[AWS] Bastion Host 를 활용한 SSH 접근통제 #2

작성자: -

지난 포스팅에서 Bastion Host 를 구성하여 WebServer SSH 에 접근권한을 제어하는 방법에 대하여 알아 보았습니다.

 지난포스팅 보러가기 -> [AWS] Bastion Host 를 활용한 SSH 접근통제 #1 


하지만 지난시간에 적용한 구성은 보안상으로 문제점이 발생합니다.

BastionHost 와 WebServer 가 동일한 인스턴스 접속Key를 사용하기 때문에
BastionHost 가 보안 취약점에 의해 외부에 노출 되는경우  WebServer 도 동시에 영향을 미치게 됩니다.

< 동일한 Instance 접속키 사용에 따라 보안 취약점 발생>


이러한 보안 취약점 해결을 위하여 이번 포스팅에서는
아래 구성과 같이 instance 접속키를 별도로 구성해 보도록 하겠습니다.

<instance 접속키 분리를 통해 보약취약점 제거>


우선 AWS 콘솔로 이동해서 신규 적용할 Key 를 생성하도록 하겠습니다.
EC2 메뉴 좌측에서 Key Pairs 를 선택합니다.
image
기존에 생성한 인스턴스 키 목록이 표출 됩니다.

Create Key Pair 를 클릭하여 신규 Key 를 생성 하겠습니다.
image
Web Server 에 사용할 Key 이름을 설정하고 Create 를 선택 합니다.
“web” 이라는 명칭으로 키를 생성해 보겠습니다.

키가 생성되면 자동으로 web.pem 파일이 다운로드 됩니다.

이제 생성된 key 파일을 이용해 Instance 를 새로 생성 하도록 하겠습니다.
기존 서비스가 운영 중인 경우 동일한 instance 를 활용하기 위해서는 AMI 백업을 진행하고
해다 이미지를 활용해 신규 Instance 를 생성 합니다.

생성 하고자 하는 인스턴스를 선택한 후  image > Create image 메뉴를 선택합니다.
image

생성할 image 이름을 등록합니다.
운영중인 서버라면 “No reboot” 옵션에 체크해야 인스턴스가 재부팅 되지 않습니다.
image


이제 생성된 이미지를 활용해서 새로운 인스턴스를 생성하도록 하겠습니다
EC2 메뉴 좌측 AMIs 를 선택하면
방금 생성한 이미지가 목록에 표출 됩니다.

해당 이미지를 선택하고 Launch 를 선택합니다.
image


기존 인스턴스 생성 과정과 동일하게 Instance 를 생성합니다.
Security 그룹은 기존에 생성한 SG-Web 으로 설정 하도록 하겠습니다.
image


Launch 를 실행하고 Key Pair 선택화면이 나오면 아래와 같이 신규로 생성한
Web.pem 을 선택하면 신규 Key Pair를 사용한 WebServer 가 생성 됩니다.
image

신규 생성된 웹서버를 Web2 라는 이름으로 설정하고 기존 서버는 중지 시키도록 하겠습니다. 
image
Web2 서버의 IP를 기록해 놓습니다.

이제 Bastion host 를 거쳐 Web2 서버에 접속해 보도록 하겠습니다.

Bastion 호스트에 접속후 Web2 서버에 접속을 시도해 보면 아래와 같이 접근이 거부됨을 확인 할수 있습니다.
image

그럼 이제 Pageant 를 활용해서 관리자가 Web 서버에 SSH 접속하는 방법을 확인해 보도록 하겠습니다.

Putty 다운로드 페이지로 이동하여 pageant 를 다운로드 합니다.
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
image

다운로드한 파일을 실행하면 윈도우 알림 표시줄에
아래와 같은 아이콘이 만들어 집니다.
image

해당 아이콘을 더블클릭 하여 Web2 서버 접속에 필요한 web.ppk 파일을 추가합니다.
image

이제 다시 Putty 를 실행하고 Bastion Host 에 접속 합니다.
이때 반드시 Putty 의 SSH Auth 설정에서 아래와 같이
Allow agent fowarding 에  체크를 해야 pageant 에서 등록한 Key pair 를 활용해
Web2 서버에 접속이 가능합니다.
image

이제 BastionHost 에서 Web2 서버에 접속을 시도하면 아래와 같이
정상적으로 서버에 접속되는 것을 확인 할 수 있습니다.
image

좀더 세부적인 보안설정을 위해서는 VPC 설정이 추가로 필요합니다.
VPC 관련해서는 따로 포스팅을 진행하도록 하겠습니다.

