|
|
(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234) |
 백메가 |
2015-12 |
1742662 |
25 |
|
2015-12
1742662
1 백메가
|
|
|
[필독] 처음 오시는 분을 위한 안내 (736) |
정은준1 |
2014-05 |
5211175 |
0 |
|
2014-05
5211175
1 정은준1
|
|
104754 |
esxi에 방화벽이랑 프록시 엔진으로 웹서버 돌려보고 싶습니다. (4) |
행복하세 |
2022-06 |
2251 |
0 |
|
2022-06
2251
1 행복하세
|
|
104753 |
슈퍼 콘덴서 묶음 용도 (23) |
헬로우 |
2023-03 |
2251 |
0 |
|
2023-03
2251
1 헬로우
|
|
104752 |
u.2 ssd 를 갑자기 부팅시 인식을 못합니다. (6) |
무쏘뿔처럼 |
2023-12 |
2251 |
0 |
|
2023-12
2251
1 무쏘뿔처럼
|
|
104751 |
인텔 엔터프라이즈 ssd 모델명에서 숫자가 이 뜻이 맞나요? (2) |
227skt |
2023-09 |
2251 |
0 |
|
2023-09
2251
1 227skt
|
|
104750 |
서버 SSD가 나간이유가 뭘까요? (19) |
서울강북미… |
2023-06 |
2251 |
0 |
|
2023-06
2251
1 서울강북미…
|
|
104749 |
모니터와 내장그래픽 질문드려요 (1) |
Nicoffeine |
2023-10 |
2251 |
0 |
|
2023-10
2251
1 Nicoffeine
|
|
104748 |
납땜 처음 해보려합니다. 이정도 구매하면 될까요? (26) |
윤하쨔응 |
2022-08 |
2251 |
0 |
|
2022-08
2251
1 윤하쨔응
|
|
104747 |
pfsense에서 DDNS 연결 질문드립니다. (7) |
fLog |
2021-09 |
2252 |
0 |
|
2021-09
2252
1 fLog
|
|
104746 |
Linux (CentOS) 에서 계정별로 인터넷 접근을 불가하게 하고 내부망만 가능하게 할 … (27) |
민사장 |
2023-02 |
2252 |
0 |
|
2023-02
2252
1 민사장
|
|
104745 |
디렉토리만 백업하는 솔루션 없을까요? (6) |
나라뜨 |
2020-04 |
2252 |
0 |
|
2020-04
2252
1 나라뜨
|
|
104744 |
ASUS WS X299 PRO + I7 7820X 메모리 채널 (10) |
2CPU최주희 |
2023-07 |
2252 |
0 |
|
2023-07
2252
1 2CPU최주희
|
|
104743 |
시스코 AP 콘솔 접속 문의 (14) |
polaris86 |
2024-05 |
2252 |
0 |
|
2024-05
2252
1 polaris86
|
|
104742 |
윈도우를 오랜만에 재설치 해봤는데요 재설치는 됩니다 그런데?? 고수님 여러분 도주… (5) |
겉절이 |
2024-08 |
2252 |
0 |
|
2024-08
2252
1 겉절이
|
|
104741 |
Thin ITX ECS H61H-G11 보드의 DC전압은? (3) |
 오성기 |
2022-04 |
2252 |
0 |
|
2022-04
2252
1 오성기
|
|
104740 |
윈도우 10 설치 문의드립니다. (오클라호마주 전자메일 이슈) (10) |
슬루프 |
2023-06 |
2252 |
0 |
|
2023-06
2252
1 슬루프
|
|
104739 |
Dell PERC H330 mini Raid 5 지원여부 (12) |
제온프로 |
2023-01 |
2252 |
0 |
|
2023-01
2252
1 제온프로
|
|
104738 |
esxi 를 ddns 에서 어떻게 불러오나요? (12) |
httpd |
2022-03 |
2253 |
0 |
|
2022-03
2253
1 httpd
|
|
104737 |
AMD 쓰레드리퍼 프로 워크스테이션 구성 추천해주시면 감사하겠습니다 (10) |
GoverZG |
2023-03 |
2253 |
0 |
|
2023-03
2253
1 GoverZG
|
|
104736 |
청년도약계좌 이자 3%면 하시나요?? (5) |
공백기 |
2023-07 |
2253 |
0 |
|
2023-07
2253
1 공백기
|
|
104735 |
케이스 쿨러 저항 연결 문제와 ARCTIC P12 PWM 선 길이 (4) |
 리나 |
2023-05 |
2253 |
0 |
|
2023-05
2253
1 리나
|
인터넷망과 폐쇄망 사이에 Repo 미러 서버를 하나 두시면 됩니다만, 망분리 특성상 외부와의 접점을 최소화하는 것이 좋으므로 rpm 파일을 수동으로 반입하는 것을 권장드립니다.
