31일차
●31일차(20250131031.php)
#계정 통합 관리
> 일일히 계정을 추가하기 보다 엑티브 디렉토리로 계정을 묶어서 사용하자
#실습1
win7
브릿지에 어댑터
ip: 192.168.0.113
255.255.255.0
192.168.0.1
dns: 192.168.0.103
> 자동 할당 받음
1. dhcp 받은걸 고정ip로 넣는다
2. 컴퓨터 이름 바꾸기
시스템 속성 > PC113
도메인 : st.kr
확인
> 컴퓨터 이름 도메인 변경 뜸
> administrator p@ssw0rd!@123
> 다시시작
> 로그인 화면이 변경됨
3. 관리자 PC(교수님)
Active Directory에 신입사원(나) 계정을 넣어줌
다음 로그인시 사용자가 반드시 암호를 변경 체크
> 113이 로그인을 할때 원래 비밀번호를 치고 비밀번호를 변경해야함
+) 관리자 계정 기억
PC\113manager
msh@st.kr
ST\msh
4. 내 pc로 접속
4-1. PC113\manager
> 내가 설정했던대로 난 비밀번호가 없었음
4-2. msh@st.kr
초기 비밀번호: p@ssw0rd
단순암호로는 안됨(8자 이상)
electric1234!
> 제대로 도메인과 연결되면 들어가짐
#실습2
1. 세팅
ADWin2022(win2022)
> 서버
> 호스트 전용 어댑터
> ip: 192.168.56.101 dns: 192.168.56.101
> 컴퓨터 이름: win2022
ADClient(win7)
> client
> 호스트 전용 어댑터
> ip: 192.168.56.102 dns: 192.168.56.101
> 컴퓨터 이름: PC102
2. 엑티브 디렉토리 설치 (서버)
서버관리자
> 역할 및 기능 추가
> 엑티브 디렉토리 도메인 서비스 설치
> add features
> restart 체크
> install
노란색 팻말이 떠있는 깃발모양 클릭
> 이서버를 도메인 컨트롤러로 승격
> 새 포레스트 추가
> 도메인 st.kr 비밀번호 p@ssw0rd!@123
3. client pc 연결
nslookup st.kr
> 제대로 뜨면 연결된거임
시스템 > 컴퓨터 이름/ 도메인 변경
> 도메인 그룹 st.kr로 변경
> 아이디와 비밀번호를 치는 란이 나옴(연결 성공)
> administrator p@ssw0rd!@123
> 다시시작
4. client pc 서버에 추가
서버 관리자
도구 > 도메인 및 트러스트
-> st.kr이 떠있음
도구 > 사용자 및 컴퓨터
> computers > PC102가 떠있음
> users > 새로 만들기 > 사용자 > 내 이름, 이니셜 넣어주기 > 비밀번호: p@ssw0rd!@123
5. client pc에서 접속
> 사용자 변환(다른 사용자)
> msh@st.kr > 비밀번호 바꿔주기
> electric1234!
> 접속 성공
+) PC102\manager
> 원래 컴퓨터 계정 잊지말기
#client pc 설치,삭제,변경
리눅스 > 파일비트 패킷비트 > 누가 접근하면 selk로 보냄
윈도우 > splunk forward
https://www.splunk.com/ko_kr
일반 사용자로 설치는 가능한가?
일반 사용자가 삭제는 가능한가?
msh@st.kr에서 splunk를 깔아보자
admin
p@ssw0rd
> 설치 불가는 서버 암호를 치라고 함
> 회사에서 아무거나 설치하지 말라고 설정한것
> 랜섬웨어같은 악성 파일도 차단됨
IP변경 가능?
