ISFJ 개발자의 이야기

이번 블로그에서는 AWS EC2를 키페어로 접속하는게 아닌 비밀번호를 설정하여 접속하는 방법에 대한 글을 작성해보겠습니다. 구축방안우선 EC2의 접속해 아래의 명령어를 이용해 SSH 서버 설정 파일인 /etc/ssh/sshd_config 파일을 편집해서 비밀번호 인증을 허용하게 설정해줘야합니다.sudo 권한 즉 관리자의 권한에 있다는 기반으로 설명합니다.sed -i 's/PasswordAuthentication no/PasswordAuthentication yes/' /etc/ssh/sshd_config 비밀번호 인증을 허용하게 설정을 하였다면 아래의 명령어로 SSH를 재시작 해줍니다.systemctl restart sshd 마지막으로 아래의 명령어를 이용해 비밀번호로 사용할 비밀번호를 설정해줍니다.e..

이번 블로그에서는 RDS IAM Authentication을 구성하는 방법에 대해서 작성해보겠습니다. IAM Authentication을 사용하는 이유RDS Database에 접속할 때 암호를 사용해도 되지만, IAM 인증을 사용하기도 됩니다. IAM 인증에서는 RDS가 생성하는 인증 토큰을 사용하며 각 토큰의 수명은 15분입니다. SSL 또는 TLS를 사용하여 DB 인스턴스에 대한 연결을 암호화합니다. 즉 비밀번호 관리 필요성을 없애 보안을 강화하고, IAM 기반의 중앙집중식 권한 관리를 통해 운영 효율성을 높이며, 15분마다 만료되는 토큰을 사용하여 해킹 위협을 줄이기 위해 사용합니다. 구축 방안우선 EC2에서 사용할 역할을 생성 및 권한을 부여해줘야합니다.권한은 아래의 사진과 JSON을 참고하여 구..

이번 블로그에서는 AWS RDS를 Multi-Region 구조로 구성하여 고가용성을 확보하는 방법에 대해 정리해보겠습니다.단일 리전에 RDS를 구성할 경우, 해당 리전에 장애가 발생하면 데이터베이스에 접근할 수 없게 되는 치명적인 문제가 발생할 수 있습니다. 이러한 리전 단위 장애(Region Failure)에 대비하기 위해, RDS를 서로 다른 리전에 구성하고 장애 발생 시 자동으로 다른 리전의 RDS로 트래픽을 전환하는 Disaster Recovery(재해 복구) 아키텍처를 설계해보겠습니다. 구축 방안우선 아래의 Github 링크를 통해 인프라를 테라폼을 이용해 구성해야 합니다.https://github.com/learning-wlstmd/db-health GitHub - learning-wlstmd..

이번 블로그에서는 리눅스에서 주로 보안을 강화하기 위해 사용되는 도구인 Fail2ban을 AWS EC2에 적용하는 글을 작성해보겠습니다. Fail2ban 개념Fail2ban은 리눅스에서 주로 보안을 강화하기 위해 사용되는 도구입니다. 서버에 대한 무차별 공격을 방어하기 위해 개발된 이 도구는 주로 SSH와 같은 네트워크 서비스에 적용됩니다. 로그 파일을 모니터링하여 특정 IP에서 지속적으로 실패한 로그인 시도를 감지하고, 일정한 규칙에 따라 해당 IP를 자동으로 차단하는 역할을 합니다. 또한 Fail2ban은 iptables와 연동하여 IP를 차단하고, 차단된 IP는 일정 시간이 지나면 자동으로 해제될 수 있습니다. 구축 방안먼저 AWS EC2에 SSH로 접속해 아래의 명령어로 필요한 패키지들을 설치 및..

