카테고리 Archives: linux

graylog 를 통한 syslog 통합 감사(audit)

graylog 는 syslog 처리를 위한 빅데이터 분석 솔루션이다. 기본적으로야 syslog 를 한곳에 적재하여 로그 감사를 하는 목적으로 사용한다.

물론 syslog 뿐만 아니라 웹로그등을 수집하여 분석하는것 역시 가능하다.

Mongodb + elasticsearch + java 를 사용하여 운영 되며 노드를 추가하여 다중 노드에서의 분석 처리가 가능하다.

위와 같이 대쉬보드를 만들어 한눈에 볼수 있으며 alert 설정을 통해 중요 특정한 이벤트 발생시 손쉬운 확인이 가능 하다.

graylog 의 권장 사항은 4GB의 램을 필요로 하나 구축테스트를 해본 결과 1GB 에 2GB 수준의 swap 으로 정상적인 운영이 가능했다.

오픈소스이기 때문에 유료 프로그램인 kiwi syslog의 라이선스 비용 대비 40% 수준이면 클라우드에 구축하여 운영할 수 있다.
(t2.micro / 1 core – 1GB RAM) CentOS7 에서 graylog 를 설치 하는 방법을 설명한다.

1. 가상 서버를 준비하고 기본적인 업데이트 및 hostname 지정 등을 한 뒤에 리부팅 한다.

~]# yum update yum

~]# yum update

~]# hostname Graylog-01

~]# echo "Graylog-01" > /etc/hostname

~]# yum install epel-release

~]# yum install wget pwgen java perl-Digest-SHA

~]# sync

~]# reboot

2. 시스템 메모리 및 네트워크 튜닝값을 적용 한다.

~]# echo "fs.aio-max-nr = 1048576

fs.file-max = 6815744

kernel.sem = 250 32000 100 128

kernel.shmall = 2097152

kernel.shmmax = $(free -b|awk '/^Mem:/{print int($2*0.9)}')

net.core.rmem_default = 262144

net.core.rmem_max = 16777216

net.core.wmem_default = 262144

net.core.wmem_max = 16777216

net.ipv4.tcp_rmem = 262144 262144 16777216

net.ipv4.tcp_wmem = 262144 262144 16777216

net.ipv4.ip_local_port_range = 9000 65500" >> /etc/sysctl.conf

~]# sysctl -p

3. swap 을 생성한다.(aws-centos7 의경우 swap 설정되어 있지 않다.)

프로그램 초기 설치시 selinux 충돌을 방지 하기 위해 임의 setenforce 0 명령어로 selinux 를 permissive 모드로 변경 후 진행 한다.

~]# setenforce 0

~]# cd /

~]# dd if=/dev/zero of=/swapfile bs=1M count=2048

~]# chown root:root /swapfile

~]# chmod 600 /swapfile

~]# mkswap /swapfile

~]# swapon /swapfile

재부팅 후에 swap 이 자동 적용 될수 있게 fstab 을 수정한다. ~]# vi /etc/fstab

1	/swapfile swap swap defaults,noatime 0 0

4. elasticsearch 설치

~]# echo '[elasticsearch-2.x]

name=Elasticsearch repository for 2.x packages

baseurl=http://packages.elastic.co/elasticsearch/2.x/centos

gpgcheck=1

gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch

enabled=1

' | sudo tee /etc/yum.repos.d/elasticsearch.repo

~]# yum install elasticsearch

~]# systemctl enable elasticsearch.service

~]# systemctl start elasticsearch.service

5. mongodb 설치

~]# echo '[mongodb-org-3.4]

name=MongoDB Repository

baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/

gpgcheck=1

enabled=1

gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

' | sudo tee /etc/yum.repos.d/mongodb-org.repo

~]# yum install mongodb-org

6. mongodb 설정

mongdb 의 data 파일을 /free/mongo_data 에 적재할 예정 이기 때문에 conf 파일을 수정 하고 selinux 설정을 추가 한다.

~]# sed -i 's=#^ dbPath: /var/lib/mongo$= dbPath: /free/mongo_data=g' /etc/mongod.conf

~]# systemctl enable mongod.service

~]# systemctl start mongod.service

7. graylog 설치

~]# rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.rpm

~]# sudo yum install graylog-server

8. graylog 설정

conf 파일을 수정하기 전에 pwgen 을 이용하여 secret 값을 생성 하고 shasum 을 이용하여 관리자 패스워드 값을 생성한다.

