노과장의 보안 업무노트

방화벽 로그 분석 방법방화벽 로그를 분석할 때 중요한 요소는 IP/Port/Protocol, NAT/VPN 변환 여부, 패킷 및 세션 상태, Access/Deny 여부이다.이 요소들을 차례대로 확인하면 방화벽이 트래픽을 어떻게 처리했는지 파악할 수 있다.1️⃣ IP / Port / Protocol 확인방화벽 로그에서 가장 먼저 확인해야 하는 부분은 트래픽이 어디서 어디로 이동했는지, 어떤 프로토콜을 사용했는지이다.예제 로그srcip=192.168.1.10 srcport=54321 dstip=8.8.8.8 dstport=53 proto=UDP출발지 IP: 192.168.1.10 → 목적지 IP: 8.8.8.8출발지 포트: 54321 → 목적지 포트: 53 (DNS 요청)프로토콜: UDP (DNS 요청 시 ..

Kiwi Syslog Server는 사용이 간편하고 다양한 네트워크 장비와 호환되는 소프트웨어로, 중소기업부터 대규모 네트워크까지 폭넓게 활용됩니다. 이 글에서는 Kiwi Syslog Server 설치 과정을 안내합니다.Kiwi Syslog Server 다운로드 및 설치 방법Kiwi Syslog Server 다운로드 페이지: https://www.solarwinds.com/ko/kiwi-syslog-server/use-cases/free-products-and-utilities설치 과정은 아래 단계에 따라 진행합니다.1. 설치 파일 다운로드: 공식 페이지에서 최신 버전 다운로드.2. 설치 파일 실행: 설치 마법사를 열어 설치 진행.3. 라이선스 동의: 'I Agree' 버튼 클릭. 4. 운영 모드 선택:..

MariaDB에서 인증은 주로 TCP/IP 방식과 UNIX 소켓 방식으로 이루어집니다. 이 글에서는 두 인증 방식의 차이와 MariaDB 접근 오류 시 해결 방법을 설명합니다.1. TCP/IP 방식과 소켓 방식의 차이1-1. TCP/IP 방식네트워크를 통해 MariaDB에 접속하며, 127.0.0.1 또는 서버의 IP 주소를 사용.원격 접속 및 네트워크 기반 연결 시 주로 사용.명령어 예시:mysql -u user -p -h 127.0.0.11-2. UNIX 소켓 방식localhost로 접속 시 사용되며, 네트워크 없이 소켓 파일(/var/lib/mysql/mysql.sock)을 통해 직접 연결.접속 속도가 빠르고 보안성이 뛰어나며, 동일 서버 내 로컬 접근에 최적화.명령어 예시:mysql -u user..

MariaDB 버전 관리는 데이터 무결성 유지와 성능 최적화를 위해 중요합니다. 이 가이드는 Oracle Linux 8.10 환경에서 MariaDB 10.7 → 10.6 다운그레이드와 10.6 → 10.7 업그레이드 절차, 데이터 무결성 확인 방법을 쉽게 이해할 수 있도록 제공합니다.1. MariaDB 다운그레이드/업그레이드 준비백업 필수: 데이터 손실 방지를 위해 백업은 반드시 필요합니다.mysqldump -u root -p --all-databases > all_db_backup.sql # 전체 데이터베이스 백업2. MariaDB 10.7 → 10.6 다운그레이드 절차 – MariaDB 다운그레이드 가이드2.1 MariaDB 10.7 제거sudo systemctl stop mariadb # 서비스..

MySQL 원격 접속 시 'Connection refused' 오류가 발생하는 원인은 방화벽 차단, 포트 설정 오류, 사용자 권한 문제 등이 있습니다. 이 글에서는 MySQL 접속 오류를 단계별로 진단하고, 방화벽 설정, 포트 확인, 사용자 권한 부여 등 실질적인 해결 방법을 안내합니다. 1. MySQL 에러 로그 확인 방법로그 파일 경로 확인:sudo cat /etc/my.cnf.d/mariadb-server.cnf | grep log-error # MySQL 에러 로그 경로 확인에러 로그 기본 경로:/var/log/mariadb/mariadb.log # CentOS/RHEL 기반 시스템/var/log/mysql/error.log # Ubuntu/Debian 기반 시스템에러 로그 확인 명령어:su..

