'분류 전체보기' 카테고리의 글 목록 (3 Page)

github action + self hosted + ip allow

카테고리 없음 2024. 1. 22. 12:57

https://docs.github.com/ko/actions/hosting-your-own-runners

사용자 고유의 실행기 호스팅 - GitHub Docs

자체 호스팅 실행기를 만들어 사용자 지정이 가능한 환경에서 워크플로를 실행할 수 있습니다.

docs.github.com

https://docs.github.com/ko/actions/hosting-your-own-runners/managing-self-hosted-runners/managing-access-to-self-hosted-runners-using-groups

그룹을 사용하여 자체 호스트형 실행기에 대한 액세스 관리 - GitHub Docs

정책을 사용하여 조직에 추가된 자체 호스트형 실행기에 대한 액세스를 제한할 수 있습니다.

docs.github.com

이 기능을 사용할 수 있는 사람

Enterprise accounts, organizations owned by enterprise accounts, and organizations using GitHub Team can create and manage additional runner groups.

ISMS 하면서 ip allow 정책을 활성화 시키기 위해 회사에서 github 엔터프라이즈를 구매 하였다.

하지만 기존에 무료료 사용중인 runner가 ip allow 정책 때문에 repo에 접근을 못하는 상황이 발생 하였다.

내부 시스템이 어떻게 runner에 접근 못하는 상황인지 좀 의야해 하였지만

돈을 내고 쓰던지 ,,,,,,,,, 자체 self-hosted를 구축하게 되었다.

AS_IS (무료)	ip allow X , 사용자 제한 X , buid runner 무료 제공
TO_BE (엔터프라이즈 버전)	ip allow O, 사용자 제한 O, buid runner 유료 or self-hosted 자체 구축

self-hosted 자체 구축하면 하나의 github Organizations에서 여러개의 aws account에 배포 되고 하나의 self-hosted만 사용하도록 할러면 그룹으로 등록 해야 된다.

하지만 저게 Enterprises 버전에만 있고 해당 버전은 User 부족으로 개발자와 임원분들만 접근이 가능하다.

무료

일반 적인 무료 Runners에서는 repo당 1개의 token만 발행이 가능하다.

30 Day - Demo 버전으로 사용 가능

Enterprises 버전 그룹으로 묶어 놓을수 있다.

iesay

,

버추얼박스 NAT

카테고리 없음 2024. 1. 10. 16:35

Putty 키고 127.0.0.1 포트 105번 하면 접속이 된다.

iesay

,

PC 취약점 점검

카테고리 없음 2023. 10. 30. 13:00

매주 화요일 12시 기능을 활성화 시켰다.

문제는 노트북 사용자 지문으로만 인식해서 사용하는 경우 저 메세지가 사라지지 않는다.

net share

net accounts

net user

iesay

,

ISMS 대응 보안솔루션 저렴한 비용으로 구축하기

News 2023. 9. 22. 10:30

1. 시큐어코딩

소나큐브(SonarQube) Docker로 구축하여 개발서버에 구축 개발자가 github push 할때마다 레포트 출력

2. 보안관제

F사를 통해서 클라우드 보안관제

WAF 솔루션 도입 모든 패킷이 F사의 WAF에 통해서 이벤트 탐지

결국 ALB의 포트가 하나만 열러 있기 때문에 웹 공격만 관제

향후 Trend Micro™ Deep Security 관제도 가능

기존 ALB -> WAF(EC2) -> 검사 진단 ->WAF ALB -> EC2 타겟그룹

WAF 자체에서 차단 기능 제공

관제 회사에서 선조치 가능

WIX, github 처럼 순수 html만 되어 있는 홈페이지 경우

위변조 탐지 및 악성코드 배포 관제로 해결 가능

요즘 보안관제 트렌드는 AWS account까지 관제 업체에 read 권한만 위탁

3. 접근제어

Dbsafer OS, DB 구매

4. 취약점 점검 방법

- 웹 : OWASP ZAP 활용하여 주요정보통신 기반시설 가이드로 수동 점검

- ECR : AWS 도커 이미지 진단 기능이 있슴

- 서버 : 서버 스크립트 점검

-보안 장비 , AWS : 체크리스트 점검

5. PC

한꺼번에 유지보수 해주는 회사가 찾아 보면 많습니다.

