(푸념) esxi 털리고, 이번엔 centos7 털렸습니다.

쓰기

[VMWare] (푸념) esxi 털리고, 이번엔 centos7 털렸습니다.

2015-05

2015-05-10 02:05:42

조회 13970 추천 1

새삼 윈도우 서버가 단단한 거란게 느껴지네요...
윈도우 (2003 사용) 는 지난 7년간 서버가 털려서 다시 깔고 이런게 없었거든요.
그도 그럴게 윈도우는 세계 어디선가 한군데가 털리면 그 패턴이 ms 로 전송되서 보안 패치가 바로 나와서 자동 update 되니까..

그에비해 linux 는 업데이트도 느리고..
뭐 아무튼, 윈도우 보다 linux 보안이 허술하다 느꼈네요.
root 가 털린건 아닌데... 시스템을 파괴시키는 어떤 방법이 있나 봅니다.
포트도 dns, 80 정도 밖에는 오픈을 안했는데..

esxi 는 한번 털리고, 완벽하게 막았는데...

센토스 복구는 또 어떻게 하는건지..
이거 복구 하는 시간에 새로 까는게 빠를거 같네요..

센토스도 방화벽이 있었는데..
앞단에는 방화벽 전용 os 가 필요할거 같단 생각입니다..
그리고 방화벽도 이중으로 둬서 하나 뚫으면 바로 경보가 오게 해야 할라나요.
다른 분들은 방화벽 어떤식 으로 쓰시는지 궁금하네요.



회원K 2015-05 80이면 웹서버에서 털린 것 같은데, 보안취약점을 이용해서 바이러스를 침투시키기 때문에 웹 페이지 제작에 신경을 써야 합니다. 리눅스 보안이 약한 것은 없고, 이런류의 해킹은 윈도가 더 심각합니다. 리눅스는 보안 issue가 나오면 바로 패치가 진행되고, yum으로 자동 업데이트 가능 합니다. 80이면 웹서버에서 털린 것 같은데, 보안취약점을 이용해서 바이러스를 침투시키기 때문에 웹 페이지 제작에 신경을 써야 합니다. 리눅스 보안이 약한 것은 없고, 이런류의 해킹은 윈도가 더 심각합니다. 리눅스는 보안 issue가 나오면 바로 패치가 진행되고, yum으로 자동 업데이트 가능 합니다.



빈이79 2015-05 +1 +1



NGC 2015-05 +1 +1



stone92 2015-05 단순히 DNS,HTTP 포트만 오픈했는데 보안사고가 났다면 회원K 님이 말씀하신대로 그것은 OS를 탓할것이 아니라 웹어플리케이션의 문제 입니다. 이 부분은 방화벽을 2중,3중으로,100중으로 구성을 하더라도 서비스가 오픈되어있는 한 계속 뚫릴 수 밖에 없습니다. 수많은 방화벽OS들이 리눅스 기반으로 구성이 되어있는 것을 아시는지요? 또한 그런 OS들이 사용하는 방화벽프로그램이 iptables 기반이라는것을 아신다면..또한 CentOS의 기본방화벽과 같다는것을 아신다면 함부로 리눅스의 보안이 취약하다는 말씀을 못하셨을 겁니다. 10년 이상 리눅스를 사용해봤고 현재도 리눅스 계열의 OS 와 windows server들을 만지고 있지만 자신의 경험만으로 OS 의 보안을 비교 운운하는 것은 지나친 비약입니다. OS의 출발점부터 다른 OS들 입니다. 최소한 제가 알기로는 보안패치에 대한 부분은 윈도우보다는 리눅스가 훨씬 빠릅니다. 윈도우의 보안패치들은 나름의 검증 과정을 다 거치고 배포되는 것이라 리눅스보다 빠를 수 없습니다. 침해사고가 나면 패턴이 MS로 전송이 된다는 말이 정녕 사실인가요? 사용자의 허락도 없이?? 단순히 DNS,HTTP 포트만 오픈했는데 보안사고가 났다면 회원K 님이 말씀하신대로 그것은 OS를 탓할것이 아니라 웹어플리케이션의 문제 입니다. 이 부분은 방화벽을 2중,3중으로,100중으로 구성을 하더라도 서비스가 오픈되어있는 한 계속 뚫릴 수 밖에 없습니다. 수많은 방화벽OS들이 리눅스 기반으로 구성이 되어있는 것을 아시는지요? 또한 그런 OS들이 사용하는 방화벽프로그램이 iptables 기반이라는것을 아신다면..또한 CentOS의 기본방화벽과 같다는것을 아신다면 함부로 리눅스의 보안이 취약하다는 말씀을 못하셨을 겁니다. 10년 이상 리눅스를 사용해봤고 현재도 리눅스 계열의 OS 와 windows server들을 만지고 있지만 자신의 경험만으로 OS 의 보안을 비교 운운하는 것은 지나친 비약입니다. OS의 출발점부터 다른 OS들 입니다. 최소한 제가 알기로는 보안패치에 대한 부분은 윈도우보다는 리눅스가 훨씬 빠릅니다. 윈도우의 보안패치들은 나름의 검증 과정을 다 거치고 배포되는 것이라 리눅스보다 빠를 수 없습니다. 침해사고가 나면 패턴이 MS로 전송이 된다는 말이 정녕 사실인가요? 사용자의 허락도 없이??



