Bootstrap Example

미션1
http://st.kr의 index.html을 수정하라
st.kr /var/www/html > root

서버 모니터링 시스템 설치
sudo apt -y install netdata
nano /etc/netdata/netdata.conf (0.0.0.0으로 변경)
sudo systemctl restart netdata
192.168.1.3:19999/ <-사이트
sudo apt -y install awstats
nano /etc/awstats/awstats.conf
# line 126 : set [1] if httpd log format is [combined]
# for [common], set [4]
LogFormat=1
# line 157 : set hostname
SiteDomain="st.kr"
# line 172 : set domains or IP addresses you'd like to exclude on reports
HostAliases="localhost 127.0.0.1 REGEX[^.*www\.srv\.world$]"

nano /etc/apache2/conf-available/awstats.conf
# create new
Alias /awstats-icon/ /usr/share/awstats/icon/
Alias /awstatsclasses/ /usr/share/java/awstats/

Options FollowSymLinks
AllowOverride None
# access permission for your local network
Require ip 127.0.0.1 0.0.0.0/24

a2enconf awstats
a2enmod cgid
systemctl restart apache2
/usr/share/awstats/tools/update.sh
/usr/share/awstats/tools/buildstatic.sh

확인 방법 > 192.168.1.3/cgi-bin/awstats.pl
sudo apt -y install sysstat
sudo apt -y install prometheus prometheus-node-exporter
sudo apt -y install aide
wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_6.0-3+ubuntu22.04_all.deb
dpkg -i zabbix-release_6.0-3+ubuntu22.04_all.deb
apt update
apt -y install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent2 php-mysql php-gd php-bcmath php-net-socket

디스크 용량 늘리는 방법
물리적인 디스크를 추가해주고
fdisk -l
fdisk /dev/sdb
mkfs.ext4 /dev/sdb1
n
p
enter
enter
enter
w

vgs 로 여유공간 확인
pvcreate /dev/sdb1
y입력
vgextend /dev/ubuntu-vg /dev/sdb1
lvextend -L +50G /dev/ubuntu-vg/ubuntu-lv
resize2fs /dev/ubuntu-vg/ubuntu-lv
df -h

모니터링 프로그램 설치
무결성 검증 프로그램 설치(tripwire)
보안프로그램 설치

sudo apt update
sudo apt-get install tripwire
cd /etc/tripwire
nano twcfg.txt
twadmin -m F -c tw.cfg -S site.key twcfg.txt
nano twpolmake.pl
perl twpolmake.pl twpol.txt > twpol.txt.new
twadmin -m F -c tw.cfg -p tw.pol -S site.key twpol.txt.new
tripwire -m c -s -c /etc/tripwire/tw.cfg
tripwire -m i -s -c tw.cfg
ll /var/lib/tripwire/report
tripwire -m u -a -s -c /etc/tripwire/tw.cfg\
-r /var/lib/tripwire/report/dlp.srv.world-20181129-140452.twr

http://st.kr
웹 방화벽
mod_security (Web Application Firewall)
sudo apt -y install libapache2-mod-security2
sudo apt -y install roundcube roundcube-mysql

https://st.kr

self https : 자체 인증서
sudo apt -y install openssl

진짜 서버 운영시
공인 인증서 : 대행 업체(letsencrypt.org)
sudo apt -y install cerbot
cerbot certonly --webroot -w /home/web1/public_html

시나리오2
1)컴퓨터 부팅은 언제인가?
14:42
2)누가 접속했는가?
manager
3)관리자는 몇번 시스템에 로그인 했는가?
레지스트리 확인
4)해커가 정보 수집을 하는 시간은 언제인가?
서버(netData)
5)무슨 정보를 수집하려고 했는가?
> 패킷 분석하기(방화벽 네트워크 확인)
6)공격을 했는가?
ping 125.246.95.253
scan > nmap -v -sS -O 125.246.95.253
hping3
웹서버에 SYN패킷을 보내는 공격
hping3 125.246.95.253 -p 80 -S --rand-source --flood
7)공격을 했다면 무슨 흔적들이 남는가?
방화벽 서버등에 흔적을 찾는다.
서버에 흔적 존재
4444
80
21
22 [방화벽 접근 포트]
22001 [포트+번호]
22002 [포트+번호]
22003 [포트+번호]
22004 [포트+번호]

8)웹서버에 파일이 업로드 되었는가?

9)관리자가 파일을 다운로드 받았는가?

10)받고 실행은 했는가?

미션2
192.168.0.210
naver.com
google.com

nano /etc/bind/named.conf.default-zones -> naver.com,google.com추가
-> cp db.local naver.com.zone -> cp db.local google.com.zone -> nano naver.com.zone 192.168.0.210추가
->cp naver.com.zone google.com.zone -> nano google.com.zone(naver를 google로)
-> systemctl restart named

37일차