해킹공주의 일상

조치 시 영향 일반적인 경우 영향 없음​윈도우는 장비를 드라이버 및 레지스터리리눅스는 파일로 관리한다. 그래서 충돌이 안일어남파일 단위로 장비를 관리하기 때문에 뭍혀가는 악성코드 /dev 디렉터리는 엔지니어들이 잘 안거드림 해커들은 여기다가 장비인듯 숨겨놓음리눅스는 그걸 방지 하기위해 메이져(입력장치, 출력장치 등), 마이너(외부저장, 내부저장 등) 번호를 구분해놓음일반파일은 저장해도 메이져, 마이너 번호가 안붙는다.장비파일들한테만 붙어있는거임 디바이스 파일들은 c나 b가 붙나봄  ​※ 목록 확인할때 b가 아닌 -나 d가 존재할 때 /dev에 존재하지 않는 device파일이라고 취약하다고 봄​brw-rw---- 1 root disk 253, 2 Sep 27 14:52 /dev/dm-2 brw-rw----..

보호되어 있는 글입니다.

서브넷 네트워크를 분리하는 부분 네트워크. 서브넷 마스크에 의해 서브넷을 식별한다. 거대한 네트워크 안에 여러개의 서브넷이 존재한다고 생각하면 된다. 서브넷 마스크 구조 서브넷 마스크는 네트워크 ID와 호스트 ID로 구분된다. 예시로 다음과 같은 서브넷 마스크가 있을 수 있다. 네트워크ID 호스트ID 255.255.255.0 1. 192.168.100.1 2. 192.168.100.2 3. 192.168.200.1 위 IP주소 중에서 1번과 2번은 네트워크 ID 가 같으므로 동일한 서브넷을 갖고 있다고 볼 수 있다. 어디까지 네트워크 ID 영역을 할건지는 서브넷 마스크 마다 다르다. 간단하게 표현하기 위해 호스트 ID를 식별하는 0의 갯수를 /24, /8 이런식으로 작성하기도 한다. 예를 들면 /8은 첫..

개요 공부하다가 헷갈려서 직접해봤다 내용 다음 3개에 파일에 대해 find 명령어를 입력한 결과, 아래와 같은 결과가 도출되었다. 1. 0X000 과 X000의 차이 [ec2-user@ip-172-31-7-142 ~]$ find -perm -04000 ./f4000 ./f6000 [ec2-user@ip-172-31-7-142 ~]$ find -perm -4000 ./f4000 ./f6000 [ec2-user@ip-172-31-7-142 ~]$ find -perm -06000 ./f6000 [ec2-user@ip-172-31-7-142 ~]$ find -perm -6000 ./f6000 [ec2-user@ip-172-31-7-142 ~]$ find -perm 06000 ./f6000 [ec2-user@ip..

진단 내용 PATH 환경변수에 “.” 이 맨 앞이나 중간에 포함되어 있는지 확인. 진단 기준 일단 리눅스와 윈도우의 파일 실행방법에 대해 알아보자. 리눅스, 윈도우 모두 현재 위치에 a.out 파일이 있고, 해당 파일을 실행한다고 가정할때, $ a.out 1. 리눅스 현재 디렉터리가 아닌 PATH 환경변수 경로로 가서 명령어를 실행하기때문에 현재 디렉터리에 a.out 파일이 있더라도 실행되지 않아 command not found 에러가 발생. 이를 실행시키려면 ./a,out 으로 실행해주어야한다. 2. 윈도우 현재 디렉터리를 먼저 찾고, 없으면 환경변수 경로로 가서 명령어를 실행한다. 지금은 현재 디렉터리에 a.out 파일이 존재하기 때문에, 해당 파일을 실행한다. PATH 환경변수 예시는 아래와 같다...

점검 내용 WITH_GRANT_OPTION이라는 옵션을 ROLE(역할) 단위로 부여하는 것이아니라 그냥 USER에게 부여되어있는지 확인하는 항목이다. 해당 옵션은 좀 중요도가 있는 옵션이라 역할 단위로 부여하지 않으면 보안상 문제가 발생할 수 있는 모양이다... WITH_GRANT_OPTION이란? 한마디로 '권한을 주는 권한'이라고 보면 쉽다. 지훈이가 뷰를 만들어 성민이에게 SELECT권한을 준다고 하자. 이때 지훈이가 만든 뷰에 시영이의 테이블이 있을 경우, 성민이는 시영이의 테이블에 대한 권한이 없어 뷰를 볼수가 없다. 이때 필요한게 WITH_GRANT_OPTION이다. 점검 방법 아래와 같이 dba_tab_privs 라는 권한 테이블에서 사용자 및 role , 소유자, 권한이름을 뽑아온다. 그중..

점검 내용 불필요한 NFS 서비스가 사용중인지 확인 점검 기준 불필요한 NFS 관련 데몬이 활성화 되어있는지 확인. 주요 데몬목록 nfsd rpc.mountd에 의해 마운트된 디렉토리에 대해 읽고, 쓰는 작업을 처리 rpc.mountd 클라이언트가 mount 요청 시 /etc/exports 파일 설정에 따라 mount 요청을 처리 rpc.statd lockd와 함께 사용되며 파일 잠금의 해제와 복구를 수행하는 역할 rpc.lockd 파일 lock을 통해 여러 사용자가 한 파일을 수정하는 것을 방지 보통 진단 나가면 아래 두가지 경우로 나뉜다. - nfsd O + 그 이외 프로세스들 O : 정상적으로 NFS 서비스 사용중 - nfsd X + 그 이외 프로세스만 돌고있음 : NFS 서비스를 사용하다가 중지했..

개요 보안장비 항목 확인하는 것 중에서 로그관리를 어떻게 하고있는지 확인하는 항목이 있는데 두 솔루션에 대한 개념이 부족해서 몇자 적어본다... 쉽지않음 ESM & SIEM? 일단 두가지 모두 로그관리 솔루션이다. ESM : 각각 다른 보안 장비의 로그/이벤트를 한번에 관리하는 시스템. 주로 이벤트 위주의 단시간 위협 분석. DBMS 기반 - 특징 : 중앙에서 정책 제어가 가능하지만, 단기간의 이벤트 로그만 기록이 가능하다는 단점이 있다. SIEM :기능상 두개가 차이가 크게 없다. 다만 얘는 빅데이터 수준의 장시간 심층분석이라고 볼 수 있다. - 특징 : 장기간의 데이터도 성능저하없이 수집하고 검색할 수 있는 빅데이터 기반의 통합 로그 수집 시스템 결론 보안관제 업무에서 ESM과 SIEM 을 나누는건 ..