전산쟁이의 기억노트

ELK Stack Install ELK Stack 패키지 설치 - ELK서버에서 수행 repository 구성 $ vi /etc/yum.repos.d/elk.repo [logstash-7.x] name=Elastic repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=0 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md java 설치 (java 설치 버전은 1.8 버전으로 배포 진행) $ yum install java -y $ java -version openjdk version..

sword 신뢰하는 저장소 복호화시 사용하는 암호 서버 SSL설정 server.ssl.redirectHttpFromPort 모든 http 요청을 https로 리다이렉션 함 서버 SSL설정 server.ssl.supportedProtocols 지원되는 SSL프로토콜 TLSv1.1, TLSv1.2, TLSv1.3 서버보안 server.xsrf.allowlist API 보호기능 비활성화 enable 서버보안 server.xsrf.disableProtection ture설정시 kibana에서 사이트 위조방지 기능 비활성화 false 서버보안 status.allowAnonymous true설정시 미인증사용자 사용불가 false 서버보안 telemetry.allowChangingOptInStatus 고급설정에서 원..

ELK Stack? 각 서버에 저장된 로그성 데이터를 한곳에 모아서 시각화 하는 Opensource Elasticsearch / Logstash / Kibana를 줄여 ELK라고 명칭하고 있었고, fileBeat가 추가되면서 ELK Stack으로 명칭. Component별 역활 filebeat : 시스템에 기록된 로그데이터를 logstash로 보내기 위한 역활 (logstash보다 경량화되었고, 로그데이터가 json으로 파싱되어 있는 경우 logstash를 거치지 않고 elasticsearch바로 전송할 수 있다 함) Logstash : filebeat에서 받은 로그, 시스템에 기록된 로그데이터를 Elasticsearch로 보내는 역활 Elasticsearch : logstash에서 전달받은 데이터를 D..

Elastic에서 라이선스 모델 webinar 진행 과금모델 노드당 과금 진행 (기존에는 에이전트, APP단 용량, 유저당, cpu 코어당 비용 모델이였음) 기술지원 (24x7x365) 제공, 교육 및 유지보수 지원 추가 기능 (License 모델에 따라 제공되는 기능의 차이가 있음) 기존에 hot / warm / cold 말고 fronzen 노드가 추가 (필요한 데이터만 로딩하기 때문에 메모리 대비 처리하는 데이터 비율이 1:1600) 약 64G메모리에 100TB가량의 데이터 저장가능 Fleet : beats의 수량이 많아지면서 beats를 통합관리한 모델 CCR; Cross Cluster Replication 기능추가 클러스터간 실시간 동기화 (HA / DR구성 제공) 공공기관의 경우 법적이 이슈때문..

Sendmail 패키지 설치 $> yum install -y sendmail sendmail-cf Sendmail 설정 발송 시 인증을 이용한 메일 발송으로 변경 $> vi /etc/mail/sendmail.mc ... TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN’)dnl ... define('confAUTH_MECHANISMS', 'EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 (생략)' ... 외부에서 25번 포트 접속 허용하기 $> vi /etc/mail/sendmail.mc ... DAEMON_OPTIONS('Port=smtp, Name=MTA')dnl ... 발송하는 호스트명 지정 $> vi /etc/mail/sendm..

Hosts 수정 (부팅 시 sendmail에서 진행이 지연되고 있을 때 진행) 1 $> vi /etc/hosts 2 서버IP 호스트명 지정 3 Ef) 1.2.3.4 test.co.kr test.co.kr 출처 - http://igoni.kr/books/linux/page/sendmail-trouble-shooting sendmail Trouble Shooting | igoni.kr Hosts 수정 (부팅 시 sendmail에서 진행이 지연되고 있을 때 진행) $> vi /etc/hosts 서버IP 호스트명 지... igoni.kr

메일로그 기본구조 로그항목 내 용 From 발신자 주소 Size 메시지의 바이트 크기 Class 메시지의 등급(낮을수록 우선순위 높음) Pri 시작 메시지의 우선순위 등급 Nrcpts 수신 메시지의 개수 Msgid 메시지 식별자(메시지 헤더) Proto 수신시 사용된 프로토콜(ESMTP / UUCP) Relay 메시지를 전달한 장치이름 to 수신자 리스트 Delay 발신에서 수신까지 걸린 시간 Xdelay 전송시도에 걸리는 시간(접속시간) Mailer 메시지를 전달하는 이름 Stat 전달상태 Ctladdr 메시지를 보낼 수 있는 사용자 Dsn 배달상태 통지 예제로그 설명 Feb 6 14:16:43 mail sendmail[15064]:k165Gg315062: to=1)test@test.co.kr,ctla..

패키지 설치 $> yum install procmail -y 스팸메일 수신시 관리하는 계정생성 $> useradd spam-admin 스팸차단 로그 생성 $> touch /var/log/procmail /etc/procmailrc 파일 생성하기 (샘플) $> vi /etc/procmailrc ########################################## # 수신 메일 제목을 기준으로 메일 차단하기 #Log file path LOGFILE=/var/log/procmail VERBOSE=no # System Path PATH=/usr/bin:/usr/local/bin:/bin SHELL=/bin/sh # Spam mail Blocking & Forward :0 * ? formail -x"Fro..

imap, pop3 포트 변경 시 $> vi /etc/dovecot.conf protocol imap { listen = *:변경할 포트 } protocol pop3 { listen = *:변경할 포트 } 홈디렉토리 없는 사용자의 메일을 받고 싶을 때 $> $ vi /etc/dovecot.conf mail_location = mbox:/var/empty:INBOX=/var/spool/mail/%u:INDEX=MEMORY $ /etc/init.d/dovecot restart $ useradd -M -s /bin/false 계정명 imap 로그인 시 로그인 되지 않고, Plaintext 메시지 출력시 (주석 해제한 다음에 dovecot 서비스 재시작) $> vi /etc/dovecot.conf #disabl..

clamav 설치 1.Sendmail과 연동하기 위한 패키지 설치 $> yum install -y sendmail-devel clam바이너리 다운로드 - http://sourceforge.net/projects/clamav/files/clamav/0.97.8/clamav-0.97.8.tar.gz 바이너리 컴파일 & 설치 $> tar -zxvf clamav-0.97.8.tar.gz $> useradd -s /bin/false clamav $> cd clamav-0.97.8 $> ./configure --prefix=/usr/ --sysconfdir=/etc/ --enable-milter $> make;make install 설정파일 변경 – Freshclam (엔진 업데이트) $> $ vi /etc/fre..