소년시대 2015-05 CentOS7 암호 복잡성 충족만 잘해줘도 뚫는데에 엄청난 시간이 걸릴겁니다. 글구 업뎃이 자주되기때문에 시간나는대로 업뎃 자주 해주고 시스템에서 root 에게 전달해주는 메일 확인만 잘해줘도 공격받고있는지 아닌지 시스템 상황을 쉽게 알수있습니다. 이런 말이 있죠 - "게으른 관리자에게 보안이란 없다" CentOS7 암호 복잡성 충족만 잘해줘도 뚫는데에 엄청난 시간이 걸릴겁니다. 글구 업뎃이 자주되기때문에 시간나는대로 업뎃 자주 해주고 시스템에서 root 에게 전달해주는 메일 확인만 잘해줘도 공격받고있는지 아닌지 시스템 상황을 쉽게 알수있습니다. 이런 말이 있죠 - "게으른 관리자에게 보안이란 없다"



Inbusiness 2015-05 ESXi는 Linux와는 전혀 다릅니다. 32MB 크기의 마이크로커널 기반이며 Linux보다 훨신 적은 노출 영역을 가지고 있습니다. 허나 각종 서비스들이 서로 통신을 하기 위한 포트가 즐비한지라 그런 관리용_서비스 포트들은 기본적으로 몽땅 묶어서 최소한 VLAN으로 겪리를 시켜야 합니다. 물론 ESXi 자체도 Firewall이 있으므로 관리를 해주셔야 하구요... http(80)과 같은 경우에는 웹 서버 제작 시 다른 회원님들이 말씀하여 주신 것과 같이 보안쪽도 신경써서 구축해야 하며 DNS의 경우 DNSSEC과 같은 방법으로 처리를 하여 주셔야 합니다. 그런면에서 Linux에 비해 늦게 지원하기 시작했지만 Windows Server 2012 R2의 경우 참 좋았던 경험이 있었습니다. 제가 관리자라면 vSphere의 경우 절대적으로 update 적용과 기본적으로 필요한 관리용 + 서비스 포트는 밀봉해 버릴것이며 Windows Server의 경우 Windows Server 2012 R2 미만은 호스트용도로는 사용 금지 시킬겁니다. ESXi는 Linux와는 전혀 다릅니다. 32MB 크기의 마이크로커널 기반이며 Linux보다 훨신 적은 노출 영역을 가지고 있습니다. 허나 각종 서비스들이 서로 통신을 하기 위한 포트가 즐비한지라 그런 관리용_서비스 포트들은 기본적으로 몽땅 묶어서 최소한 VLAN으로 겪리를 시켜야 합니다. 물론 ESXi 자체도 Firewall이 있으므로 관리를 해주셔야 하구요... http(80)과 같은 경우에는 웹 서버 제작 시 다른 회원님들이 말씀하여 주신 것과 같이 보안쪽도 신경써서 구축해야 하며 DNS의 경우 DNSSEC과 같은 방법으로 처리를 하여 주셔야 합니다. 그런면에서 Linux에 비해 늦게 지원하기 시작했지만 Windows Server 2012 R2의 경우 참 좋았던 경험이 있었습니다. 제가 관리자라면 vSphere의 경우 절대적으로 update 적용과 기본적으로 필요한 관리용 + 서비스 포트는 밀봉해 버릴것이며 Windows Server의 경우 Windows Server 2012 R2 미만은 호스트용도로는 사용 금지 시킬겁니다.