댓글

댓글 쓰기

주간 인기글

카드뉴스 마케팅 팁

작성자: -
이미지
아이프렌즈펫의 카드뉴스 최근 SNS에서 가장 핫한 콘텐츠 유형 카드뉴스! 아이프렌즈펫은 현재 홍보 예산을 쓰지 않는 방법으로 인스타그램, 페이스북으로 카드뉴스 콘텐츠 마케팅을 하고 있습니다. 일주일에 1개씩 올리다보니 어느덧 6개월 정도의 시간이 흘렀습니다. 짧은 기간이지만 운영한 경험을 공유하고자 합니다. ㅎㅎ 아이프렌즈펫 페이스북 페이지 >  https://www.facebook.com/ifriendspetpage/ 아이프렌즈펫 인스타그램 >  http://picbear.com/ifriendspet 카드뉴스란? 카드뉴스는 짧은 글과 이미지로 구성된 여러 장의 카드입니다. 단순한 홍보에서부터 언론사까지 다양한 곳에서 활용되고 있는 컨텐츠입니다. 카드뉴스 마케팅의 장점 * 모바일 환경에서 가장 최적화된 콘텐츠 유형이며, * 제작 방법도 다른 홍보 수단에 비해 비교적 간단하고 * 홍보 효과가 빠릅니다. (블로그 - 약 6개월, 카드뉴스 - 3개월) 재미있는 카드뉴스 마케팅 예 옥션 #어서옥션 인스타그램 >  https://www.instagram.com/ebayauction/ 제가 인스타그램에서 가장 재미있게 구경하는 피드 중 하나입니다. 홍보 느낌이 하나도 안나요~ 오레오 #오레오 페이스북 >  http://bit.ly/2gA4MDw 오레오는 제가 마케팅의 ㅁ자도 모를때부터 구경하고 있던 페이스북인데요 과자 하나가지고 이렇게 창의적인 작품들을 꾸준히 업데이트 할 수 있다니 놀랍더라구요 ㅎㅎ 카드뉴스 만들기 1. 주제 선정 카드뉴스를 통해 얻을 목표와 타겟이 명확해야 합니다. 그에 맞춰 전달하려는 정보나 메시지 등을 리서치해서 기획을 하고 제작합니다. 처음 해보시는 분들에게 실패를 줄이기 위한 팁을 드리자면 (여기서 실패란 그냥..묻히는 것 말입니다 ㅠ) 1. 비슷한 주제의 페이스북 페이지 운영하는 곳을 되도
자세한 내용 보기

[ubuntu] 신규 계정에 sudo 권한 추가하기

작성자: -
이미지
NCP 에서 신규 서버를 생성하면  AWS 와는 다르게 root 계정과 패스워드를 발급해 줍니다. 해당 계정정보를 잘 보관한 후 실제 사용할 계정을 생성해서 서버를 관리하게 됩니다. 1. 우선 ubunbu 에서 신규 계정을 생성  합니다. # adduser namsan cs namsan 이라는 계정을 생성하고 패스워드를 설정하였습니다. 2. 신규 생성된 계정으로 전환 후 명령어를 실행해 봅니다. su 명령어를 통해 신규 생성 계정으로 전환 합니다. # su namsan cs sudo 명령어를 실행해 보겠습니다. # sudo date cs “namsan is not in the sudoers file.  This incident will be reported.” cs sudoers file 에 해당계정이 포함 되어있지 않다는 메시지가 출력됩니다. /etc/sudoers 에 신규 계정이 추가 되어 있지 않아 표출되는 에러 메시지 입니다. 다시 root 계정으로 전환하여 sudoers 파일을 수정해보겠습니다. su 명령어를 통해 다시 root 계정으로 전환 합니다. # su root cs 3. vi 명령어를 통해  /etc/sudoers 파일을 편집합니다. # vi /etc/sudoers cs # User privilege specification 항목에 아래와 같이 신규 생성된 계정 정보를 추가합니다. root  ALL=(ALL:ALL) ALL namsan  ALL=(ALL:ALL) ALL cs 이제 신규 생성된 사용자로 전환하여 sudo 명령어 실행 시 정상적으로 작동하는 것을 확인 할 수 있습니다.
자세한 내용 보기

SPA(Sigle Page Applications) 란 무엇인가?