1. SELinux란?SELinux는 프로세스와 파일 접근을 제어하여 내부 보안을 강화하며, 시스템 내에서 권한 상승 공격을 방지하는 데 중요한 역할을 합니다.1.1 SELinux 의 주요 개념MAC(Mandatory Access Control): 모든 파일, 프로세스, 포트에 대해 보안 정책을 적용하여 사용자의 권한을 제한함.보안 컨텍스트(Security Context): 파일과 프로세스에 부여되는 보안 속성으로, ls -Z 명령어로 확인 가능.모드(Mode):Enforcing: SELinux 정책을 강제 적용 (기본 설정)Permissive: 정책을 적용하지 않지만 로그를 기록하며, SELinux 정책 위반을 감지한 AVC(Access Vector Cache) Denials 로그를 남깁니다.Disab..

Oracle Linux vs Rocky Linux: 차이점과 선택 가이드리눅스를 사용하면서 Oracle Linux와 Rocky Linux를 비교해야 할 상황이 있다면, 어떤 차이가 있는지 알아두는 것이 중요합니다. 두 배포판은 모두 RHEL(Red Hat Enterprise Linux) 기반이지만, 목적과 지원 방식에서 차이가 있습니다. 이번 글에서는 Oracle Linux와 Rocky Linux의 차이점을 정리하고, 어떤 환경에서 각각을 선택하면 좋은지 알아보겠습니다.1. Oracle Linux vs Rocky Linux 주요 차이점비교 항목Oracle LinuxRocky Linux출시 배경오라클(Oracle)에서 RHEL 기반으로 개발RHEL이 CentOS Stream으로 변경된 후 커뮤니티 주도로 ..

리눅스 시스템을 설치하거나 관리할 때, 파일 시스템의 유형을 선택하는 것은 시스템 성능과 안정성에 중요한 영향을 미칩니다. 이번 글에서는 리눅스 설치 과정에서 자주 접하게 되는 파일 시스템 옵션, 저널링의 역할, 그리고 각 파일 시스템의 특징과 활용 예시를 정리해보겠습니다.1. BIOS BootBIOS 기반 시스템에서 사용되는 부트 로더 관련 파티션입니다.보통 1MB 크기로 설정되며, UEFI 시스템에서는 사용되지 않습니다.예시:구형 PC에 리눅스를 설치할 때 사용됩니다.2. ext2리눅스에서 사용되던 초기 파일 시스템입니다.저널링 기능이 없기 때문에 데이터 복구가 어렵지만, 간단한 저장 장치에서는 유용합니다.예시:오래된 플래시 메모리나 SD 카드에 적합합니다.3. 저널링: 파일 시스템 데이터 복구의 핵..

네트워크 계층 구조와 보안 존 쉽게 이해하기 서론1. 네트워크가 중요한 이유우리는 매일 인터넷을 사용합니다. 스마트폰으로 검색을 하거나, 회사에서 이메일을 보내거나, 집에서 동영상을 보는 것도 모두 네트워크 덕분입니다. 하지만, 이 네트워크가 어떻게 연결되고, 어떤 구조로 운영되는지 이해하는 사람은 많지 않습니다.네트워크는 단순한 선 연결이 아닙니다. 원활한 데이터 흐름과 보안을 유지하기 위해 여러 계층(Layer) 으로 나누어져 있고, 보안 존(Security Zone) 을 통해 안전하게 보호됩니다.이 글에서는 네트워크가 어떻게 구성되는지, 보안은 어떻게 적용되는지 쉽게 설명해 보겠습니다.본론1. 네트워크 계층이란?네트워크는 마치 도로 시스템과 같습니다.Access Layer(접속 계층) → 동네 골목..

SIEM-SOAR과 함께 EGRC, SOC 이해하기1. 서론보안 환경이 복잡해지면서 기업들은 **SIEM(Security Information and Event Management)**과 **SOAR(Security Orchestration, Automation, and Response)**를 활용해 보안 이벤트를 감시하고 자동화된 대응을 수행하고 있습니다.하지만 현재 효과적인 보안 운영을 위해서는 **EGRC(Enterprise Governance, Risk, and Compliance)**와 **SOC(Security Operations Center)**를 통해 전략적인 구조가 필요합니다.이 글에서는, 이들의 활용 방안과 역할을 간단히 살펴보려고 합니다.2. SIEM과 SOAR의 차이▪ SIEM: 보..