파닥파닥 2015-05 애시당초 vSphere 가 외부망에 열린 (공인 IP를 가지고 있는) 구성 자체가 위험합니다. 게스트 OS 로 vpn 구성해서 그걸 통해서 vSphere 에 접근하는 등의 방법으로라도 격리시켰으면 피해범위가 좀 덜하지 않았을까 합니다. 그리고 보안사고 발생시 해당 OS를 복구한다(재설치 없이)는 것 보다는 재설치가 맞습니다. 재 구성후 침해경로에 대한 조치가 이행되어야 해당 사고의 재발을 막을 수 있습나다. 애시당초 vSphere 가 외부망에 열린 (공인 IP를 가지고 있는) 구성 자체가 위험합니다. 게스트 OS 로 vpn 구성해서 그걸 통해서 vSphere 에 접근하는 등의 방법으로라도 격리시켰으면 피해범위가 좀 덜하지 않았을까 합니다. 그리고 보안사고 발생시 해당 OS를 복구한다(재설치 없이)는 것 보다는 재설치가 맞습니다. 재 구성후 침해경로에 대한 조치가 이행되어야 해당 사고의 재발을 막을 수 있습나다.



Ryan 2015-05 80 어플리케이션은 문제가 아닌듯 합니다. 왜냐면, 뚫린 피씨는 apache 만 있고 어플리케이션이 없어서 그 무엇도 실행이 불가능 합니다. apache 에서 내부 포트로 통신을 해서 다른 192.* OS 로 80 호출을 보내서 결과만 받아 오거든요. 뭔가 OS 상의 결함을 이용해서 뚫렸다는 느낌입니다... (스택을 넘치게 해서 root 를 따오는 식의 공격법도 어디서 본거 같은데 이런 식으로 말이죠.) 일단 SSH 를 외부망에서 네트워크 레벨에서 DENY:ALL 했으니 추이를 지켜봐야 할거 같습니다.. 80 어플리케이션은 문제가 아닌듯 합니다. 왜냐면, 뚫린 피씨는 apache 만 있고 어플리케이션이 없어서 그 무엇도 실행이 불가능 합니다. apache 에서 내부 포트로 통신을 해서 다른 192.* OS 로 80 호출을 보내서 결과만 받아 오거든요. 뭔가 OS 상의 결함을 이용해서 뚫렸다는 느낌입니다... (스택을 넘치게 해서 root 를 따오는 식의 공격법도 어디서 본거 같은데 이런 식으로 말이죠.) 일단 SSH 를 외부망에서 네트워크 레벨에서 DENY:ALL 했으니 추이를 지켜봐야 할거 같습니다..



빈이79 2015-05 최근 Apache 만으로 해킹 당한 업체 사례가 있었습니다. Apache 를 직접 컴파일하여 설치했는데, Apache cgi 관련 취약점을 통해 해킹 당한 케이스였죠. 직접 컴파일 설치하다보니, CentOS 자체의 apache 보안 업데이트로는 해결이 안된 거죠. 물론 같은 케이스는 아니겠지만, 위에 댓글 달아주신 분들이 왜 80번 포트를 많이 언급하는지 한번 고민해볼 필요는 있을 것 같습니다. 최근 Apache 만으로 해킹 당한 업체 사례가 있었습니다. Apache 를 직접 컴파일하여 설치했는데, Apache cgi 관련 취약점을 통해 해킹 당한 케이스였죠. 직접 컴파일 설치하다보니, CentOS 자체의 apache 보안 업데이트로는 해결이 안된 거죠. 물론 같은 케이스는 아니겠지만, 위에 댓글 달아주신 분들이 왜 80번 포트를 많이 언급하는지 한번 고민해볼 필요는 있을 것 같습니다.



Ryan 2015-05 cgi 진짜 옛날 기술인데.. 해킹당했다면 apache 1.* 대 버전으로 추정되네요... 80 포트에 쓰고 있는 was는 cross site scripting 공격을 막아놔야 할거 같네요. cgi 진짜 옛날 기술인데.. 해킹당했다면 apache 1.* 대 버전으로 추정되네요... 80 포트에 쓰고 있는 was는 cross site scripting 공격을 막아놔야 할거 같네요.



소푸 2015-05 최근 BASH 보안이슈를 통한 공격이 많습니다. 80포트를 통해서도 BASH 공격이 가능하니 로그를 분석해 보십시오. 아파치는 기본패치만 잘해줘도 큰 문제는 없습니다. 다만 모듈 사용과 설정에 따라 위험천만한 상황이 만들어질 수 있습니다. 최근 BASH 보안이슈를 통한 공격이 많습니다. 80포트를 통해서도 BASH 공격이 가능하니 로그를 분석해 보십시오. 아파치는 기본패치만 잘해줘도 큰 문제는 없습니다. 다만 모듈 사용과 설정에 따라 위험천만한 상황이 만들어질 수 있습니다.



