[컨테이너] 경량화 컨테이너 인프라 정리

1. 개요

경량화 된 컨테이너의 경우 일반적인 서버 인프라진단과 상이한 점이 여럿 존재해 기록해두고 추후에 참고하고자함.

틀린내용이 있다면 감사히 피드백 받겠습니다

 

※ 해당 내용은 본인이 진단했던 지극히 단편적인 경험에 의존하여 작성하는 것이므로 오직 참고용으로 활용 권고

 

2. 특이사항 정리

2.1 CLI를 통한 접근

경량화 된 컨테이너의 경우 ssh나 telnet 과 같은 console 접근이 아니라 CLI를 통해 접근한다. 이는 기존에 온프라미스 EC2 서버 처럼 ID/PW를 입력하고 접근하는게 아니며 따로 인증 절차가 없다. SSH나 TELNET 서비스 설치가 불가한 것은 아니나, 설치했을때 설정이 굉장히 복잡한 구조라서 보통 사용하지 않는다.

 

서버 접근 방식은 다음과 같다

온프라미스 서버 접근 > CLI를 통한 컨테이너 접근

따라서 보안상 비밀번호 복잡성 설정을 해야할 경우, 컨테이너를 올려둔 서버에 설정되어있는지 확인하는게 필요하다. (컨테이너를 구동하는 ec2 서버에 패스워드 복잡성이 설정되어있어야한다.) 그리고 따로 PW를 설정하지 않으므로 shadow 파일도 없다.

 

※ 인프라진단 관련 항목 :U-02 패스워드 복잡성 설정 , U-08 /etc/shadow 파일 소유자 및 권한 설정

 

2.2 로그 기록 관리

위에서 말했듯이 따로 ID/PW를 입력해서 들어오는게 아니다 보니까 시큐어로그나 접근로그같은게 따로 없다. 대부분은 어플리케이션 로그가 많다. 따라서 보안상 로그를 관리하려면 컨테이너를 구동하고 있는 온프라미스 서버 로그 기록을 확인하는게 맞다. syslog.conf 파일의 경우 설정 자체가 의미가 없어서 해당사항이 없다고 판단했다.

 

※ 인프라진단 관련 항목 :U-11 /etc/syslog.conf 파일 소유자 및 권한 설정, U-43 로그의 정기적 검토 및 보고, U-72 정책에 따른 시스템 로깅 설정 

항목 작성 내용 :  CLI로 접근하는 경량화된 OS이므로 접근 기록에 대해 따로 로그를 관리할 수 없으나, 컨테이너를 구동하는 ec2서버에서 접속 로그에 대해 정기적 검토 혹은 기록 수립을 수행해야한다.

 

2.3 서비스 관리

2.1에서 설명했듯이 특정 서비스를 사용하려면 네트워크 단에서 굉장히 복잡한 설정이 필요하다. 따라서 설치해서 사용해야하는 서비스를 사용하지않는 경우가 보통이다. 하지만 추후에 모종의 이유로 서비스를 사용하게 될 경우 보안 진단이 필요하다. 

 

※ 인프라진단 관련 항목 : U-10 /etc/(x)inetd.conf 파일 소유자 및 건한 설정 , U-12 /etc/service 파일 소유자 및 권한 설정, U-17 $HOME /rhosts,hosts.eqiv 사용 금지, U-19 Finger 서비스 비활성화, U-22 cron 파일 소유자 및 권한 설정, U-23 DoS공격에 취약한 서비스 비활성화, U-28 NIS 서비TM WJARJA, U-29 tftp,talk 서비스 비활성화, U-65 at 파일 소유자 및 권한 설정

항목 작성 내용 : 경량화된 OS로 해당 서비스를 사용하지않는다.

 

2.4 환경 설정 파일 존재하지않음

사용자, 시스템 시작파일 및 환경파일이 존재하지않는다. 그래서 확인할 것도 없다

 

※ 인프라진단 관련 항목 :U-14 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정