41일차
●41일차(20250212041.php)
각 조별 서버 담당자 접속
ssh 192.168.0.106 22001
#미션1.
packetbeat, filebeat 설치
> 20일차 참고
filebeat output 192.168.0.117
packetbeat output 192.168.0.117
+) 에러
elasticsearch를 불러오는 코드를 원래 설치되어있는 서버에 또 적용해버림(curl -f ~)
> multiple error가 남
> 설치는 물론 update도 안됨
> 경로에 들어가서 중복된거 비활성화(주석처리)
> apt update > upgrade할 수 있다고 나옴
> apt upgrade (안해줘도 되긴 하는듯)
+) update조차 안되면
> 조회되는지 확인
> ip 확인
> dns 168.126.63.1
> resolv.conf 확인
> 168.126.63.1
#미션2.
ssh 192.168.0.117
ELK+ SPLUNK 설치
1. selk 설치
> 15일차 참고
2. elastic, logstash 세팅
> 19일차 참고
3. splunk 설치
> 31일차 참고
#미션3.
ssh 192.168.0.115
Rsyslog 설정(22.04)
> 13일차 참고
3-1. 로그서버
> mariadb, rsyslog-mysql 설치
> nano /etc/rsyncd.conf
> nano /etc/mysql/mariadb.conf.d/50-server.cnf
> systemctl restart mariadb
3-2. 3대서버
nano /etc/rsyslog.d/50-default.conf
>> 로그서버에서 mysql에 들어가 IP001이 들어오는걸 확인함
#3대서버 tripwire, ... 다운로드
> 38일차 참고
> 다운로드 안한것도 깔아줌
#내부망으로 바꿔줌
백업서버 접속
> ssh master@125.246.95.253:22102
본서버 접속
> ssh master@125.246.95.253:22001
rsyslog 서버 접속
> ssh master@125.246.95.253:22251
# 실습
1. 방어
1조 방어(취약시스템 방어)
2,3,4조 공격
DMZ: 정보
10.10.10.254 게이트웨이
10.10.10.253 윈도우(각조 서버 저장: 10.10.10.1~10.10.10.4)
10.10.10.252 원격접속가능함
윈도우(rsyslog : 10.10.10.251 , monitor: 10.10.10.250)
ELK > st.kr:8250(elasticsearch) st.kr:8000(splunk)
1-1. 3대 서버
nano /etc/rsyslog.d/50-default.conf
> 10.10.10.251
filebeat >10.10.10.250
packetbat > 10.10.10.250
1-2. 모니터링
tcpdump -i enp0s3 -e tcp
tac /var/log/auth.log | grep -m 25 "Accepted"
> 최근 log 중에 로그인 된 IP를 찾을 수 있음]
> 실시간으로 보는거 아님
tail -f /var/log/auth.log | grep --line-buffered "Accepted "
journalctl -u ssh -f | grep --line-buffered "Accepted "
> 실시간으로 보자
각 조별 서버 담당자 접속
ssh 192.168.0.106 22001
#미션1.
packetbeat, filebeat 설치
> 20일차 참고
filebeat output 192.168.0.117
packetbeat output 192.168.0.117
+) 에러
elasticsearch를 불러오는 코드를 원래 설치되어있는 서버에 또 적용해버림(curl -f ~)
> multiple error가 남
> 설치는 물론 update도 안됨
> 경로에 들어가서 중복된거 비활성화(주석처리)
> apt update > upgrade할 수 있다고 나옴
> apt upgrade (안해줘도 되긴 하는듯)
+) update조차 안되면
> 조회되는지 확인
> ip 확인
> dns 168.126.63.1
> resolv.conf 확인
> 168.126.63.1
#미션2.
ssh 192.168.0.117
ELK+ SPLUNK 설치
1. selk 설치
> 15일차 참고
2. elastic, logstash 세팅
> 19일차 참고
3. splunk 설치
> 31일차 참고
#미션3.
ssh 192.168.0.115
Rsyslog 설정(22.04)
> 13일차 참고
3-1. 로그서버
> mariadb, rsyslog-mysql 설치
> nano /etc/rsyncd.conf
> nano /etc/mysql/mariadb.conf.d/50-server.cnf
> systemctl restart mariadb
3-2. 3대서버
nano /etc/rsyslog.d/50-default.conf
>> 로그서버에서 mysql에 들어가 IP001이 들어오는걸 확인함
#3대서버 tripwire, ... 다운로드
> 38일차 참고
> 다운로드 안한것도 깔아줌
#내부망으로 바꿔줌
백업서버 접속
> ssh master@125.246.95.253:22102
본서버 접속
> ssh master@125.246.95.253:22001
rsyslog 서버 접속
> ssh master@125.246.95.253:22251
# 실습
1. 방어
1조 방어(취약시스템 방어)
2,3,4조 공격
DMZ: 정보
10.10.10.254 게이트웨이
10.10.10.253 윈도우(각조 서버 저장: 10.10.10.1~10.10.10.4)
10.10.10.252 원격접속가능함
윈도우(rsyslog : 10.10.10.251 , monitor: 10.10.10.250)
ELK > st.kr:8250(elasticsearch) st.kr:8000(splunk)
1-1. 3대 서버
nano /etc/rsyslog.d/50-default.conf
> 10.10.10.251
filebeat >10.10.10.250
packetbat > 10.10.10.250
1-2. 모니터링
tcpdump -i enp0s3 -e tcp
tac /var/log/auth.log | grep -m 25 "Accepted"
> 최근 log 중에 로그인 된 IP를 찾을 수 있음]
> 실시간으로 보는거 아님
tail -f /var/log/auth.log | grep --line-buffered "Accepted "
journalctl -u ssh -f | grep --line-buffered "Accepted "
> 실시간으로 보자