UTM 장비 포티넷 : 유해 사이트 차단, 악성코드 관제, NAC , 방화벽, VPN 제공

DLP 지란지교 : 유해 사이트 차단 , PC 보안 점검 가능

AV(Anti-Virus) : 비트디펜더 윈도우, 맥, 리눅스용 제공

6. AWS 보안기능

DDos : AWS Standard Shield

IPS : AWS Network Firewall

WAF : payload는 제공되지 않음

GuardDuty

7. 모니터링 방법

프로메테우스

Datadog

Cloudwatch Agent

8. 로그 통합 시스템

Elasticsearch, Logstash, Kibana

9. 형상관리시스템

ip주소 allow 정책으로 , github Enterprises, gitlab 자체구축, 아틀란스 구매 필요

10. 서버 백신

무료 백신도 많음 다만 이벤트를 어떻게 떠러뜨릴 것인가에 대해서 고민이 필요.

https://www.fin-ncloud.com/product/management/cloudLogAnalytics

네이버 클라우드 플랫폼 금융기관용 NAVER CLOUD PLATFORM for Financial Cloud

네이버 금융 클라우드, 금융보안원 안정성 평가 100% 충족, 글로벌 리전 및 보안기술 인증 보유

www.fin-ncloud.com

11. 망분리

PC는 물리적 망분리

AWS는 public subnet, private subnet 별도 구축

회선 : 내무망, 외부망, 게스트망 별도로 구축

돈주고 보안회사에 매출도 올려주고 유지보수 받는게 좋습니다.

오픈소스가 그냥 가져다 쓴다고 잘 붙지도 않네요.

이렇게 구축하다 정보보안 담당자 및 팀장은 머리 다 빠질듯 ,,,

이게 정답은 아닙니다.

업무 하실떄 도움이 되길 바랍니다.

iesay

,

자동 스트리지 (0)	2024.05.28
docker container logs 저장 CloudWatch (0)	2024.05.07
AWS DMS Postgresql 마이그레이션 (0)	2024.03.25
AWS 보안성 향상 (0)	2024.02.13
AWS 요금 절약 방법 (0)	2024.02.07

AWS Client VPN 통신

네트워크 2023. 7. 27. 14:39

https://blog.naver.com/qhffhwh312/223143456276

http://engmisankim.tistory.com/40

https://docs.aws.amazon.com/ko_kr/vpn/latest/clientvpn-admin/mutual.html

1.

git clone https://github.com/OpenVPN/easy-rsa.git

cd easy-rsa/easyrsa3

./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa build-server-full server nopass

./easyrsa build-client-full client1.domain.tld nopass

--------------------------------------------------------

mkdir ~/custom_folder/

cp pki/ca.crt ~/custom_folder/
cp pki/issued/server.crt ~/custom_folder/

cp pki/private/server.key ~/custom_folder/

cp pki/issued/client1.domain.tld.crt ~/custom_folder

cp pki/private/client1.domain.tld.key ~/custom_folder/
cd ~/custom_folder/

2.

sudo apt install awscli aws configure

---------------------------------------------------

AWS Access Key ID [None]: 엑서스 키 값

AWS Secret Access Key [None]: 시크릿 키 값

Default region name [None]: 리 전

Default output format [None]: 비워두고 엔터

---------------------------------------------------

aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt

aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt

3.

cat client1.domain.tld.crt

cat client1.domain.tld.key

4.