Ryan 2015-05 apache 를 yum 으로 깔아줬는데, centos 자동업데이트 걸어 놓으면 보안패치는 자동으로 되겠죠 ?? apache 를 yum 으로 깔아줬는데, centos 자동업데이트 걸어 놓으면 보안패치는 자동으로 되겠죠 ??



홍o반o장 2015-05 ssh 서비스도 openssh 라는 어플리케이션입니다. 수많은 해킹들의 대부분은 운영체재와 같이 배포돼는 어플리케이션의 취약점을 사용 합니다. 어플리케이션의 취약점에 의한 공격은 운영제체와 관계없이 모든 서비스관리자의 고민입니다. 무슨 리눅스 패키지를 썻는지? 배포버젼이 최신인지? 등도 알려주지 않으시고... 제경험에는 리눅스가 윈도우 보다 구려요.! 라고 말하시면 2cpu 전문가분들의 도움보다는 어그로만 끌어 올리시게 됍니다. ssh 서비스도 openssh 라는 어플리케이션입니다. 수많은 해킹들의 대부분은 운영체재와 같이 배포돼는 어플리케이션의 취약점을 사용 합니다. 어플리케이션의 취약점에 의한 공격은 운영제체와 관계없이 모든 서비스관리자의 고민입니다. 무슨 리눅스 패키지를 썻는지? 배포버젼이 최신인지? 등도 알려주지 않으시고... 제경험에는 리눅스가 윈도우 보다 구려요.! 라고 말하시면 2cpu 전문가분들의 도움보다는 어그로만 끌어 올리시게 됍니다.



Ryan 2015-05 저는 윈도우, linux, unix 셋다 즐겨 씁니다. 그냥 제 경험담을 얘기한 거고요... 사람마다 생각이나 경험 주관 감정도 다 다른법이고요. 리눅스 찬양할수도 있고, 깔수도 있는거죠... 그리고, 전 구리다고는 안했습니다. ^^ 제가 하지 않은 말을 덧붙이지 말아주셨으면.. 다양하게 생각이 다른 사람들끼리 커뮤니티를 형성하고. 살다보면 도움을 주기도 하고 받기도 하는거죠 뭐. 자연스러운 겁니다. ^^ 저는 윈도우, linux, unix 셋다 즐겨 씁니다. 그냥 제 경험담을 얘기한 거고요... 사람마다 생각이나 경험 주관 감정도 다 다른법이고요. 리눅스 찬양할수도 있고, 깔수도 있는거죠... 그리고, 전 구리다고는 안했습니다. ^^ 제가 하지 않은 말을 덧붙이지 말아주셨으면.. 다양하게 생각이 다른 사람들끼리 커뮤니티를 형성하고. 살다보면 도움을 주기도 하고 받기도 하는거죠 뭐. 자연스러운 겁니다. ^^



kmc200000 2015-07 어플리케이션 취약점 + WAS 설정 오류네요.. 뭘 쓰시는지 모르겠으나 패키지 관리자로 설치하는 WAS들의 기본 설정으로 production하시면 매우 위험합니다. 시큐어 코딩... 많이들 강조하지만 귀찮아서 L4 방화벽을 도입하지요.. (제 생각엔 프로그래머의 역량 부족이라고 봅니다만..) 어플리케이션 취약점 + WAS 설정 오류네요.. 뭘 쓰시는지 모르겠으나 패키지 관리자로 설치하는 WAS들의 기본 설정으로 production하시면 매우 위험합니다. 시큐어 코딩... 많이들 강조하지만 귀찮아서 L4 방화벽을 도입하지요.. (제 생각엔 프로그래머의 역량 부족이라고 봅니다만..)

