Gallery

SecureLink

Project

신입교육

Working Diary

TrubleShootingandTips

Explore

12002023

12142023 ~

김준성

Last edited 81 days ago by 김준성

기술 유출 방지 사업 사업장과 동일한 환경 제작 연습을 하기 위해

필요한 환경 정보를 전달드립니다.

기술유출방지 서버환경 구축

파일위치:

"\\192.168.0.42\alpha\0204. 이정호\20231213\web_backup-20231212_2330.tar"

1. 웹 서비스 포팅

rk, spk, fb, tw 서버 포팅

enterprise으로 setup 진행

ㄴ 고유의 개인 사업장을 생성 이후 진행.

spk 포트 변경: 15500

웹서비스 포팅 관련 링크

⁠

Installation CentOS Server⁠

⁠

1.1 Filebridge 설정

계정생성(filebridge 용):

id: filebridge

pw: securelink123!@#

데이터 저장을 하기 위한 폴더 생성.

/home/filebridge/data1

/home/filebridge/data2

/home/filebridge/data3

/home/filebridge/data4

data 폴더 사용 권한 변경 ( filebridge:filebridge 700 )으로 변경.

chmod -R 700 /home/filebridge/data{1..4}

chown filebridge:filebridge /home/filebridge/data{1..4}

vm에서 드라이브를 추가 이후, data로 마운트 진행.

vm으로 부터 새로 추가한 스토리지 찾기.

VMware에서 추가로 넣은 스토리지 디바이스 이름 확인

⁠

/dev/안에서 nvme*로찾아서 용량에 맞는 스토리지를 찾기

⁠

포맷이 먼저 작업된후 마운트가 가능

sudo mkfs.ext4 /dev/nvme0n{1..4}

특정 폴더에 연결된 스토리지를 연결

df -h 명령어를 통해 연결된 스토리지와 폴더 패스를 확인

⁠

1.2. 인증서 생성.

인증서 위치

\\192.168.0.42\alpha\0200.지원팀\3001. 서버 인증서

워터마크 활성화 및 나머지는 비활성화로 진행.

rk, fb는 연동.

라이선스 수는 30명으로 진행.

암호화[Encryption]

[회사ID]_cert.txt 파일에서 모든 설정을 마치면 해당 파일이 있는 곳에서 프롬프트(파워쉘이 아닌 CMD어야만 실행 가능)를 열고 아래와 같이 명령을 내려 실행시킵니다.

⁠

제대로 실행이 이루어 졌다면 파인더 창에는 텍스트 파일명과 같은 이름으로 .dat파일이 생성된다.

⁠

FileZila로 Sever에서 /home/alpha/web/smart_spk/webapp/ROOT/setup/cert/로 이동하여서 위에서 생성한 dat파일을 옮긴다.

/smart_spk/ —→ 이부분은 서비스만 다르지 나머지 경로는 다 같다.

e.g. [ /home/alpha/web/smart_rk/webapp/ROOT/setup/cert/ ]

⁠

서버를 /setup.jsp로 들어가서 DB를 초기화 시킨다.

서버설정 > 기본설정 > 서버 정보 > 서버유형 에서 Enterprise를 선택하고 OEM ID 를 DLIVE입력하고 ‘인증 설정’ 탭으로 이동합니다.

⁠

오른쪽 아래 ‘설정저장’을 클릭합니다. 대표사업장 ID에서 아까 dat파일시 넣었던 companyNickname을 입력합니다.

⁠

그리고 오른쪽에 ‘인증 정보 확인’을 클릭하면 화면에’인증서 정보’가 화면에 표시 됩니다.

[Decryption] aescrypt -d -p HJ -o HJ_cert.txt HJ_cert.dat

1.3. 서버 기본 설정 변경

대상 파일

/home/alpha/web/smart_[service name]/webapps/ROOT/WEB-INF/web.xml

e.g.

display_categolized_treeview: true

생성시 카테고리 아래에 사업장을 위치시킬지 여부

⁠

enable_search_in_treeview: true

대상 사용자 선택시(공지 대상, 강제검사 대상, 예약검사 대상, 결재자 대상, 문서보안 정책 대상) 사용자 검색 기능 사용 여부.

true: 검색 기능 사용 O, false: 검색 기능 사용 X

⁠

create_reduced_monthly_report: false

월 리포트 생성시 간략 생성 여부 (사용자가 많은 경우 간략 생성하도록 설정)

true: 간략 생성 O, false: 간략 생성 X

⁠

activate_user_synchronization: true

사용자 동기화 기능 사용 여부

true: 사용자 동기화 기능 사용 O, false: 사용자 동기화 기능 사용 X

⁠

activate_approbator_synchronization: false

결재자 동기화 기능 사용 여부 (신한은행만 사용)

true: 결재자 동기화 기능 사용 O, false: 결재자 동기화 기능 사용 X

⁠

scheduler: 올바른 포트로 변경.

위치: /ROOT/WEB-INF/classes/com/spk/scheduler/conf/quartz_data.xml

포트 설정: 실행 시킨 웹서버의 포트와 동일 하도록 수정

ApprobatorSynchronizerJob scheduler는 신한은행용이므로 신한은행 외 업체 설치인 경우는 삭제

⁠

alliance 페이지 연동 진행.

/home/alpha/web/smart_[service name]/webapps/ROOT/WEB-INF/web.xml

ransomkeeperserver_url, filebridgeserver_url 의 변수값을 현재 사용되고 있는 각각의 서버주소(포트포함)변경.

⁠

웹브라우저에서 다음과 같은 주소로 접속한다.