]# pwgen -N 1 -s 72

LVTBitCSsOFx0aJkvAPNHBjTJVLTB0Z5l8vy4X5AltgMhIYCyV7Pwo2sKAX3iYEPyTyeK7l9

~]# echo 'P@$$W0RD' | shasum -a 256 | cut -d" " -f1

eec206d73eb43b63a9c381aadcc43864a0fe881c79e4d716f08bda25ef30d7f4

~]# vi /etc/graylog/server/server.conf ## 각 값을 찾아서 수정한다.

password_secret = LVTBitCSsOFx0aJkvAPNHBjTJVLTB0Z5l8vy4X5AltgMhIYCyV7Pwo2sKAX3iYEPyTyeK7l9

root_password_sha2 = eec206d73eb43b63a9c381aadcc43864a0fe881c79e4d716f08bda25ef30d7f4

root_email = 관리자@이메일.com

root_timezone = Asia/Seoul

web_listen_uri = http://127.0.0.1:9000/

9. graylog 시작 및 systemd 등록

1 2	~]# systemctl enable graylog-server.service ~]# systemctl start graylog-server.service

10. nginx 설치

여기서는 손쉬운 http/2 구축과 brotli 이미지 압축 등을 위해 codeit – nginx 을 설치 한다.

~]# cd /etc/yum.repos.d

~]# wget https://repo.codeit.guru/codeit.el`rpm -q --qf "%{VERSION}" $(rpm -q --whatprovides redhat-release)`.repo

~]# wget https://repo.codeit.guru/codeit.mainline.el`rpm -q --qf "%{VERSION}" $(rpm -q --whatprovides redhat-release)`.repo

~]# yum -y install nginx

11. nginx 설정

DH 파라메터파일을 생성 한다.

1	~]# openssl dhparam -dsaparam -out /etc/nginx/dhparam.pem 4096

/etc/nginx/nginx.conf 파일을 수정한다.

user nginx;

worker_processes auto;

error_log /var/log/nginx/error.log warn;

pid /var/run/nginx.pid;

load_module modules/ngx_http_geoip_module.so;

load_module modules/ngx_stream_geoip_module.so;

events {

worker_connections 1024;

}

http {

include /etc/nginx/mime.types;

default_type application/octet-stream;

geoip_country /usr/share/GeoIP/GeoIP.dat;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '

'$status $body_bytes_sent "$http_referer" '

'"$http_user_agent" "$http_x_forwarded_for"';

access_log /var/log/nginx/access.log main;

server_tokens off;

sendfile on;

keepalive_timeout 65;

gzip on;

gzip_types text/html text/css text/x-component application/x-javascript application/javascript text/javascript text/x-js text/richtext image/svg+xml text/plain text/xsd text/xsl text/xml image/x-icon application/octet-stream;

brotli on;

brotli_types text/html text/css text/x-component application/x-javascript application/javascript text/javascript text/x-js text/richtext image/svg+xml text/plain text/xsd text/xsl text/xml image/x-icon application/octet-stream;

server_names_hash_bucket_size 64;

include /etc/nginx/conf.d/*.conf;

ssl_dhparam /etc/nginx/dhparam.pem;

ssl_session_timeout 24h;

ssl_session_cache shared:SSL:30m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

ssl_buffer_size 8k;

ssl_stapling on;

resolver 8.8.8.8 8.8.4.4 valid=300s;

resolver_timeout 5s;

ssl_trusted_certificate "/etc/pki/tls/certs/ca-bundle.crt";

ssl_stapling_verify on;

ssl_prefer_server_ciphers on;

client_max_body_size 100m;

}

/etc/nginx/conf.d/default.conf 파일을 수정한다.

server {

listen *:80;

server_name syslog.enteroa.com;

return 301 https://$host$request_uri;

}

server {

listen 443 ssl http2;

server_name syslog.enteroa.com;

ssl on;

ssl_certificate /etc/letsencrypt/live/syslog.enteroa.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/syslog.enteroa.com/privkey.pem;

location ^~ /.well-known/acme-challenge/ {

root /var/www/;

}

location / {

expires off;

proxy_set_header Host $http_host;

proxy_set_header X-Forwarded-Host $host;

proxy_set_header X-Forwarded-Server $host;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header X-Graylog-Server-URL https://syslog.enteroa.com/api;

proxy_pass http://127.0.0.1:9000;

}

12. let’s encrypt 를 이용하여 인증서 발급을 진행하였음. ( https://www.enteroa.com/2016/03/12/lets-encrypt-설치-및-운용centos )

nginx 에서 location 으로 let’s encrypt 설정을 /var/www 으로 했기 때문에 아래와 같은 명령어로 인증서 발급이 가능 하다.

