33일차 - 데이터베이스 보안 구축, 시스템 보안 운영

[1,2교시 - 데이터베이스 보안 구축]

-- 1. department 테이블 생성
create table department(
deptno number(2) NOT NULL,
hname varchar2(20) NOT NULL,
ename varchar2(40)
);

-- 1-1. PK_department라는 이름으로 deptno을 primary key로 지정
alter table department
add constraint PK_department primary key(deptno);

-- 2. instructor 테이블 생성
create table instructor (
instid number(4) NOT NULL, 
hname char(10) NOT NULL, 
deptno number(2) NOT NULL, 
instorder varchar2(10),
locate char(4),
telno varchar2(20),
email varchar2(40)
);

-- 2-1. PK_instructor 이름으로 instid primary key로 지정
alter table instructor
add constraint PK_instructor primary key(instid);

-- 2-2. deptno가 department테이블의 deptno을 참조하도록 외래키 생성
ALTER TABLE instructor
ADD CONSTRAINT FK_instructor_department foreign KEY(deptno) references department (deptno);

-- 3. department 데이터 insert
insert into department values (10, '교양과', 'Arts');
insert into department values (20, '건축과', 'Architectural Engineering');
insert into department values (30, '토목과', 'Civil Engineering');
insert into department values (40, '경영과', 'Business Management');
insert into department values (50, '전자과', 'Electronics');
insert into department values (60, '정보통신과', 'Information and Communications');
insert into department values (70, '식품영양과', 'Food Science and Nutrition');

-- 4. instructor 데이터 insert
insert into instructor values (1001, '이준상', 10, '교수', '02', '346-2766', 'skchoi@kkkk.ac.kr');
insert into instructor values (1003, '이강호', 20, '교수', '02', '283-3465', 'khlee@kkkk.ac.kr');
insert into instructor values (1005, '주연강', 30, '부교수', '02', '732-2308', 'ykju@kkkk.ac.kr');
insert into instructor values (1007, '강성호', 10, '강사', '032', 465-3350, NULL);
insert into instructor values (1009, '나경상', 40, '강사', NULL, NULL, NULL);
insert into instructor values (1012, '김선수', 60, '강사' , '031', '975-5778', ' ');

-- department 테이블 조회
select * from department;

-- instructor 테이블 조회
select * from instructor;

-- instructor, department 조인(join) 조회
select inst.*, dept.*
from instructor inst, department dept
where inst.deptno = dept.deptno;

 

 

---

 

[3,4,5교시 - 시스템 보안 구축]

/ dig로 사용하는 bind의 버전을 확인
# dig @아이피 ch txt version.bind
* named 서버의 버전을 숨기는 이유 : 취약점을 가지고 있는 버전인 경우가 있을 수 있고 나중에 취약점이 발견될 수도 있다. 쨋든 보안을 위해서

/ 클라이언트에서 slaves폴더내의 파일 확인
# ll /var/named/slaves/

 

/ named.conf에 notify 추가
# vi /etc/named.conf
# notify yes;

/ john.com.db에 ns2추가
# IN NS ns2.john.com

$TTL    3H
@       SOA     ns.john.com.    root.john.com. (3 1D 1H 1W 1H)
        IN      NS              ns.john.com.
        IN      NS              ns2.john.com.
        IN      A               192.168.111.101

ns      IN      A               192.168.111.101
ns2     IN      A               192.168.111.136
WWW     IN      A               192.168.111.110
ftp     IN      A               192.168.111.111
web     IN      CNAME           www

- john.com.db 파일 체크
* 파일 체크를 하려면 /var/named위치에서 하거나 파일명을 경로까지 모두 써줘야 한다.
# named-checkzone john.com /var/named/john.com.db 
# systemctl restart named

 

/ 시리얼 번호를 1올려보자
# vi /var/named/john.com.db

- 설정 문제있는지 확인
# named-checkzone john.com /var/named/john.com.db
# systemctl restart named : 재시작
- 전송 내용이 있나 확인
# cat /var/log/messages | grep transfer
- 변경이 된것이 없음..(로그에 안 보임)

/ 클라이언트에서도 확인해보자
# systemctl restart named
# cat /var/log/messages | grep transfer
- 여기에서도 확인이 안된다.
- 클라이언트에도 설정이 필요할것 같다.

/ 클라이언트의 named.rfc1912.zones파일 수정
# vi /etc/named.rfc1912.zones
- 맨밑의 zone "111.168.192.in-addr.arpa" IN부분에 allow-notify추가

- named 재시작
# systemctl restart named

/ 클라이언트의 방화벽 설정 추가
- 53/tcp, dns 서비스 추가
# firewall-cmd --permanent --add-port=53/tcp
# firewall-cmd --permanent --add-service=dns
# firewall-cmd --reload

/ 방화벽 추가하고 allow-notify추가 했으니 슬레이브즈 파일 동기화되는지 확인
#  ll /var/named/slave

 

/ 클라이언트에서 자동으로 확인하기 위해 작성
- 동기화가 되면 자동으로 띄워진다.
# while true
# do
# ll /var/named/slaves
# clear
# done

/ 서버에서 버전 다시 올려보기
# vi /var/named/john.com.db

/ 클라이언트에서 확인
# cat /var/named/slaves/john.com.db

 

/ 로그에서도 확인해보기(서버/클라이언트)
# cat /var/log/messages | grep transfer

서버

클라이언트

 

/ 정리
1. master
- 방화벽 오픈설정(dns | 53/tcp | 53/udp)
- /etc/named.conf : notify yes;
- /etc/named.rfc1912.zones
    > allow-update{ 2차서버ip; };
    > allow-transfer{ 2차서버ip; };

2. slave
- 방화벽 오픈설정(dns | 53/tcp | 53/udp)
- /etc/named.rfc1912.zones
    > allow-notify{ 1차서버ip; };