작성자: -
이미지
먼저 SPA (Single Page Application)가 필요한 이유부터 살펴 보면, 단일 페이지 응용 프로그램은 수년간 사용되어 왔지만 일반적인 웹상에서는 찾아보기가 어렵습니다. 그렇지만, 앞으로 많은 웹사이트가 SPA로 개발될 아주 좋은 계기가 있습니다. SPA는 SaaS (Software as a Service) 플랫폼 또는 인터넷 서비스의 상황판 같은 대시보드 부분을 구축하고 기업의 데이터 기반 및 폼 기반 애플리케이션을 구축하기 위해 지난 몇 년 동안 많이 채택되어  왔으며, 추후에 개발될 웹 어플리케이션에서 우선적으로 고려될 것으로 예상되어 집니다. 그러면 Angular2(이하 Angular)로 개발하는 어플리케이션은 SPA로 개발해야 하는 건가요?   처음 Angular2를 접하게 되면 당연히 SPA로 개발 된다고 생각할수 있지만, 다르게 구축할 수도 있습니다. SPA는 단순하게 다음과 같이 정의해 볼 수 있습니다. 1개의 페이지만 있는 어플리케이션 실제 SPA 확인해보고 싶으시면 남도패스 사이트(https://m.namdopass.co.kr)를  방문해보면 알수 있습니다. 하단의 홈/지역별/로그인/남도패스 각각 메뉴를 이동해 보면 실제 하나의 페이지에서 내용만 바뀌는 것을 확인할 수 있습니다. 웹사이트를 둘러보기를 시작하면 페이지가 완전히 다시 로드되지 않는다는 것을 알 수 있습니다. 화면 전환 시마다 REST API 서버를 통해 데이터를 바인딩하고 있습니다. 그럼 SPA 구축 할 때의 장점은 무엇이며 어떻게 작동하는지 살펴보면 남도패스 사이트(https://m.namdopass.co.kr) 첫화면을 소스보기 해보면 다운로드되는 페이지는 첫 번째 요청입니다. 즉, 애플리케이션의 문자 그대로 단일 페이지입니다. 한 가지만 주목하면 이 페이지는 거의 비어 있으며 태그를 제외하고는  많은 것이 없습니다. 이 소스는 실제 Amazon S3 버킷의 정적 호스팅을 통해 전송됩니다. 단일 페이
자세한 내용 보기

[AWS] WinSCP 를 이용해 Linux 인스턴스로 파일 전송하기

작성자: -
이미지
지난 포스팅에서는 Putty 를 활용한 Linux 인스턴스 접속 방법에 대해 알아 보았습니다. 오늘은 이어서  Linux 인스턴스에 파일을 전송할수 있는 WinSCP 활용법에 대해 알아보겠습니다. WinSCP 를 사용하기 위해서는 우선 지난 포스팅에서 Puttygen 을 통해 생성한 PPK 파일이 필요합니다. PPK 파일생성 방법은 [AWS] Windows 에서 Linux 인스턴스 연결을 위한 PuTTY 사용방법 을 참고. 1.  개인 key 를 활용한 서버 접속 방법 아래 링크를 통해 WinSCP 프로그램을 다운로드 합니다. WinSCP 다운로드 -> https://winscp.net/eng/download.php WinSCP 를 설치하고 프로그램을 실행 합니다. 프로그램을 실행하면 바로 로그인 입력 화면이 표출됩니다. 호스트 이름 에 Ec2 인스턴스의 Public IP 또는 Public DNS 를 입력합니다. 사용자 이름 에 접속할 계정 정보 를 입력 합니다. 인증키를 통해 서버에 접속할 예정이므로 설정을 위해 고급버튼 을 선택합니다. * 인스턴스 접속계정 정보는 아래와 같이 구성됩니다. Amazon Linux AMI의 경우 사용자 이름은 ec2-user RHEL AMI의 경우 사용자 이름은 ec2-user 또는 root Ubuntu AMI의 경우 사용자 이름은 ubuntu 또는 root Centos AMI의 경우 사용자 이름은 centos Fedora AMI의 경우 사용자 이름은 ec2-user SUSE의 경우 사용자 이름은 ec2-user 또는 root SSH – 인증 메뉴를 통해 개인키 파일을 등록할 수 있습니다.  SSH 접속을 위해 생성했던 PPK 파일을 선택한 후 확인 을 선택 합니다. 다시 로그인 화면으로 돌아와 로그인 버튼을 선택 합니다. 아래와 같이 인증 절차가 진행됩니다. 인증 완료 후 서버에 접속되고 ec2-user 디렉토리
자세한 내용 보기

[Vue] 전화번호 입력/조회시 '-' 자동으로 넣어주기

작성자: -
이미지
Vue 로 홍보 플랫폼 작업을 하면서 필요한 기능이 있어서 전화번호 필터를 개발 ( = 예외처리 노가다 ) 작업한 부분 블로그에 공유합니다. 개발환경: Vue CLI 2 개발 프레임워크: Vue2 angular 나 javascript 에도 쓸 수 있을 것 같습니다. 전국의 프로야근러 & 월화수목금금금 개발자님들 화이팅!! + 보충할 점이나 부족한 부분이 있어서 알려주시면 반영할께요~ 입력할때 전화번호 파이프 (-) 자동으로 찍어주기 [동작화면] [템플릿] <input type="text" v-model="contact" @keyup="getPhoneMask(contact)" /> [스크립트] export default { ... data: () => ({ //전화번호 contact:null, }), methods: { getPhoneMask(val) { let res = this.getMask(val) this.contact = res //서버 전송 값에는 '-' 를 제외하고 숫자만 저장 this.model.contact = this.contact.replace(/[^0-9]/g, '') }, getMask( phoneNumber ) { if(!phoneNumber) return phoneNumber phoneNumber = phoneNumber.replace(/[^0-9]/g, '') let res = '' if(phoneNumber.length < 3) { res = phoneNumber } else { if(ph
자세한 내용 보기