~]# ./certbot-auto certonly --server https://acme-v02.api.letsencrypt.org/directory \

--rsa-key-size 4096 --agree-tos \

--email 관리자@이메일.com \

--webroot -w /var/www \

-d syslog.enteroa.com

~]# nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok

nginx: configuration file /etc/nginx/nginx.conf test is successful

~]# systemctl start nginx

13. selinux 설정

~]# yum -y install setools-console policycoreutils-python setroubleshoot-server

~]# setsebool -P httpd_can_network_connect 1

~]# setsebool -P nis_enabled 1

~]# semanage port -a -t http_port_t -p tcp 9000

~]# semanage port -a -t http_port_t -p tcp 9200

~]# semanage port -a -t mongod_port_t -p tcp 27017

~]# semanage fcontext -a -t mongod_var_lib_t "/free/mongo_data(/.*)?"

~]# restorecon -Rv /free/mongo_data

~]# setenforce 1

14. graylog 설정

graylog 서비스가 모두 정상적이라면 웹접근을 통해서 로그인을 할 수 있다.
로그인 한 뒤에 먼저 대시보드를 생성한다.
이후 input 생성을 하기위해 아래와 같이 설정 진행을 한다.
기본적으로 아래 다섯 항목을 설정 한다.
설정을 하게 되면 input 이 생성되고 곧 running 상태가 된다.

15. linux – rsyslog 설정 (UDP 설정)

~]# /etc/rsyslog.conf 파일의 맨밑에 삽입 한다. ( @=UDP / @@=TCP )

1	. @127.0.0.1:30511;RSYSLOG_SyslogProtocol23Format

rsyslog 을 재시작 한다.

1	~]# systemctl restart rsyslog

16. 생성된 input 의 show recived messages 버튼으로 이동하면 아래와 같은 화면을 볼 수 있다. (검색 화면과 같다.)

검색 일자를 선택하고 대쉬보드 추가를 할 수 있다.

17. L3 – syslog 설정 (cisco)

cisco 스위치의 경우 input 생성을 할때 RAW/Plaintest UDP 를 선택해서 진행해야 한다. ( RFC3414 표준이 아님 )
아울러 스위치는 일반적으로 분배의 목적으로 한개의 gateway 밑에 존재하므로 각 스위치마다 별도의 input 을 만든다
input 을 만들때 override source 옵션을 통해 특정된 port 에 들어온 메세지의 소스 호스트 네임을 알기 쉽도록 Office-L3 와 같이 설정한다.
일반적인 switch 장비의 log 설정 방법은 아래와 같다.

L3# conf t

L3(config)# logging on

L3(config)# logging traps information

L3(config)# logging host 123.123.123.123 transport udp port 12345

L3(config)# end

L3# wr

L3# show log

Trap logging: level informational, 141 message lines logged

Logging to 123.123.123.123 (udp port 12345, audit disabled,

link up),

32 message lines logged,

0 message lines rate-limited,

0 message lines dropped-by-MD,

xml disabled, sequence number disabled

filtering disabled

Logging Source-Interface: VRF Name:

Let’s encrypt 에서 생성된 pem 인증서를 tomcat에서 사용 하기

Let’s encrypt 의 경우 일반적인 apache / nginx 에서 사용이 가능한 pem 파일을 생성 한다.

때문에 tomcat 에서 사용을 하기 위해서는 jks 로의 변환을 해서 org.apache.coyote.http11.Http11NioProtocol 프로토콜로 사용을 하거나

apr 및 tomcat-native 설치 하여 org.apache.coyote.http11.Http11AprProtocol 을 사용할 수 있다.

먼저 pem 파일을 jks 로 만드는 스크립트 이다. 중요한 부분은 18~22 줄이다.

#!/bin/bash

LETSENCRYPT_PATH="/etc/letsencrypt"

PASSPHRASE="P@$$W0RD" # 파서패스 - 변경 하여 사용한다.

if [ -z $1 ];then

echo -e "\e[32m"

echo -e $(find $LETSENCRYPT_PATH/live -maxdepth 1 -type d ! -name live|awk -F/ '{print $NF}'|paste -s -d " ")

echo -e "\e[31;1minput url. \e[33m~]# ./pem2jks.sh [URL] \e[32m"

echo -e "\e[0m"

exit 1

if [ ! -d $LETSENCRYPT_PATH/live/$1 ];then

echo -e "\e[31;1mcan't found certifcate input correct url.\e[0m"

exit 1

else

rm -f ${1}.jks

openssl pkcs12 -export -in $LETSENCRYPT_PATH/live/${1}/cert.pem -inkey $LETSENCRYPT_PATH/live/${1}/privkey.pem \

