SYSADMIN'S CELLAR

1. 패키지 설치apt-get update && apt-get upgrade -yapt-get install -y docker.io docker-compose-v2 2. 도커 서비스 활성화systemctl enable --now docker 3. 도커 네트워크 생성docket network create --subnet=192.168.1.0/24 my_network 4. 도커 작업용 디렉터리 생성mkdir /opt/docker-setupcd /opt/docker-setup 5. Docker compose 설정 파일 작성 (docker-compose.yml)---networks: my_network: external: trueservices: nginx: image: ubuntu:24.04 ..

1. root로 mariadb-client 접속mysql -u root -p 2. 데이터베이스 생성create database APIS_DB; 3. 사용자 생성create user APIS_USER@'localhost' identified by '패스워드'; 4. 권한 부여grant all privileges on APIS_DB.* to APIS_USER@'localhost';flush privileges; 5. 사용자 계정으로 접속mysql -u APIS_USER -p 6. 테이블 생성 테스트MariaDB [(none)]> use APIS_DBDatabase changedMariaDB [APIS_DB]> create table MEMBER ( -> id int NOT NULL AUTO_INCREM..

1. MariaDB 설치apt install mariadb-server -y 2. MariaDB 종료systemctl stop mysql 3. DB를 저장할 위치에 디렉터리 생성 및 퍼미션 설정mkdir /mnt/sda1/dbchown mysql:mysql /mnt/sda1/dbchmod 750 /mnt/sda1/db 4. 기본 MariaDB 파일 복사cp -Rp /var/lib/mysql/* /mnt/sda1/db(-R: recursive, -p: preserve permission mode/ownership/timestamp) 5. MariaDB 설정 변경 (datadir 설정)5.1. datadir 설정 파일 찾기root@ubuntu:/etc/mysql# grep -r datadir /etc/mys..

MAC 계층에서 사용할 수 있는 보안 기능으로는 포트별 접근 제어 표준 IEEE 802.1X MACSec으로 불리는 암호화 통신 표준 IEEE 802.1AE가 있습니다. 조직 LAN에서 사용하는 스위치가 위 표준들을 지원한다면 이더넷 탭을 통한 도청 무력화, 인가되지 않은 장비의 연결 차단 및 리포팅 등 조직의 보안 목표를 달성하는 데 활용할 수 있습니다. 802.1X 먼저 IEEE 802.1X는 포트별 접근 제어를 위한 표준입니다. 802.1X에서는 인증 대상 호스트를 supplicant, 스위치를 authenticator라는 용어로 부릅니다. 그리고 RADIUS 등의 authentication server가 있다고 가정합니다. 스위치에서 802.1X가 활성화된 포트를 controlled port, 그..

네트워크 공격 유형 수동적 공격 Switch Jamming(MAC Address Flooding): 스니핑을 위해 스위치의 MAC 테이블을 채워 스위치가 허브처럼 동작하도록 함 TCP Full Open Scan(Connect Scan): 포트가 열린 경우 SYN+ACK가 돌아옴을 이용한 스캔 TCP Half Open Scan(SYN Scan): Full Open Scan 중 SYN+ACK 수신 후 바로 RST를 전송하여 추적 회피 TCP NULL/FIN/XMAS Scan: 포트가 열린 경우 응답이 없음을 이용한 스캔 TCP ACK Scan: 대상 방화벽이 stateful한지, 대상 포트가 방화벽에 의해 필터링 되는지 여부를 파악 능동적 공격 ARP Redirect: 공격자가 게이트웨이 MAC을 위조하여 ..

대칭키 암호 알고리즘 Feistel Network 구조 DES, RC5, RC6 Blowfish, Twofish CAST, LOKI, MARS, MISTY IDEA (Feistel의 변형인 Lai-Massey Scheme 구조, PGP 채택) SEED (국내) SPN (Substitution-Permutation Network) 구조 AES (Rijndael) SAFER, SHARK, Square, Serpent CRYPTON, PRESENT ARIA (국내, Involutional SPN 구조) 비대칭키 암호 알고리즘 공개키(비대칭키) 암호 알고리즘을 사용하면 대칭키 암호에서의 키 교환 문제를 해결할 수 있다. 소인수분해 문제 기반 RSA, Rabin 이산대수 문제 기반 ElGamal ECC (Elli..

