이제 서버가 5대라서 나 혼자 5대의 서버를 감당하기 버겁다
난 5대중 2대는 보안에 신경써야 할 메일서버, 1대는 데이터의 맛집 데이터베이스이다
이 세개의 서버가 털린다면 나는 당연히 질질 짜면서 팬티에 오줌을 지리게 될것이다 물론 다른 서버들도 중요하지만 제일 중요한건 저 3대가 중요하다
그래서 남아도는 2대의 서버를 활용해서 한번 모니터링을 해볼 생각이다
서버 감시하기
저 3대의 서버를 안전하게 운용할려면 외부로부터 공격을 지켜내야 하고, 공격 발생시 그에 맞는 대응을 해줘야 한다
하지만 내가 24시간 내내 서버를 감시하는것도 아니고, 나의 딴딴한 간을 믿고 밖에서 친구들이랑 술 처 마시고 개 꼴아서 길바닥에서 자고 있다면 더더욱 서버에 신경쓸수가 없다 그래서 보안서버 1대를 지정해서 문제가 생기면 보안서버가 1차적으로 대응을 진행한다
우선 어떤 방법과 기술로 방어해야하는지 알아내야 한다
서버의 시스템이 장악 당할경우는 두가지다
1. 네트워크적인 감염
2. 바이러스로 통한 서버 감염
이 두가지가 대부분이다 저 두가지만 볼때 같은말 같아보이지만 사실 다른 방법이긴 하다
네트워크적인 감염일 경우 같은 네트워크에 연결된 서버들이 위험하겠지만, 각 서버별로 보안이나 백신들이 강하게 있으면 결국 시스템 접근에 실패하게 된다
즉, 집은 어벤져스에 나오는 비브라늄급으로 개 단단하게 되어있다면 결국 도둑은 집에 들어오는걸 포기한다. 그래서 난 길목을 포기하고 집을 선택했다
침입탐지 솔루션, IDS
Intrusion Detection System의 약자로 네트워크 트래픽이나 시스템을 실시간으로 감지한다
이 경우 크게 두가지로 나뉘는 솔루션이 있다
네트워크 중점으로 보는 NIDS(Network Intrusion Detection System)와 각 서버 중점으로 보는 HIDS(Host Intrusion Detection System)이 있다
나는 HIDS를 선택했고 5대중 하나는 보안 대응 하는 보안서버, 나머지 4대를 감시할 예정이다
HIDS솔루션중에서 어떤 솔루션을 사용하냐에 따라 보안이 잘되는지도 달라진다
나는 그 중에서 OSSEC라는 소프트웨어를 사용할거다
OSSEC
OSSEC(Open Source Security Event Correlator)는 오픈소스 기반의 IDS솔루션이다.
IDS중에서 호스트중점으로 보안해주는 HIDS이다 알려진 기능은 로그분석, 파일 무결성 검사, 루트킷 탐지, 실시간 알림 등 다양하다 3대의 서버와 보안 서버에 OSSEC를 설치하면 로그수집과 분석, 파일 무결성검사, 루트킷탐지 등 이런걸 작동하게 해 준다
뿐만 아니라 비정상적인 활동이나, 사용자 규칙(정책)을 만들어서 해당 규칙대로 에이전트들을 감시하고 시스템에서 비정상적인 활동이 감시가 되면 OSSEC솔루션이 규칙기반대로 서버를 안전하게 보안해준다. 뿐만 아니라 각 에이전트의 로그들을 실시간으로 수집해서 그걸 볼수도 있다. 단점은 이런 로그들과 정보들을 수집해도 이런걸 시각화 해서 그래프나 데이터를 그려주는 기능은 제공하지 않는다. 무료로 HIDS를 제공해주는데 대시보드까지 제공해주면 당연히 이치가 안맞지 ㅇㅇ
그래서 총 여러가지 작업을 할거다.
1. 원격 배너를 만들어서 사전 경고 날리기
2. OSSEC 보안 서버가 각 에이전트들의 보안로그, 시스템로그 등 전부 수집하게 하기
3. 로그뿐만 아니라 다른 패키지를 이용해서 CPU, RAM, 디스크 등 리소스자원까지 수집하게 만들기
4. OSSEC로그, 각 서버들의 리소스자원 수집한걸 하나의 서버로 전송하기
5. 전송된 각 데이터들을 외부패키지를 또 써서 대시보드를 만들고, 실시간 모니터링 하기
지금까지는 5번 다 완성된 상태이다.
당연히 총 4대의 서버를 원격 전부 걸어서 작업중이긴 하다
1대는 일단 나중에 해도 상관 없지만 4대를 우선 진행했고 지금은 테스트중인데 나름 만족하게 작동하는거 같다
근데 이 빌어처먹을 OSSEC보안 서버 새끼가 나를 침입자로 생각하고 규칙대로 날 밴 때림 미친거 아님????
서버 관리는 누가 하라고 ;;