wget -qO- https://d20adtppz83p9s.cloudfront.net/GTK/latest/debian-repo/awsvpnclient_public_key.asc | sudo tee /etc/apt/trusted.gpg.d/awsvpnclient_public_key.asc

echo "deb [arch=amd64] https://d20adtppz83p9s.cloudfront.net/GTK/latest/debian-repo ubuntu-20.04 main" | sudo tee /etc/apt/sources.list.d/aws-vpn-client.list

sudo apt-get update

sudo apt-get install awsvpnclient

'네트워크' 카테고리의 다른 글

AWS 인터넷 게이트 웨이 (0)	2023.06.21
NTP란 무엇인가? (0)	2016.01.11
보안 장비 종류 (0)	2015.11.09

iesay

,

Forigate 방화벽 Syslog 백업

시스템 2023. 7. 21. 11:34

출처 : https://devine0415.blogspot.com/2020/01/?fbclid=IwAR3BzNYJC4QQaqz2MFsyI-6w2HbccUcoLCbSAfnIVL0B0LKaHQUfRkqtH2w

엘라스틱 서치가 생각보다 메모리 관리나

키바나 오류가 많아서 접었다.

그래서 별도의 Syslog 백업 방법을 찾는 중이다.

등록 방법

config log syslogd2 setting
set status enable
set server "192.168.2.4"
set port 5514

end

콘솔에서 확인

방화벽 UTM 장비와 syslog를 백업할 장비는 같은 대역대에 존재 하여야 한다.

'시스템' 카테고리의 다른 글

ubuntu postgresql 사용법 계정생성 (0)	2024.04.16
github runner group (0)	2024.02.02
Sonarqube 우분투 설치 (0)	2023.05.22
키바나 설치 (0)	2023.04.28
Logstash 설치 (0)	2023.04.27

iesay

,

AWS 인터넷 게이트 웨이

네트워크 2023. 6. 21. 19:15

출처 : https://www.youtube.com/watch?v=z-LSwB28Sjc&ab_channel=%EC%97%B0%EC%9C%A0%ED%8B%B0

'네트워크' 카테고리의 다른 글

AWS Client VPN 통신 (0)	2023.07.27
NTP란 무엇인가? (0)	2016.01.11
보안 장비 종류 (0)	2015.11.09

iesay

,

Sonarqube 우분투 설치

시스템 2023. 5. 22. 14:45

출처 : docker-compose로 sonarqube 설치하기 :: Dev Traveler (tistory.com)

docker-compose로 sonarqube 설치하기

요즘은 도커가 많이 활성화 되어서 각종 환경 구성이 용이하다. 오늘 설치할 소나큐브는 정적분석 도구로서 소스코드 취약점을 분석해 주는 오픈소스이다. (공식사이트: https://www.sonarqube.org/) 소

gblee1987.tistory.com

root@server:~# apt update
root@server:~# apt install docker.io
docker-compose version

root@server:~# docker compose version
Docker Compose version v2.14.1

위에 문서에 "" 를 제거 한다.
root@server:~/sonar# docker compose up -d
services.sonarqube.ulimits.nofile.hard must be a integer

디렉토리를 만들고
root@server:~# mkdir sonar
root@server:~# cd sonar/
root@server:~/sonar# ls

아래 값을 입력하고
root@server:~/sonar# vi docker-compose.yml

실행
root@server:~/sonar# docker-compose up -d

vi docker-compose.yml

version: "2"

services:
  sonarqube:
    image: sonarqube:lts
    container_name: sonarqube
    ports:
      - "9000:9000"
    ulimits:
      nofile:
        soft: 262144
        hard: 262144
    networks:
      - sonarnet
    environment:
      - sonar.jdbc.url=jdbc:postgresql://db:5432/sonar
    volumes:
      - sonarqube_conf:/opt/sonarqube/conf
      - sonarqube_data:/opt/sonarqube/data
      - sonarqube_extensions:/opt/sonarqube/extensions
      - sonarqube_logs:/opt/sonarqube/logs

  db:
    image: postgres
    container_name: postgres_sonar
    ports:
      - "5432:5432"
    networks:
      - sonarnet
    environment:
      - POSTGRES_USER=sonar
      - POSTGRES_PASSWORD=sonar
    volumes:
      - postgresql:/var/lib/postgresql
      - postgresql_data:/var/lib/postgresql/data

networks:
  sonarnet:
    driver: bridge

volumes:
  sonarqube_conf:
  sonarqube_data:
  sonarqube_extensions:
  sonarqube_logs:
  postgresql:
  postgresql_data:

실행 완료...

