전체 글 썸네일형 리스트형 Vault OTP 계정과 로컬 계정을 함께 사용하는 SSH 인증 구성하는 방법 Vault OTP 계정과 로컬 계정을 함께 사용하는 SSH 인증 구성하는 방법HashiCorp Vault 기반 OTP 계정 접속과 기존 로컬 Unix 계정 접속을 동시에 지원하기 위한 PAM 기반 SSH 인증 구성 방법입니다.인증 동작 방식Vault OTP 계정 로그인 (예: vault_user1)vault_user1 + OTP └─ pam_exec(vault-ssh-helper) → 성공 └─ sufficient → 로그인 허용로컬 계정 로그인 (예: local_user1)local_user1 + local password └─ pam_exec(vault-ssh-helper) → 실패 (OTP 아님) └─ sufficient 무시 └─ common-auth (pam_unix.. 더보기 Backlog(백로그)란? Backlog(백로그)란?Backlog(백로그)란, 서버가 동시에 몰려드는 접속 요청을 처리하기 위해 사용하는 연결 대기열(Queue) 입니다.즉, 서버가 즉시 처리하지 못한 TCP 연결 요청을 잠시 보관해 두는 공간입니다. 클라이언트가 서버에 연결을 시도하면 TCP 3-Way Handshake 과정을 거치게 되는데 서버가 바쁘거나 애플리케이션이 아직 accept() 하지 못한 경우 이 연결 요청들은 백로그 큐에 대기하게 됩니다.TCP 연결과 Backlog의 역할TCP 연결은 다음 순서로 진행됩니다.클라이언트 → 서버 : SYN서버 → 클라이언트 : SYN-ACK클라이언트 → 서버 : ACK서버는 이 과정에서 모든 연결을 즉시 애플리케이션에 전달하지 않고 상태에 따라 두 개의 내부 큐로 나누어 관리합니다.. 더보기 도커 컨테이너를 이용해서 Let's Encrypt 인증서를 DNS-01 챌린지로 발급받고 자동 갱신하는 방법 도커 컨테이너를 이용해서 Let's Encrypt 인증서를 DNS-01 챌린지로 발급받고 자동 갱신하는 방법Cloudflare API Token 생성Certbot 공식 DNS 플러그인 이미지 사용작업 디렉토리 생성sudo mkdir -p /docker-container/certbotcd /docker-container/certbot1. Cloudflare credentials 정보 파일 생성letsencrypt 디렉토리 생성mkdir -p letsencryptCloudflare API Token 설정cat > letsencrypt/cloudflare.ini sed -i 's/YOUR_CLOUDFLARE_API_TOKEN_HERE/Q5AHDhH6d05d2b5c2c80/g' letsencrypt/cloudf.. 더보기 HashiCorp Vault SSH OTP 설정 및 인증 접속 방법 HashiCorp Vault SSH OTP 설정 및 인증 접속 방법HashiCorp Vault를 이용하여 SSH 서버에 OTP(일회용 비밀번호) 기반 인증을 구성하는 방법입니다.테스트 환경호스트 이름아이피 주소운영체제 정보비고node141192.168.0.141우분투 24.04vault1.scbyun.comnode142192.168.0.142우분투 24.04vault2.scbyun.comnode143192.168.0.143우분투 24.04vault3.scbyun.comsshServer192.168.0.111우분투 24.04SSH 서버 (접속 대상)sshClient192.168.0.112우분투 24.04SSH 클라이언트 (접속 출발지)OTP 인증 흐름sshClient가 Vault에 로그인하여 OTP 발급을.. 더보기 우분투 24.04에서 3대의 노드를 사용하여 Consul 백엔드 기반의 Vault HA 클러스터를 구성하는 방법 우분투 24.04에서 3대의 노드를 사용하여 Consul 백엔드 기반의 Vault HA 클러스터를 구성하는 방법우분투 24.04 환경에서 3대의 노드를 사용하여 Consul을 Storage Backend로 사용하는 Vault HA 클러스터를 구성하는 방법입니다. Consul은 데이터 저장소 및 HA 조정 역할을 수행하고 Vault는 Active/Standby 구조로 동작합니다.테스트 환경호스트 이름아이피 주소운영체제 정보비고node141192.168.0.141우분투 24.04 node142192.168.0.142우분투 24.04 node143192.168.0.143우분투 24.04 아키텍처1. 사전 준비(모든 노드)시스템 업데이트sudo apt update필수 패키지 설치sudo apt install -.. 더보기 우분투 24.04에서 TCP Wrappers를 사용하는 sshd 서비스를 접근 제어하는 방법 우분투 24.04에서 TCP Wrappers(libwrap)를 사용하는 sshd 서비스를 접근 제어하는 방법TCP Wrappers는 데몬(서비스)이 실행될 때 라이브러리를 참조하므로 별도의 서비스 재시작이 필요 없는 경우가 많지만, 해당 서비스가 이 파일을 읽을 수 있는지(라이브러리 의존성)를 먼저 확인해야 합니다.TCP Wrappers 적용 가능 여부 확인sshd 바이너리의 libwrap 의존성 확인ldd $(which sshd) | grep libwrap libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x00007fdf21dfa000)또는 심볼 포함 여부 확인strings $(which sshd) | grep hosts_accesshosts_.. 더보기 Nginx 등록되지 않은 가상호스트를 차단 및 제한하는 방법 Nginx 등록되지 않은 가상호스트(Default Server)를 차단 및 제한하는 방법웹 서버를 운영하다 보면 등록하지 않은 도메인이나 IP 주소로 직접 들어오는 정체불명의 공격성 요청을 자주 마주하게 됩니다. Nginx의 default_server 설정과 비표준 응답 코드 444 그리고 더미 인증서를 활용해 이러한 불필요한 트래픽을 원천 봉쇄하고 서버 보안을 강화하는 방법입니다.개념 정리return 444;Nginx 전용 비표준 코드HTTP 응답 헤더조차 보내지 않고 즉시 TCP 연결 종료일반적인 HTTP 상태 코드(403, 404)보다 훨씬 "조용한" 차단 방식입니다.ssl_reject_handshake on;SSL 핸드쉐이크 단계에서 연결 자체를 거부유효하지 않은 도메인 요청에 대해 인증서 정보 .. 더보기 CentOS 7에서 sg 드라이버가 로드되지 않았을 때 해결하는 방법 CentOS 7에서 sg(SCSI Generic) 드라이버가 로드되지 않았을 때 해결하는 방법테스트 환경운영체제 정보$ dmidecode -t system | grep "Product Name" Product Name: ProLiant DL380 Gen9 $ cat /etc/redhat-release CentOS Linux release 7.1.1503 (Core) $ getconf LONG_BIT64HPE Smart Storage Administrator CLI 설치wget https://downloads.linux.hpe.com/SDR/repo/mcp/centos/7/x86_64/current/ssacli-5.10-44.0.x86_64.rpm --no-check-certifi.. 더보기 이전 1 2 3 4 ··· 314 다음
