리눅스25 [웹 서버 보안]디렉토리 리스팅(Directory Listing) 취약점 조치하기 #220 1. 디렉토리 리스팅(Directory Listing)이란? 웹 서버의 특정경로에 있는 파일들을 웹 서비스를 통해 디렉토리 형식으로 볼 수 있는 것을 말합니다. 아래처럼 실제 파일을 열어볼 수도 있고 다운로드도 할 수 있습니다. 2. 디렉토리 리스팅 취약점 그렇다면 디렉토리 리스팅의 취약점은 무엇일까요? 바로 의도치 않게 서버에 있는 자료가 노출될 수 있습니다. 공개되지 않아야할 자료가 노출되어 문제가 될 수 있고 소스코드가 유출되어 공격자로부터 해킹을 당할 수 있습니다. 그럼 자주 이용하는 Apache와 Tomcat에서 디렉토리 리스팅 취약점이 있을 때의 모습을 살펴보도록 하겠습니다. 1) Apache Apache 웹 서버를 동작시키고 특정 소스를 배포하였습니다. Apache의 경우 Defau.. 2022. 6. 2. SSH Key를 통한 안전하고 간편한 로그인 #216 1. SSH key란? SSH Key는 말그대로 SSH를 접속할 때 사용되는 Key입니다. Key가 있기때문에 별도의 ID/PW 입력 없이 바로 접속이 가능하여 간편하게 로그인할 수 있지만 Key가 없는 사용자에게는 로그인이 제한되기 때문에 보안적인 면에서도 우수합니다. 2. SSH Key 동작방식 SSH Key는 공개키 암호화 방식을 통해 동작합니다. (공개키 암호화 방식은 총 두개의 키(공개키와 개인키)를 가지며 개인키는 외부에 알려져서는 안되는 비공개키이며, 공개키는 말그대로 공개되는 키입니다.) 1) 클라이언트(접속 장비)에서 SSH Key(공개키와 개인키) 생성(만약 생성이 되어있다면 생략) 2) 서버로 공개키를 전달(개인키는 당연히 클라이언트에만 보관하고 있어야함) 3) 서버에 공개키.. 2022. 5. 11. [fail2ban] 리눅스 서버 SSH 보안 강화 #215 1. SSH를 통한 리눅스 서버 접근 리눅스 서버를 운영하고 계시다면 보안상의 이유로 SSH를 이용하여 대부분 접근하고 계실 겁니다. (텔넷의 경우 평문 통신을 하여 계정정보가 유출될 수 있음) SSH 공개키 방식을 통하여 접근하시는 경우도 있지만 많은 분들께서 ID/PW 방식을 이용하여 접근하고 계실 것으로 예상됩니다. 저 또한 ID/PW 방식으로 이용하고 있는데요. 그러다보니 보니 계정정보 관리가 그만큼 중요합니다. 하지만 보통 기본 계정을 유지하고 있는 경우도 있고 패스워드를 쉽게 설정하여 사용하는 경우도 있습니다. 이 경우 사전공격 혹은 무작위 공격에 취약할 수 있습니다. 이번 포스팅은 완벽한 방어는 아니지만 위의 취약점을 예방할 수 있는 도구에 대해 알아보도록 하겠습니다. 2. 기본적인.. 2022. 5. 10. [DNS 구축하기] 1. DNS 주소 설정하기 #197 1. DNS(Domain Name System)란? naver.com과 같이 URL을 입력하였을 때 실제 서버를 접근하기 위해서는 IP가 필요합니다. 이 때, naver.com만 입력하여도 IP 주소로 변환시켜주는 일을 DNS(Domain Name System) 서버가 담당하여 처리합니다. 2. 대표 DNS 회사나 기관에서 사용하실 경우 별도로 DNS 서버를 내부에 구축하여 DNS 서버에 대해서 잘 아시겠지만, 가정에서 인터넷을 사용하시는 분들의 경우 한 번도 설정을 하지 않고 사용하신 분들이 계실 겁니다. 그런 분들의 경우 아래와 같은 대표 DNS를 사용하고 계실겁니다. 3. DNS 서버 확인 방법 nslookup이라는 명령을 이용하여 쉽게 확인하실 수 있습니다. 1) 윈도우 CMD 창에 ns.. 2021. 12. 30. 이전 1 2 3 4 5 6 7 다음