하이퍼컨버지드 인프라란? IT 인프라에 대한 접근 방식으로 컴퓨팅, 스토리지 및 네트워킹 리소스를 통합된 시스템으로 통합합니다. 하이퍼컨버지드 인프라는 하이퍼바이저, 소프트웨어 정의 스토리지및 소프트웨어 정의 네트워킹으로 관리되는 컴퓨팅 리소스(가상 머신)로 구성됩니다. 가상화된 리소스의 하이퍼컨버전스를 통해 단일 통합 인터페이스에서 리소스를 관리할 수 있습니다. 요약: 컴퓨팅, 스토리지, 네트워킹 리소스를 추상화된 간결한 방식으로 관리/운영할 수 있는 IT 인프라 몇 년 전부터 보이던 SDx(Software-defined X)솔루션이 실제로 어떤 것인지 감이 잘 안왔는데, 실제 사례를 보고 나니 한번에 이해가 됐습니다. 그 사례는 Dell EMC 하드웨어에 VMware Cloud(VMware SDDC ..

개요 VXLAN으로 인해 가능한 것 VXLAN은 가상 머신들이 여러 L3 네트워크에 걸쳐서 동일한 논리적 네트워크상에 있게 만들 수 있게 해줍니다. 따라서 L3 네트워크 상에서(IP/UDP 기반) L2 세그먼트를 구성할 수 있게 됩니다. 또한 기존 VLAN 기반의 네트워크보다 훨씬 많은 L2 세그먼트를 유지할 수 있게 됩니다. *VTEP(VXLAN Tunnel Endpoint)는 가상 머신이 통신할 때 발생하는 트래픽(L2)을 VXLAN 헤더로 캡슐화/역캡슐화하는 기능을 합니다. *리눅스에서는 기본값으로 UDP/8472를 VXLAN용으로 사용하는데, IANA 표준은 UDP/4789입니다. VXLAN 동작 A. MAC=111인 VM은 2.2.2.2와 통신하고 싶지만 ARP 테이블에 주소가 없다. 따라서 A..

발단 얼마 전에 서버의 고장난 NIC을 교체했었습니다. 그러면 당연히 해당 IPv4/6 주소에 대한 MAC 주소도 새로 설치한 NIC의 MAC 주소로 바뀌므로 다른 서버들은 자연스럽게 해당 서버의 MAC 주소를 알기 전까지는 통신할 수 없게 됩니다. 여기에 더해 L2 스위치의 Port Security 설정과 다른 호스트들의 운영체제도 고려해야 합니다. 그래서 오늘은 다시 통신이 가능해지기까지 걸리는 시간과 그 과정에 대해 정리해 보았습니다. Unsolicited Neighbor Advertisement(Gratuitous ARP Request)가 가능한 경우 ➡️ 수 초 이내에 통신이 가능합니다. 자신의 NIC에 변경사항이 생김을 인식한 OS가 NA 혹은 GARP를 보냅니다. 전자는 멀티캐스트(All-n..

얼마 전에 광 트랜시버를 설치할 일이 생겨서 찾아보았던 정보를 정리해 둡니다. 1. GBIC (GigaBit Interface Converter) 전기 신호와 광 신호 간 변환 SFP로 대체됨 2. SFP (Small Form-factor Pluggable, 일명 mini GBIC) SONET, Ethernet, FC 및 기타 프로토콜을 지원 구리선(TP)용, 광 케이블용 SFP가 존재 최대 5Gbps 지원 2.1. SFP+ (Small Form-factor Pluggable Plus) SONET, Ethernet, FC 및 기타 프로토콜을 지원 구리선(TP)용, 광 케이블용, Twinaxial(내선이 두 개인 동축 케이블) 케이블용 SFP가 존재 최대 10Gbps 지원 3. QSFP (Quad Smal..