-out ./${1}.p12 -name tomcat -CAfile chain.pem -caname root -password pass:$PASSPHRASE > /dev/null 2>&1

keytool -importkeystore -srckeystore ./${1}.p12 -destkeystore ./${1}.jks -deststoretype pkcs12 -alias tomcat \

-deststorepass $PASSPHRASE -srcstorepass $PASSPHRASE > /dev/null 2>&1

keytool -import -trustcacerts -alias root -file ${1}/chain.pem -keystore ./${1}.jks -storepass $PASSPHRASE > /dev/null 2>&1

rm -f ./${1}.p12

unset LETSENCRYPT_PATH PASSPHRASE

exit 0

이후 server.xml 설정에서 아래와 같이 설정하여 https 를 활성화 할 수 있다.

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="8443"

maxThreads="150" scheme="https" secure="true" SSLEnabled="true"

keystoreFile="/폴더/인증서.jks"

keystorePass="파서패스" clientAuth="false" sslProtocol="TLS" />

다른 방법으로 Http11AprProtocol 프로토콜을 사용하여 pem 파일을 jks 로 변환 없이 사용할 수 있다.

또한 apr 프로토콜을 사용할하고 tomcat 8.5 혹은 tomcat 9 의 경우 http/2 를 지원 한다.

활성화 하기 위해서는 tomcat-native 을 설치해야 한다.

1	yum install tomcat-native

server.xml 에서는 아래와 같이 설정 한다.

<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"

maxThreads="150" SSLEnabled="true" acceptCount="10" enableLookups="false">

<Certificate certificateKeyFile="/폴더/키파일.key"

certificateFile="/폴더/인증서.pem"

certificateChainFile="/폴더/루트체인.pem"

type="RSA" certificateKeyPassword="파서패스" />

</SSLHostConfig>

</Connector>

취약점 패치 CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Intel cpu 의 Meltdown,

Intel, AMD, ARM 등 대부분의 cpu 취약점인 Specter 가 발견 되어 운영 중인 모든 컴퓨터 ( PC, 서버, 핸드폰 등등 ) 의 업데이트가 필요 하다.

시스템의 느려짐 ( 특히 I/O 속도 ) 이 발생한다고 하나..

간단한 자바스크립트 정도로 cpu의 시스템 에서 생성한 정보확인이 가능하다고 하니 꼭 진행하는 편이 좋다.

서버 ( centos, ubuntu )

리눅스의 경우 커널 업데이트 이기 때문에 커널 업데이트 후에 시스템 재시작이 필요하다.

1.CentOS

~]# yum -y update yum

~]# yum -y update

2. Ubuntu

~]$ sudo apt-get update

~]$ sudo apt-get dist-upgrade

위 스크린샷 화면은 ubuntu 설치할때 업데이트 설정에 따라 나오지 않을수도 있습니다.

윈도우

1. 윈도우 10 사용자는 자동 패치 (KB4056892) 가 된다.

2. 윈도우7 : http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897

3. 윈도우8 : http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898

PS. 아이폰의 경우 IOS 11.2.2 버전이 관련 패치 이며 가급적 패치 진행을 하는것이 좋을듯 ‘ㅅ’a

kernel 의 change log 를 확인하여 패치가 되었는지 확인한다.

1	rpm -q --changelog kernel\|grep -E "CVE-2017-5715\|CVE-2017-5753\|CVE-2017-5754"

Let’s enctypt 를 의 발급/갱신을 단순화 하기 위한 방법

Let’s encrypt 는 발급/갱신을 할때 http://도메인/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxx 를 호출 한뒤 호출에 성공한경우 도메인 소유권이 있는것으로 판단하여 발급/갱신이 이루어 진다.

다만 이경우 .htaccess 를 쓰는 워드프레스 라던가 XE 라던가 혹은 개인 설정에 의해 .htaccess 에서 리다이렉트 운용을 할 경우 발급/갱신이 어려워 질 수 있다.

때문에 아래와 같이 apache 의 Alias 설정 해서 좀더 효율적인 인증을 할 수 있다.

AllowOverride FileInfo AuthConfig Limit Options

Options MultiViews SymLinksIfOwnerMatch IncludesNoExec

Require method GET POST OPTIONS

</Directory>

AliasMatch ^/.well-known/acme-challenge/(.*)$ /var/www/html/.well-known/acme-challenge/$1

위 설정을 하고 난뒤에 발급 명령어는 아래와 같다.

