미션 1

각 조별 서버 담당지 접속 후 packetbeat, filebeat 설치

ssh 192.168.0.106 22001

192.168.0.117 서버

ELK + Splunk 설치 후 106과 통신 여부 확인

RSYLOG 설정 (Ubuntu 22.04) - 192.168.0.115

1. resolv.conf 설정

nano /etc/resolv.conf
127.0.0.1 > 168.126.63.1 
apt -y install update

2. rsyslog.conf 설정

nano /etc/rsyslog.conf
module(load="imtcp")
input(type="imtcp" port="514")
# 주석 제거 후 추가
$AllowedSender TCP,192.168.0.0/24, *.st.kr 

apt -y install net-tools
systemctl restart rsyslog
netstat -ant | grep 514  # 포트 확인

3. rsync 설정

nano /etc/rsyncd.conf
[backup]
path = /backup
hosts allow = 192.168.0.106
hosts deny = *
list = true
uid = root
gid = root
read only = false

systemctl restart rsync

4. 데이터베이스 설정

apt -y install mariadb-server
apt -y install rsyslog-mysql
mysql 
use Syslog;
show tables;
desc SystemEvents;
select * from SystemEvents;
select FromHost, Message from SystemEvents limit 0, 10;

192.168.0.106 서버 rsyslog 연결작업

nano /etc/rsyslog.d/50-default.conf

action(type="omfwd"
       queue.filename="IP001"
       queue.maxdiskspace="1g"
       queue.saveonshutdown="on"
       queue.type="LinkedList"
       action.resumeRetryCount="-1"
       Target="192.168.0.115" Port="514" Protocol="tcp")

윈도우 설정

rsyslog : 10.10.10.251, monitor : 10.10.10.250

ELK : st.kr:8250, st.kr:8000

공격 시뮬레이션

hydra -L user.txt -P passwd.txt 125.246.95.253 ssh -s 22003
minho | minho2054@naver.com | @minho