안기능

DDos : AWS Standard Shield

IPS : AWS Network Firewall

WAF : payload는 제공되지 않음

GuardDuty

 

7. 모니터링 방법

프로메테우스

Datadog

Cloudwatch Agent

 

8. 로그 통합 시스템

Elasticsearch, Logstash, Kibana

 

9. 형상관리시스템

ip주소 allow 정책으로  , github Enterprises, gitlab 자체구축,   아틀란스 구매 필요

 

10. 서버 백신

무료 백신도 많음 다만 이벤트를 어떻게 떠러뜨릴 것인가에 대해서 고민이 필요.

 

 

https://www.fin-ncloud.com/product/management/cloudLogAnalytics

 

네이버 클라우드 플랫폼 금융기관용 NAVER CLOUD PLATFORM for Financial Cloud

네이버 금융 클라우드, 금융보안원 안정성 평가 100% 충족, 글로벌 리전 및 보안기술 인증 보유

www.fin-ncloud.com

 

 

11. 망분리

PC는 물리적 망분리

AWS는 public subnet, private subnet 별도 구축

회선 : 내무망, 외부망, 게스트망 별도로 구축

 

돈주고 보안회사에 매출도 올려주고 유지보수 받는게 좋습니다.

오픈소스가 그냥 가져다 쓴다고 잘 붙지도 않네요.

 

이렇게 구축하다 정보보안 담당자 및 팀장은 머리 다 빠질듯 ,,,

이게 정답은 아닙니다.

업무 하실떄 도움이 되길 바랍니다.

블로그 이미지

iesay

,