31일차 - 데이터베이스 보안 구축, 시스템 보안 운영

[1,2교시 - 데이터베이스 보안 구축]

 

데이터베이스 보안 구현

수행 순서

1. 수립된 구현 계획에 따라 보안성이 강화된 데이터베이스를 구현한다.
- 보안 데이터베이스 구현 및 운영 단계의 주안점을 확인한다.
- 접근제어 부문의 구축 및 운영 주안점을 확인한다.
- 운영 관리 활동 분야를 확인한다.
- 직무의 분리, 로그 검토 등의 체크사항을 확인한다.
- 데이터베이스 암호화 부문의 구축 및 운영 주안점을 확인한다.
- 데이터베이스 작업결재 부문의 구축 및 운영 주안점을 확인한다.
- 데이터베이스 취약점 분석 부문의 구축 및 운영 주안점을 확인한다.

2. 데이터베이스 설계 문서를 기반으로 데이터베이스를 구현한다.
- 데이터베이스 설계 문서를 확인한다.
    > E-R 다이어그램, 테이블 정의서, 인덱스 정의서, 뷰 정의서, 테이블 용량 산정서, 인덱스 용량 산정서, 데이터 파일 용량 산정서, 시스템 파일 용량 산정서
    > ERD 참고 링크1, ERD 참고 링크2
    > 엔티티 도출해보기

엔티티	속성
유통회사	회사코드, 전화, 위치, 담당자
물품	가격, 재고량, 입고일자, 물품명

- 데이터베이스 구축 시나리오를 작성한다.
- 데이터베이스를 구축한다.
- 인덱스를 설정한다.
- 사용자 권한을 설정한다.

ER 다이어그램

 

 

---

[3,4,5교시 - 시스템 보안 운영]

/ 2차 네임서버가 있을 경우에 데이터를 허용하는 것
- allow-transfer{ any; };

/ john.com.db 수정
# vi john.com.db

$TTL    3H
@       SOA     @       root. (2 1D 1H 1W 1H)
        IN      NS      @
        IN      A       192.168.111.101

WWW     IN      A       192.168.111.110
ftp     IN      A       192.168.111.111

[두번째 줄]
- root.의 점은 그냥 마침표의 점(.)이다.
- 괄호안의 2 : 시리얼번호
- 1D : 동기화의 간격(하루 마다)(정기적인 업데이트)
- 1H : 동기화가 실패했을경우 리트라이 시간(1시간)
- 1W : 계속 리트라이 하다가 이제 안하는 시간
- 마지막의 1H : 동기화된 데이터를 유지하는 시간(마스터네임서버와 슬레이브서버간의)
[세번째 줄]
- IN : 인터넷에서 주고받는 정보라는 뜻
- NS : 네임서버
- @ : 자기자신이다.
[네번째 줄]
- IN :  인터넷에서 주고받는 정보라는 뜻
- A : IPv4 (AAAA는 IPv6버전이다.)

/ 내용 저장 후 'named-checkzone john.com john.com.db'으로 내용에 이상이 없는지 체크한다.

 

/ 다시한번 john.com.db파일을 수정해본다.
# vi john.com.db

$TTL    3H
@       SOA     ns.john.com.    root.john.com. (2 1D 1H 1W 1H)
        IN      NS              ns.john.com.
        IN      A               192.168.111.101

ns      IN      A               192.168.111.101
WWW     IN      A               192.168.111.110
ftp     IN      A               192.168.111.111
web     IN      CNAME           www

- ns.john.com. : ns.john.com뒤에는 점(.)이 꼭 들어가야 한다.
- 아이피 말고 이름으로 되어 있으면 점으로 끝나야 한다.
- root.john.com. : @가 들어가지 않는다
- cname : 별칭
- 상단의 TTL은 사용자가 이 정보 캐시를 얼마동안 가지고 있을지

/ 다시 내용 저장 후 'named-checkzone john.com john.com.db'으로 내용에 이상이 없는지 체크한다.

/ 서비스를 재시작하여 적용한다.
# systemctl restart named

* 종종 문제에서 CNAME이냐 A이냐를 선택하는게 있는데 아이피면 A이고 문자열이면 CNAME이다.

/ 테스트(정방향)
# nslookup
# server 192.168.111.101
# ftp.john.com
# web.john.com

 

/ cmd에서도 확인해본다.

 

- 지금까지 마스터 DNS서버를 만들어본것이다.

/ 메모
- named.conf
- john.com.db
    > 정방향/역방향이 있다.
    > 정방향 : 이름 -> ip
    > 역방향 : ip -> 이름

/ 역방향 설정
# vi + /etc/named.conf (파일의 맨 끝에서 커서를 열겠다.)
- 맨 끝에 아래의 내용을 추가한다.

zone "111.168.192.in-addr.arpa" IN {
        type master;
        file "111.168.192.in-addr.arpa.db";
        allow-update { any; };
};

- 큰따옴표안의 문자열과 file의 블라블라.db의 블라블라는 맞춰놓는게 나중에 유지보수시에 편하다.
- 저장 후 'named-checkconf'로 확인한다.

/ 아직 재시작을 해도 올라가지 않는다.
# systemctl restart named

- 역방향 파일이 아직 없기 때문이다.
# systemctl status named -l

 

/ 기존의 정방향 파일을 복사해서 역방향 파일을 만든다.
# cp john.com.db 111.168.192.in-addr.arpa.db
- 복사 후 수정한다.
# vi 111.168.192.in-addr.arpa.db
- PTR : 역방향 조회에 사용되는 레코드

$TTL    3H
@       SOA     ns.john.com.    root.john.com. (2 1D 1H 1W 1H)
        IN      NS              ns.john.com.
        IN      A               192.168.111.101

101     IN      PTR             ns.john.com.
110     IN      PTR             www.john.com.
111     IN      PTR             ftp.john.com.

- 저장 후 체크한다.
# named-checkzone 111.168.192.in-addr.arpa 111.168.192.in-addr.arpa.db

- 서버를 재시작한다.
# systemctl restart named

 

/ nslookup으로 확인한다.
# nslookup
# server 192.168.111.101
- 아이피로 조회해본다.

---

/ nslookup에서 set type
- set type을 ns로 설정해본다.
- ns정보 위주로 조회한다.
# set type=ns
# john.com
# naver.com
# google.com

- set type을 soa로 설정해본다.
- 속성정보로 조회한다.

- set type을 mx로 설정해본다.
# set type=mx
- 메일 서버의 정보를 보여준다.
- john.com은 아직 메일서버가 없어서 데이터가 나오지 않는다.

- 메일서버는 우선순위를 10단위로 지정한다.(10이 제일 작다)

 

- set type을 A로 지정해본다.
- 기본으로 지정되어 있는 타입이다.

 

- 윈도우에서는 -type으로 지정한다.
# nslookup -type=ns google.com

 

내일은 dns서버를 이중화하는것을 배운다.