본문 바로가기

SECURITY4

SSH 비밀번호 없이 key로 로그인하기 (putty, vscode, heidi sql, filezilla 적용) 최근 개발중인 서버가 ssh brute-force 공격에 너무 노출된 거 같아 이 문제를 해결하고자 한다. 이전에는 fail2ban으로 시도 횟수를 제한했지만, 이번에는 비밀번호를 입력하는 것이 아니라 키인증 방식으로 바꾸려고 한다. SSH KEY 만들기 ssh-keygen ssh-keygen 명령을 실행하여 키쌍을 만들 수 있다. 단 passphrase를 넣어줄수 있다고 하는데, 쭉 엔터를 쳐서 지나갔다 정상적으로 키 생성이 완료되면 ~/에 .ssh라는 폴더가 생기게 된다. 아래 명령을 통해 확인할 수 있다. ls -al | grep .ssh 폴더가 생긴 것이 확인되었으면 .ssh폴더로 이동하여 생성된 파일을 확인해보자. cd .ssh ls id_rsa와 id_rsa.pub라는 키 파일이 두 개 생성된.. 2021. 9. 6.
Cloudflare ssl 적용기(hsts, http to http) HTTP가 자동으로 HTTPS로 넘어가는 걸 막아보자 이번에 만들게 된 챌린지 플랫폼이 http로 서비스되고 있다. 하지만 브라우저에서 접속을 할 경우 https로 자동으로 연결되어 "ERR_SSL_PROTOCOL_ERROR"를 자꾸 띄우게 되었다 HSTS 우회 그래서 Cloudflare를 이용해 http요청을 https로 자동으로 바꾸는 HSTS를 우회하기로 했다. 우선 Cloudflare에 기존의 DNS 설정을 넘겨주기 위해선, 기존 DNS 설정의 NS를 바꿔줘야한다. 이렇게 Cloudflare에 적혀있는 네임서버로 기존의 DNS서비스에서 등록을 해주면 되는데, 나중에 포스팅하려고 한다. 암튼... 이렇게 Cloudflare로 이전이 완료되었다는 가정하에 진행을 하자면, 우선 HSTS에 대해 알아보자.. 2021. 8. 12.
chrome 개인정보 보호 오류 해결하기 mac에서 크롬을 사용하다보면 이렇게 신뢰되지 않은 인증서로 인한 경고 페이지를 보게된다. 윈도우에서는 고급을 눌러 "안전하지 않음"으로 접속할 수 있지만, mac의 카탈리나OS이후의 버전에서는 "안전하지 않음"이라는 링크 자체가 생기지 않는다. 신뢰되지 않은 인증서이지만 꼭 접속해야하는 페이지라면, 크롬 설정을 이것저것 바꿔가면서라도 접속 시도를 해보았을 것이다. 하지만 결과는 언제나 실패였다. 그래서 귀찮지만 인증서를 등록해줘야하나 고민을 하던 중, 검색을 통해 다음과 같은 내용을 알게 되었다. 해결 방법은 바로, 접속할 수 없다는 화면을 클릭하고 "thisisunsafe" 라고 키보드 입력을 하면 2,3초 뒤에 자동으로 넘어가게 된다!! (나는 성격이 급해서... 바로 안넘어가면 왜 이래!! 이러고.. 2021. 7. 14.
WebGoat 7 설치하기 Centos 오늘은 webgoat을 설치해보겠습니다. 실습할 때마다 가상환경에서 돌리려고 하니 불편하더군요.... 한달에 $5짜리 서버에 올려서 써야겠습니다 (저는 vultr.com 요기를 씁니다.) 우리가 최종적으로 만나볼 모습!! https://www.owasp.org/index.php/WebGoat_Installation 에서는 이렇게 설치하라고 하는데... 흐음.. 저는 제 방식이 더 편한 것 같습니다..ㅎㅎ (원하시는 방식대로 하시면 될듯합니당) 그럼 시작해보겠습니다. 첫번째!! 일단 github 페이지에서 7.1 Release exec.jar을 다운받아주세요 wget https://github.com/WebGoat/WebGoat/releases/download/7.1/webgoat-container-7.1.. 2018. 10. 17.