> IP 변경도 불가능
#미션
출근하면 안되는데 출근하는 사람 pc를 막자
> 사용자 접근 권한 설정 가능
서버 pc
> AD 사용자 및 컴퓨터
> 내 이니셜로 된 사용자 속성에 들어가
> 계정 > 로그온 시간 > 적용
client pc
> 로그 오프
> 아이디 비밀번호를 쳐도 들어가지지 않음
#splunk 우분투 서버
> 깨끗한 우분투 서버에 splunk 설치
> 엑티브 디렉토리에도 로그가 남지만 splunk에서 분석하자
1. NAT
압축파일 가져옴
tar -xvzf sp[tab]
+) NAT 포트포워딩 22, 8000, 8089, 9997 추가
+)win10 win7(client) splunk 설치
customize option
local system
모두 체크
admin 12345678
win10 > 192.168.0.201
win7 > 192.168.56.103
포트번호 그대로 써줌
2. 호스트 전용 어댑터
> ip: 192.168.56.103 dns: 192.168.56.101
> netplan apply
cd ~/splunk/bin
./splunk start
> 스페이스 누르다가 > y > admin, 12345678
> 설치 완
splunk 실행
> ~/splunk/bin에서 ./splunk start
> 윈도우7에서 192.168.56.103:8000 해주면 들어가짐(win22에서도 됨)
3. splunk 웹 세팅
3-1. 포트 열기
데이터 전달 및 수신 > 수신 설정 > 새 수신 포트
> 9997 열어줌
> 데이터가 들어옴
> win7에서 netstat -ant | find '9997'
3-2. 에러 수정
서버설정 > 일반설정 > 크기 500 > 에러메세지가 안뜸
3-3. 데이터 받기
#데이터 입력
> 전달된 입력에서 데이터가 제대로 들어와야됨
> 포워더 관리에 들어가니 데이터가 제대로 안들어옴
> 이벤트 로그 컬렉션 > 새 원격 이벤트 로그로 로그를 받을 것임
#splunk 서버 세팅 수정
cd /home/master/splunk/etc/system/local
server.conf
----------------------
[diskUsage]
minFreeSpace=50
[queue]
maxSize=1024MB
----------------------
> bin에 가서 ./splunk restart
> 이래야 포워더 관리에서 데이터가 보임
#포워더 관리
데이터 입력 > 새 원격 이벤트 로그 추가
> winpc102 이동 > 새 서버 클래스 이름: PC102
> 이벤트 로그 모두 추가
> 새 인덱스 추가 > PC102
> 제출
> client pc에서 어떤 이벤트가 일어나면 데이터가 뜬다
uf(universal forward) 설치할것
윈도우 보안 조치
일반 사용자 계정 > AD를 통한 인증(통합관리)
리눅스 보안조치
> 패스워트 인증 방식 > 키 인증 방식 > 커버로스 인증방식 > 외부 접속 차단
#계정 통합 관리
> 일일히 계정을 추가하기 보다 엑티브 디렉토리로 계정을 묶어서 사용하자
#실습1
win7
브릿지에 어댑터
ip: 192.168.0.113
255.255.255.0
192.168.0.1
dns: 192.168.0.103
> 자동 할당 받음
1. dhcp 받은걸 고정ip로 넣는다
2. 컴퓨터 이름 바꾸기
시스템 속성 > PC113
도메인 : st.kr
확인
> 컴퓨터 이름 도메인 변경 뜸
> administrator p@ssw0rd!@123
> 다시시작
> 로그인 화면이 변경됨
3. 관리자 PC(교수님)
Active Directory에 신입사원(나) 계정을 넣어줌
다음 로그인시 사용자가 반드시 암호를 변경 체크
> 113이 로그인을 할때 원래 비밀번호를 치고 비밀번호를 변경해야함
+) 관리자 계정 기억
PC\113manager
msh@st.kr
ST\msh
4. 내 pc로 접속
4-1. PC113\manager
> 내가 설정했던대로 난 비밀번호가 없었음
4-2. msh@st.kr
초기 비밀번호: p@ssw0rd
단순암호로는 안됨(8자 이상)
electric1234!
> 제대로 도메인과 연결되면 들어가짐
#실습2
1. 세팅
ADWin2022(win2022)
> 서버
> 호스트 전용 어댑터
> ip: 192.168.56.101 dns: 192.168.56.101
> 컴퓨터 이름: win2022
ADClient(win7)
> client
> 호스트 전용 어댑터
> ip: 192.168.56.102 dns: 192.168.56.101
> 컴퓨터 이름: PC102
2. 엑티브 디렉토리 설치 (서버)
서버관리자
> 역할 및 기능 추가
> 엑티브 디렉토리 도메인 서비스 설치
> add features
> restart 체크
> install
노란색 팻말이 떠있는 깃발모양 클릭
> 이서버를 도메인 컨트롤러로 승격
> 새 포레스트 추가
> 도메인 st.kr 비밀번호 p@ssw0rd!@123
3. client pc 연결
nslookup st.kr
> 제대로 뜨면 연결된거임
시스템 > 컴퓨터 이름/ 도메인 변경
> 도메인 그룹 st.kr로 변경
> 아이디와 비밀번호를 치는 란이 나옴(연결 성공)
> administrator p@ssw0rd!@123
> 다시시작
4. client pc 서버에 추가
서버 관리자
도구 > 도메인 및 트러스트
-> st.kr이 떠있음
도구 > 사용자 및 컴퓨터
> computers > PC102가 떠있음
> users > 새로 만들기 > 사용자 > 내 이름, 이니셜 넣어주기 > 비밀번호: p@ssw0rd!@123
5. client pc에서 접속
> 사용자 변환(다른 사용자)
> msh@st.kr > 비밀번호 바꿔주기
> electric1234!
