Using WAF on HAProxy with ModSecurity

모드시큐리티를 이용하여 HAProxy에 WAF 달기 ModSecurity WAF(Web Application Firewall)는 웹 어플리케이션을 보호하기 위해 필수라고 볼 수 있는 꽤나 비싼 장비 혹은 솔루션입니다. ModSecurity(이하 ModSec)은 꽤나 오래전부터 알려져 있는 오픈소스 WAF 입니다. 오픈소스이긴 하지만 상용 WAF에 비해 기능이 떨어지지도 않을 뿐더러, 오히려 많은 상용 솔루션에도 ModSec 기반으로 제작되었거나 룰셋 등 일부 시스템을 차용하기도 합니다. 초기부터...

Log4j 취약점 (CVE-2021-44228) 을 막는 5가지 방법

스위스 정부에서 깔끔하게 정리해서 포스팅한 글을 참조 하였습니다. 거두절미 하고 Log4j 2.x 의 이슈 CVE-2021-44228 설명은 생략 하겠습니다. Message formatting 을 통한 lookup 동작을 위해 ${protocol:~~~} 의 패턴을 갖습니다. WAF 에 룰을 설정하여 차단합니다. Log4j2 의 message lookup 을 disable 합니다. (2.10 <= current < 2.15.0) JAVA 환경변수 -Dlog4j2.formatMsgNoLookups=true 또는 시스템 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS=true 설정...

OpenLDAP password checking module pqchecker

OpenLDAP 비밀번호 복잡성 모듈 pqchecker 추가 방법   참고 URL https://www.meddeb.net/pqchecker/ https://github.com/mahiso/pqchecker   OpenLDAP 비밀번호 복잡도를 확인하는 모듈로는 check_password 모듈과 pqchecker 모듈 등이 있으며 저는 기존에 check_password 모듈을 사용했지만, 해당 모듈의 업데이트가 오래되어 비교적 최신인 pqchecker 모듈로 교체해 보았습니다. pqchecker 모듈은 OpenLDAP 의 비밀번호 정책 오버레이(policyppolicy)와 상호 연동되는상호연동되는 모듈이기 때문에 ppolicy 가 사전에 설정되어...

Telegram 을 이용하여 CLI 에서 메세지를 보내자

최근에 많은 솔루션들이 자체적으로 텔레그램 메세지 발송도 지원하곤 하지만 필요에 의해 CLI 상에서 혹은 타 어플이 콜을 하여 메세지를 보내야 할 경우가 관리자 측면에선 필요할 때가 있습니다. 또한 콜을 중앙에서 실행하지 못하고 부득이하게 서버내에서 메세지 발송이 필요한 상황에서 사용하기 위해 간단히 코딩해 두었습니다. 텔레그램에서 API사용을 위해 토큰을 얻어야 합니다. 기본적으로 golang이 설치된 환경에서 컴파일을...

Openssl 1.1.1g source install on CentOS8

Centos8에서 기본으로 설치되는 openssl version은 1.1.1c 입니다. 1.1.1c의 취약점을 개선한 1.1.1d, e, f는 심각한 취약점이 있으므로 1.1.1g로 업데이트를 해보겠습니다. cve : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1967 KISA 보안 권고 : https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35342 Enviroment OS : CentOS 8.1 Openssl : 1.1.1g 1. Default Enviroment Setting $sudo dnf install tar wget $sudo mkdir -p /usr/local/IDC/Src $sudo mkdir -p /usr/local/IDC/Download $sudo mkdir...

Scroll to top