⁠

1.4. crontab 등록

/home/alpha에 alpha의 권한으로 ‘scrpit’라는 폴더 생성

Filezila도 좋고 scp을 선택해도 좋다 다음의 8개의 파일을 /home/alpha/script/로 복사 또는 이동

Filezila

⁠

scp

⁠

파일 스크립트

spk_healthCheck.sh

rk_healthCheck.sh

fb_healthCheck.sh

tw_healthCheck.sh

spk_pg_backup.sh

rk_pg_backup.sh

fb_pg_backup.sh

src_backup.sh

Rocky Documents Link

⁠

https://docs.rockylinux.org/ko/guides/automation/cron_jobs_howto/⁠

⁠

health check: alpha 권한으로 등록.

구문해석

-e: 새로운 작업을 생성하거나 현재 작업을 편집하기 위해 에디터를 엽니다.

-u alpha: 해당 cron 작업을 "alpha"라는 사용자로 실행하도록 지정합니다.

스케쥴 입력

자동백업: root 권한으로 등록 (root:root, 750 권한 사용)

스케쥴 입력

1.5. automount 설정

설정하기전 스토리지의 각각의 UUID 정보를 확보하자.

root로 접속

filebridge 에서 추가한 디스크가 부팅 될 떄 마다 자동으로 mount 되도록 설정 진행.(/etc/fstab에 데이터를 추가함으로써 자동마운트가 되도록 설정해야함.)

vi로 /etc/fstab 파일 열기

⁠

다음과 같이 스트립트를 추가 입력 및 저장을 하고 나옵니다.

2. 클라이언트 설치 및 설정

2.1. 개별 서비스에 대한 UPDATE 및 SETUP

자세한 사항은 다음의 링크에서 확인

⁠

SPK CLIENT UPDATE/ SETUP⁠

⁠

방패모양 아이콘으로 설치되도록 설정. SetupConfig.exe > 설치파일 설정 > 설치 대상 파일리스트 에서 SpkStart.exe를 선택하면 하단의 ‘단축아이콘 > 아이콘’에서 아이콘을 설정 할 수 있다.

⁠

주의사항 : fb는 자동 실행 off로 진행. 메시지 박스 미표시로 진행.

개별 SETUP을 진행중일 때 SetupConfig.exe에서 ‘설치 전/후 작업 > 설치 후 실행 내역’의 리스트에 아무것도 설정 되어 있지 않아야 한다.

⁠

2.2 각 솔루션 별로 올바른 데이터로 변경하여 클라이언트 빌드.

⁠

통합 설치로 진행 0. 통합 > 2.SETUP > SetupConfig.exe실행

⁠

설치순서: fb > spk > rk

⁠

- exe 통합 다운로드 받을 수 있도록 진행.

ㄴ exe 인증을 받은 클라이언트를 업로드 해야함.

3. '주요정보통신기반시설_기술적_취약점_분석ㆍ평가_방법_상세가이드'을 이용한 취약점 진단.

3.1. ssh 포트 3030으로 변경.

sshd_config를 문서편집기로 엽니다.

주석이 된 ‘port=22’를 찾습니다. 추가로 입력해도 되고 기존에 내용을 지워도 무관합니다. ‘port=3030’을 입력후 저장하고 빠져나옵니다.

3.2. selinux을 종료하지 않고 변경해야함.

selinux 정책을 변경

semanage: SELinux 정책을 관리하는 도구입니다.

port: 포트 관리를 위한 서브커맨드입니다.

-a: 추가(add)를 나타내며, 정책에 새로운 포트 규칙을 추가합니다.

-t ssh_port_t: 새로 추가되는 포트를 어떤 SELinux 유형으로 할당할지 지정합니다. 여기서는 SSH 서비스를 나타내는 ssh_port_t로 지정합니다.

-p tcp 3030: 추가할 포트를 지정합니다. 여기서는 TCP 프로토콜을 사용하는 3030 포트를 추가합니다.

sshd 서비스데몬을 재시작합니다.

3.3. 방화벽에서 3030 port를 개방

3030/tcp 열기

방화벽 재시작

열린 포트 재확인

⁠

4. 전체 테스트

설치를 완료한 것을 기반으로

주의사항

서버 리포트 생성 확인.

spk 실행 시, fb가 자동으로 올라오는지 확인.

4.1 서버 리포트 생성

일반적으로 SPK의 포트를 15500로 변경하면 월별리포트가 제대로 생성되지 않는 이슈가 발생

자동

타켓파일: /home/alpha/web/smart_spk/webapps/ROOT/WEB-INF/classes/com/spk/scheduler/conf/

quartz_data.xml⁠

⁠

수동

관련파일: web/smart_spk/webapps/ROOT/job/command.txt

이 밖에도 많은 문서 출력을 위한 커맨드 수록

다음과 같은 주소에 접속

웹페이지에 입력가능한 창이 뜨면 command.txt 에서 필요한 명령어를 복사해 붙여 넣는다. 이때 다음과 같은 부분에는 입력를 주의하자

⁠

COMPANYID : 가급적 직접입력을 하자. 출력에 오류가 생길 수 있다.

SEARCHMONTH: 열람하는 기록의 시간을 정의 한다. 반드시 ‘YYYY-MM’형식으로 입력하자.

⁠

모든 입력을 마치면 창 왼쪽 아래에서 ‘보내기’를 클릭. 다음과 같은 결과 창을 얻을 수 있다.

⁠

또한 웹서버에(http://[Server IP]:[Port]/login/sa_login으로 접속후 as_admin으로 접속하게 되면 ‘리포트’ 섹션에서 리포트 출력한 내역을 열람할수 있다. 이번에는 ‘월별 리포트 생성’ ‘리포트 > 보안정책 현황 > 에서 확인할 수 있었다.