> 접속 성공
+) PC102\manager
> 원래 컴퓨터 계정 잊지말기
#client pc 설치,삭제,변경
리눅스 > 파일비트 패킷비트 > 누가 접근하면 selk로 보냄
윈도우 > splunk forward
https://www.splunk.com/ko_kr
일반 사용자로 설치는 가능한가?
일반 사용자가 삭제는 가능한가?
msh@st.kr에서 splunk를 깔아보자
admin
p@ssw0rd
> 설치 불가는 서버 암호를 치라고 함
> 회사에서 아무거나 설치하지 말라고 설정한것
> 랜섬웨어같은 악성 파일도 차단됨
IP변경 가능?
> IP 변경도 불가능
#미션
출근하면 안되는데 출근하는 사람 pc를 막자
> 사용자 접근 권한 설정 가능
서버 pc
> AD 사용자 및 컴퓨터
> 내 이니셜로 된 사용자 속성에 들어가
> 계정 > 로그온 시간 > 적용
client pc
> 로그 오프
> 아이디 비밀번호를 쳐도 들어가지지 않음
#splunk 우분투 서버
> 깨끗한 우분투 서버에 splunk 설치
> 엑티브 디렉토리에도 로그가 남지만 splunk에서 분석하자
1. NAT
network:
version: 2
ethernets:
enp0s3:
dhcp4: no
addresses: [10.0.2.15/24]
gateway4: 10.0.2.2
nameservers:
addresses: [168.126.63.1]
압축파일 가져옴
tar -xvzf sp[tab]
+) NAT 포트포워딩 22, 8000, 8089, 9997 추가
+)win10 win7(client) splunk 설치
customize option
local system
모두 체크
admin 12345678
win10 > 192.168.0.201
win7 > 192.168.56.103
포트번호 그대로 써줌
2. 호스트 전용 어댑터
> ip: 192.168.56.103 dns: 192.168.56.101
> netplan apply
cd ~/splunk/bin
./splunk start
> 스페이스 누르다가 > y > admin, 12345678
> 설치 완
splunk 실행
> ~/splunk/bin에서 ./splunk start
> 윈도우7에서 192.168.56.103:8000 해주면 들어가짐(win22에서도 됨)
3. splunk 웹 세팅
3-1. 포트 열기
데이터 전달 및 수신 > 수신 설정 > 새 수신 포트
> 9997 열어줌
> 데이터가 들어옴
> win7에서 netstat -ant | find '9997'
3-2. 에러 수정
서버설정 > 일반설정 > 크기 500 > 에러메세지가 안뜸
3-3. 데이터 받기
#데이터 입력
> 전달된 입력에서 데이터가 제대로 들어와야됨
> 포워더 관리에 들어가니 데이터가 제대로 안들어옴
> 이벤트 로그 컬렉션 > 새 원격 이벤트 로그로 로그를 받을 것임
#splunk 서버 세팅 수정
cd /home/master/splunk/etc/system/local
server.conf
----------------------
[diskUsage]
minFreeSpace=50
[queue]
maxSize=1024MB
----------------------
> bin에 가서 ./splunk restart
> 이래야 포워더 관리에서 데이터가 보임
#포워더 관리
데이터 입력 > 새 원격 이벤트 로그 추가
> winpc102 이동 > 새 서버 클래스 이름: PC102
> 이벤트 로그 모두 추가
> 새 인덱스 추가 > PC102
> 제출
> client pc에서 어떤 이벤트가 일어나면 데이터가 뜬다
uf(universal forward) 설치할것
윈도우 보안 조치
일반 사용자 계정 > AD를 통한 인증(통합관리)
리눅스 보안조치
> 패스워트 인증 방식 > 키 인증 방식 > 커버로스 인증방식 > 외부 접속 차단