private github와 연동

https://docs.sonarqube.org/9.6/devops-platform-integration/github-integration/

'시스템' 카테고리의 다른 글

github runner group (0)	2024.02.02
Forigate 방화벽 Syslog 백업 (0)	2023.07.21
키바나 설치 (0)	2023.04.28
Logstash 설치 (0)	2023.04.27
iptime 공유기 & mesh linksys 콜라보레이션 무선 AP 구성 (0)	2023.04.18

iesay

,

docker-compse Elasticsearch 설치

docker 2023. 5. 18. 14:24

출처 : https://soyoung-new-challenge.tistory.com/110

root 디렉토리에

mkdir elastic

생성 후

힙 사이즈를 늘린뒤 실행 시킨다.

sysctl -w vm.max_map_count=262144

7.7버전이 키바나가 죽어서 8.4.3으로 실행해 본다.

vi docker-compose.yml

version: '2.2'
services:
  es01:
    image: docker.elastic.co/elasticsearch/elasticsearch:8.4.3
    container_name: es01
    environment:
      - node.name=es01
      - cluster.name=es-docker-cluster
      - discovery.seed_hosts=es02,es03
      - cluster.initial_master_nodes=es01,es02,es03
      - bootstrap.memory_lock=true
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    ulimits:
      memlock:
        soft: -1
        hard: -1
    volumes:
      - data01:/usr/share/elasticsearch/data
    ports:
      - 9200:9200
    networks:
      - elastic

  es02:
    image: docker.elastic.co/elasticsearch/elasticsearch:8.4.3
    container_name: es02
    environment:
      - node.name=es02
      - cluster.name=es-docker-cluster
      - discovery.seed_hosts=es01,es03
      - cluster.initial_master_nodes=es01,es02,es03
      - bootstrap.memory_lock=true
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    ulimits:
      memlock:
        soft: -1
        hard: -1
    volumes:
      - data02:/usr/share/elasticsearch/data
    ports:
      - 9201:9201
    networks:
      - elastic

  es03:
    image: docker.elastic.co/elasticsearch/elasticsearch:8.4.3
    container_name: es03
    environment:
      - node.name=es03
      - cluster.name=es-docker-cluster
      - discovery.seed_hosts=es01,es02
      - cluster.initial_master_nodes=es01,es02,es03
      - bootstrap.memory_lock=true
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    ulimits:
      memlock:
        soft: -1
        hard: -1
    volumes:
      - data03:/usr/share/elasticsearch/data
    ports:
      - 9202:9202
    networks:
      - elastic

  kib01:
    image: docker.elastic.co/kibana/kibana:8.4.3
    container_name: kib01
    ports:
      - 5601:5601
    environment:
      ELASTICSEARCH_URL: http://127.0.0.1:9200
      ELASTICSEARCH_HOSTS: http://127.0.0.1:9200
    networks:
      - elastic

volumes:
  data01:
    driver: local
  data02:
    driver: local
  data03:
    driver: local

networks:
  elastic:
    driver: bridge

잘 되면 좋곘다.

'docker' 카테고리의 다른 글

도커 용량 초과 (0)	2024.05.28

iesay

,

'분류 전체보기'에 해당되는 글 206건

github action + self hosted + ip allow

버추얼박스 NAT

PC 취약점 점검

ISMS 대응 보안솔루션 저렴한 비용으로 구축하기

텔레포트 ec2 연동

'aws' 카테고리의 다른 글

AWS Client VPN 통신

'네트워크' 카테고리의 다른 글

Forigate 방화벽 Syslog 백업

'시스템' 카테고리의 다른 글

AWS 인터넷 게이트 웨이

'네트워크' 카테고리의 다른 글

Sonarqube 우분투 설치

'시스템' 카테고리의 다른 글

docker-compse Elasticsearch 설치

'docker' 카테고리의 다른 글

공지사항

카테고리

태그목록

최근에 받은 트랙백

글 보관함

달력

링크

iesay

LATEST FROM OUR BLOG

LATEST COMMENTS

BLOG VISITORS

티스토리툴바

« 2025/04 »
일	월	화	수	목	금	토
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30