VoidNoble IT Zone

기본 지식오픈소스 보안 솔루션분산형 - 다중 서버에서 IP 차단 및 허용 규칙 공유fail2ban의 단일서버 커버리지 단점의 대안에이전트-커맨드센터 구성으로, 여러 서버들의 위협 감지를 한곳에서 가능하게구성요소Collection파서 + 시나리오 + 포스트 오버플로우 묶음Crowdsec Hub에서 다양한 컬렉션을 찾아 설치 가능.파서 (Parsers): Fail2ban의 패턴 매칭과 유사하게 로그 파일을 필터링하는 역할을 합니다. SSH 서비스의 경우, 실패한 로그인 시도만 골라내는 식입니다.시나리오 (Scenarios): 특정한 상황을 나타내는 임계값 역할을 합니다. 예를 들어 SSH 서비스에서 60초 동안 10번의 로그인 실패가 있을 경우, 무차별 대입 공격으로 간주하는 시나리오를 설정할 수 있습니다...

"개발용으로 셋팅하는데 귀찮으니 안해야지"라는 생각을 가지면 오만임.운영레벨로 승격하지 않은 개발이나 스테이징 서버에서 알수없는 트래픽과 CPU 스파이크를 경험하게 될 것이고 웹서버 액세스 로그를 보면 해킹 스캔 기록이 엄청나게 발생하는것을 목도하게 될 것.Ubuntu OS 기반에 Nginx 웹서버 선택하여 진행함.설정 요소들Nginx 웹서버, WAF, UFW 방화벽, Fail2Ban, Ubuntu 자동 업데이트Nginx 가상호스트 설정http { #...... # Declare 단일 클라이언트 ip 주소의 모든 페이지에 대해 1초에 5건의 요청 처리로 제한 limit_req_zone $binary_remote_addr zone=badbot:10m rate=10r/s; limit_r..

Nginx 웹프록시를 주로 사용하는데 AWS에서 PoC 운영중이던 서비스를 비용 절감 위해 오라클 클라우드 무료 서버로 옮기고 Whatap 모니터링 걸어놓고 놔뒀는데 트래픽이 없을게 확실한 서버에서 이상하게도 CPU 로드 Whatap Alert이 간간히 발생하여 Nginx access 로그를 확인해보니 해커 스캔봇이 열심히 활동하여 쓸데없고 보안에 해로운 트래픽을 유발시키고 있었음. 하여, WAF(웹어플리케이션 방화벽) 도입을 검토하게 되었고 리서치 후 사용 비용이 없는 Modsecurity로 결정.Modsecurity를 Apache 웹서버는 매우 쉽게 붙일 수 있는데 그에 비해 Nginx는 번거롭고 정리된 최근 레퍼런스 너무 없음.Nginx + Modsecurity 조합을 로컬 개발 환경인 macOS에..

Nginx access.log 확인 해서 .env 또는 .git 등 해커의 스캔 기록 있다면 반드시 적용을 권장함.SafeLine GitHub - chaitin/SafeLine: SafeLine is a self-hosted WAF(Web Application Firewall) / reverse proxy to protect your web apps fromSafeLine is a self-hosted WAF(Web Application Firewall) / reverse proxy to protect your web apps from attacks and exploits. - chaitin/SafeLinegithub.comGithub Star: 16.6K (2025-05 기준)중국인 메인테이너홈페이지,..