~]# mkdir -p /var/www/html

~]# cd /usr/local/certbot

~]# ./certbot-auto certonly --server https://acme-v02.api.letsencrypt.org/directory --rsa-key-size 4096 \

--agree-tos --webroot -w /var/www/html \

--email 메일@도메인.com -d enteroa.com -d www.enteroa.com

webroot를 /var/www/html 에 고정을 하고 6번째 줄만 맞게 수정을 해서 사용하면 됩니다 ‘ㅅ’b

/var/www 폴더는 selinux 에서 파일컨텍스트가 허용된 폴더로 selinux 를 사용하더라도 별도의 허용처리를 할 필요가 없어서 좋음 🙂

webtatic 저장소를 이용한 php 7 설치

php 는 httpd 의존이기 때문에 php를 설치하는것만으로 httpd 가 설치 된다.
즉 httpd 먼저 설치하고 php를 설치해야 한다.

webtatic의 php 는 기본적으로 nts 이며 apache 가 prefork mpm 이 아닐 경우(worker, event) zts 모듈이 로딩이 되므로 매우 편리하게 사용할 수 있다.
아울러 yum을 이용한 설치이기 때문에 더 훌륭하다 =3=b

레포지트리 설치

1	~]# rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

php7 설치

1	~]# yum -y install php70w php70w-bcmath php70w-cli php70w-common php70w-intl php70w-devel php70w-gd php70w-mbstring php70w-mcrypt php70w-mysqlnd php70w-opcache php70w-pdo php70w-pear php70w-soap php70w-xml

httpd 의 mpm 방식은 아래와 같이 확인한다.

~]# httpd -V

Server version: Apache/2.4.27 (centos)

Server built: Sep 7 2017 17:44:04

Server's Module Magic Number: 20120211:68

Server loaded: APR 1.5.2, APR-UTIL 1.5.2

Compiled using: APR 1.5.2, APR-UTIL 1.5.2

Architecture: 64-bit

Server MPM: worker

threaded: yes (fixed thread count)

forked: yes (variable process count)

Server compiled with....

...

httpd -V 의 값에서 MPM 이 worker 로 확인 되었기 때문에 cron 등에 등록을 하려면 zts-php 명령어를 써야 한다.
worker 방식은 메모리를 적게 쓰지만 다종의 웹솔루션을 운영하기엔 적합하지 않다.
다만 apache 2.4.27 에서 부터 http/2 를 지원하는데 있어서 profork 방식을 더 이상 지원하지 않는다.

서버에서 php 명령어 실행은 아래와 같이 한다.

~]# php -v

PHP 7.0.22 (cli) (built: Aug 9 2017 18:23:24) ( NTS )

~]# zts-php -v

PHP 7.0.22 (cli) (built: Aug 9 2017 18:28:49) ( ZTS )

[root@MGB-v2-DAC01 oci8-2.1.7]#

httpd를 worker MPM 으로 설치 하고 webtatic 제공의 php 를 설치한 서버에서 오라클 접속을 사용하기 위해 oci8 익스텐션 설치 진행은 아래와 같이 진행 했다.
phpize, config-php 역시 각각 zts-phpize, zts-php-config 의 것을 사용한다.

~]# rpm -i oracle-instantclient12.2-basic-12.2.0.1.0-1.x86_64.rpm

~]# rpm -i oracle-instantclient12.2-devel-12.2.0.1.0-1.x86_64.rpm

~]# pecl download oci8-2.1.7.tgz

~]# tar xvfpz oci8-2.1.7.tgz

~]# cd oci8-2.1.7/

~]# zts-phpize

~]# ./configure --with-php-config=/usr/bin/zts-php-config --with-oci8=shared,instantclient,/usr/lib/oracle/12.2/client64/lib/

~]# make

~]# make install

~]# echo 'extension=oci8.so' > /etc/php-zts.d/oci8.ini

~]# apachectl restart

설치된 oci8 은 웹문서에서 phpinfo(); 로 호출하거나 리눅스 쉘에서 아래와 같이 확인이 가능하다.

~]# zts-php -i|grep oci8

oci8

oci8.connection_class => no value => no value

oci8.default_prefetch => 100 => 100

oci8.events => Off => Off

oci8.max_persistent => -1 => -1

oci8.old_oci_close_semantics => Off => Off

oci8.persistent_timeout => -1 => -1

oci8.ping_interval => 60 => 60

oci8.privileged_connect => Off => Off

oci8.statement_cache_size => 20 => 20

PS. webtatic 에서는 php70w-odbc를 제공 하므로 yum 설치로 odbc를 이용할 수 있다.