ESXi 환경에서 게스트가 수십대입니다.
지금 업데이트는 주기적으로 security 업데이트만 자동으로 하게 걸려있습니다.
그런데 일반 계정의 인터넷 접근은 막고 싶은거죠.
RPM 으로 주기적으로 수동으로 하기에는 그건 월급을 받고 회사에서나 할수 있는 일이지 개인이 그렇게 하긴 힘들거든요
(2) 그럼 궁금한게 가령 의존성이 필요할수도 있는데 CentOS Repo 외에 밖으로 허용해야 할 URL 이 생기기도 하지 않나요? 이부분은 제가 잘 몰라서...
사후 지원 측면에서도 그렇구요.
회사라면 당장 그렇게 했죠..
https://sky-h-kim.tistory.com/3
이런것 말씀하시는 걸까요 ?
단점은 관리자가 수시로 갱신분을 다시 교체해놔야 합니다 (대신 커널이나 라이브러리등을 관리자가 원하는 버전이나 원하는 커스텀 버전으로 올려두고 그걸 쓰게 할 수 있습니다)
이외에 클라가 많으면 일일히 저장소 설정 변경하는것도 귀찮습니다 (스크립트로 자동화는 되지만....귀찮은건 변함 없음)
그리고 인터넷 막을려면 NTP같은것도 같이 돌려놔야 합니다
Root로 접근했을때만 공유기에 인터넷 랜케이블을 꼽아서 사용하고 평소엔 빼놓으면 됩니다.
공동 작업시에 외부로 소스코드가 유출된다던가 하면 안되거든요.
제가 왜 이것이 필요한지 설명하려면 엄청나게 긴 설명이 필요해서 이런 설명이 불필요하기도 하고...
네트워크에서 어찌 보면 가장 강력한 방화벽은 랜선을 뽑는 것입니다..
물리적으로 끊어 버리는 것이죠..
물론 불편하고 귀찮을 수는 있습니다..
수익이 없다 뿐이지, 보안은 필요한데, 거기에 과도한 관리시간을 투여하고 싶지는 않은 것입니다.
그냥 일반적인 기업들이 관리하는 방식으로 구현하고 싶은데, 일일히 rpm 을 손으로 깐다던지 하지 않는 최선의 방법을 찾고 있습니다.
/sbin/iptables -A OUTPUT --match owner ! --uid-owner 0 -d 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT --match owner ! --uid-owner 0 -j REJECT
이런식으로 하면 될것같은데 저 match owner 확장이 불안정함니다.
시스템 필수 대몬 ntpd 같은것들도 루트권한으로 돌진 않을테니까 좀 복잡하~지 않을까요?
그런 사소한(?)것들 하나 털린다고 시스템 전체 권한을 뻇길 가능성이 있으니까요
차라리 BPF로 경계조건을 잘 짜넣는게 나을 것 같습니다.
+ 시스템에 필요한 모든 서비스와 관련 계정을 생성한 뒤, 마지막 UID를 넘는 경우 블럭시켜도 좋을 것 같네요.
만일 죄다 해당 권한으로 돌아간다면 보안이 문제되겠죠 (애초에 SELinux같은것 다 수정하던지 꺼야 돌아갈꺼고, 하나 털리면 다 털리는걸 볼 수 있겠네요)
1) 서버들은 모두 외부 인터넷 안 되는 Isolation으로 구성.
2) Isolation 된 서버들을 인터넷 및 Repository를 내부 Proxy Server로 연결 설정.
3) 내부 Proxy Server에서 OS Outbound 방화벽 설정을 함. (개인적으로 Proxy Server는 pfSense와 같은 방화벽 솔루션 사용 하는 것을 권장)
게이트웨이 서버를 2대 추가해서 기간계 폐쇄망, 인터넷 가능망, 사용자 폐쇄망 이런 정도로 분리했습니다.
모두 가상화된 서버들이라 작업은 수월했습니다.