로그인 하시면 댓글을 남길 수 있습니다

쓰기

가상화

쓰기

104/130

번호	제목Page 104/130	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1772886	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1772886 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (737)	정은준1	2014-05	5247581	0
[필독] 처음 오시는 분을 위한 안내 (737) 2014-05 5247581 1 정은준1
528	(VMWare) 외장 그래픽카드와 내장 그래픽카드를 동시에 패스쓰루할 … (1)	스린	2018-06	11502	0
(VMWare) 외장 그래픽카드와 내장 그래픽카드를 동… (1) 2018-06 11502 1 스린
527	(VMWare) vCenter web client 6.0 크롬에서 한글깨짐	캔위드	2016-02	11504	0
(VMWare) vCenter web client 6.0 크롬에서 한글깨짐 2016-02 11504 1 캔위드
526	(Hyper-V) Windows 10 Pro for Workstation Hyper-V 활성화 문제 (2)	Zerr	2023-08	11509	0
(Hyper-V) Windows 10 Pro for Workstation Hyper-V … (2) 2023-08 11509 1 Zerr
525	(VMWare) ASMedia ASM1061 칩셋 지원하나요? (6)	송진홍	2014-02	11526	0
(VMWare) ASMedia ASM1061 칩셋 지원하나요? (6) 2014-02 11526 1 송진홍
524	(VMWare) 5세대 NUC에 ESXi 5.5 설치 (3)	박건	2015-07	11526	3
(VMWare) 5세대 NUC에 ESXi 5.5 설치 (3) 2015-07 11526 1 박건
523	(VMWare) esxi 백업 쉽게 할수 있는 방법을... (5)	귀한녀석	2014-11	11533	3
(VMWare) esxi 백업 쉽게 할수 있는 방법을... (5) 2014-11 11533 1 귀한녀석
522	(VMWare) HP 커스텀 ESXi 6.0 업데이트 후 디스크 IO가 상당히 느려… (4)	EdH	2015-05	11546	2
(VMWare) HP 커스텀 ESXi 6.0 업데이트 후 디스크 I… (4) 2015-05 11546 1 EdH
521	(VMWare) ESXi 198.168.0.* 가상 서브넷 구성하는 방법 공유 좀 부… (10)	민사장	2015-04	11549	1
(VMWare) ESXi 198.168.0.* 가상 서브넷 구성하는 … (10) 2015-04 11549 1 민사장
520	(VMWare) esxi 네트워크 문제 (8)	stone92김경민	2014-05	11551	0
(VMWare) esxi 네트워크 문제 (8) 2014-05 11551 1 stone92김경민
519	(KVM) Vmware -> Proxmox로 마이그레이션을 진행하였습니다. (5)	Andrew	2024-05	11569	0
(KVM) Vmware -> Proxmox로 마이그레이션을 … (5) 2024-05 11569 1 Andrew
518	(VMWare) 메모리 사용률을 유동적으로 하려면 어떻게 해야할까요 ? (9)	Smile	2014-07	11578	1
(VMWare) 메모리 사용률을 유동적으로 하려면 어떻… (9) 2014-07 11578 1 Smile
517	(VMWare) VMWARE PC 사양 몇가지 질문드립니다. (23)	그림일기	2019-01	11592	1
(VMWare) VMWARE PC 사양 몇가지 질문드립니다. (23) 2019-01 11592 1 그림일기
516	(Hyper-V) Windows Server 2012 R2 에서 RemoteFX 활성화 (5)	두시오분	2016-04	11606	0
(Hyper-V) Windows Server 2012 R2 에서 RemoteFX 활… (5) 2016-04 11606 1 두시오분
515	(VMWare) vmware esxi 8.0.1 에서 vmk init 멈춤 (3)	마법사오즈	2023-07	11609	0
(VMWare) vmware esxi 8.0.1 에서 vmk init 멈춤 (3) 2023-07 11609 1 마법사오즈
514	(Xen) 젠서버6.0설치 설치 오류가 납니다. (2)	김승현	2013-12	11609	0
(Xen) 젠서버6.0설치 설치 오류가 납니다. (2) 2013-12 11609 1 김승현
513	(Xen) 제 환경에 젠서버/Hyper-V/VMWare 중 뭐가 적당할까요? (2)	박나린	2022-06	11639	0
(Xen) 제 환경에 젠서버/Hyper-V/VMWare 중 뭐가… (2) 2022-06 11639 1 박나린
512	(VMWare) 잰8에 ESXi 설치를 하려고 합니다.	나라사랑	2017-11	11645	0
(VMWare) 잰8에 ESXi 설치를 하려고 합니다. 2017-11 11645 1 나라사랑
511	(Hyper-V) P코어 E코어를 구분해서 할당이 가능한가요? (2)	꺄울	2022-11	11655	0
(Hyper-V) P코어 E코어를 구분해서 할당이 가능한가… (2) 2022-11 11655 1 꺄울
510	(VMWare) esxi cpu점유율때문에 질문드립니다... (2)	소팔복	2015-02	11656	0
(VMWare) esxi cpu점유율때문에 질문드립니다... (2) 2015-02 11656 1 소팔복
509	(VMWare) 뉴타닉스 장비 esxi 설치 및 패치파일 (1)	토이스토리	2022-10	11672	0
(VMWare) 뉴타닉스 장비 esxi 설치 및 패치파일 (1) 2022-10 11672 1 토이스토리