이번 블로그에서는 EC2 Connect Endpoint에 대한 개념 및 구축방법을 소개하는 글을 작성해보겠습니다. EC2 Connect Endpoint 개념EC2 Instance Connect Endpoint는 결국 VPC Endpoint입니다. 이를 생성하게 되면 VPC 내부에 ENI가 생기게 되며 해당 ENI를 통해 Private Subnet에 22(SSH) 접속을 하게되는 원리입니다.EC2 Connect Endpoint의 제한사항EC2 Connect Endpoint는 다음과 같은 제한사항을 가지고 있습니다.포트는 22 및 3389 포트만 지원됩니다.Ipv6주소를 지원하는 인스턴스 연결을 지원하지 않습니다.클라이언트 Ip 보존이 활성화되면 연결할 인스턴스는 EC2 Connect Endpoint와 동일..

이번 블로그에서는 Event Bridge를 이용해서 ECR의 새로운 Image가 Push 될 경우 서버의 새로운 ECR Image를 실행되게하는 아키텍처 글을 작성해보려 합니다.아키텍처는 아래와 같이 구성됩니다. Event Bridge를 이용해 ECR Image Push를 감지하는 아키텍처를 구성하기 위해서는 아래의 순서를 따라야합니다. 1. ECR 생성2. EC2 Server 생성3. IAM 구성4. Event Bridge 생성 ECR 생성아래의 명령어를 이용해서 Image 저장소인 ECR Repository를 생성해줍니다.aws ecr create-repository \ --repository-name skills-app EC2 Server 생성다음으로 아래의 UserData를 갖도록 하는 E..

이번 블로그에서는 EC2 Hop Limit에 대한 글을 작성해보려 합니다.아키텍처는 아래와 같이 구성됩니다. EC2 Hop Limit에 대해서 알아보기 위해서는 아래의 순서를 따라야 합니다. 우선 Hop Limit에 대한 개념을 설명하고 진행하겠습니다. 1. VPC 생성2. EC2 생성 Hop Limit네트워크에서의 Hop count는 데이터가 출발지에서 도착지까지 전달되면서 거치는 네트워크 장치의 수를 나타냅니다. Hop limit은 하나의 통신에서 허용하는 최대 Hop count입니다. Hop count가 Hop limit을 넘어서게 되면 네트워크 장비가 패킷을 전달하지 않게 합니다. VPC 생성먼저 아래의 사진과 같이 Default VPC를 생성해줍니다. EC2 생성다음으로 아래의 사진을 따라서..

Google Authenticator를 이용해서 MFA 인증 시 Amazon Linux 2023 EC2서버에 접근 가능하도록 구축해보겠습니다. 우선 ssh 접근 관련 설정을 수정해줍니다.sudo sed -i '40i\PermitRootLogin yes' /etc/ssh/sshd_configsudo sed -i '41i\RSAAuthentication yes' /etc/ssh/sshd_config sudo sed -i '8i\auth required pam_google_authenticator.so nullok' /etc/pam.d/sshd sudo sed -i '10i\ChallengeResponseAuthentication yes' /etc/ssh/sshd_config.d/50-redhat.confsu..

현재 아래와 같이 생성한 아마존 리눅스 2023 EC2 서버에 root 유저로 접속하려고 하면 아래와 같은 문제가 발생합니다. 해결 방안sudo su # root 유저vim /etc/ssh/sshd_config먼저 위 명령어로 root 에 접근해주고 sshd_config 파일을 아래의 사진과 같이 수정해줘야 합니다.PermitRootLogin yes 부분을 작성해주고 저장하고 나옵니다. systemctl restart sshd그리고 위 명령어로 sshd를 재시작 해줍니다. 마지막으로 아래의 명령어를 통해 루트 디렉터리로 .ssh 를 옮겨줍니다.sudo cp /home/ec2-user/.ssh/authorized_keys /root/.ssh/chmod 700 /root/.sshchmod 600 /root/..

EC2는 사실 서브넷 안에 있는게 아니다. 오늘은 이게 무슨 의미인지 작성해보려 합니다. ENI 기본 개념ENI는 EC2 인스턴스가 생성될 때 자동으로 생성됩니다.ENI는 일종의 EC2의 가상의 랜카드(LAN Card) 와 비슷한 개념입니다.ENI를 통해 EC2와 Subnet을 연결합니다. ENI 특성ENI는 IP주소와 MAC주소를 가지고 있습니다.ENI 하나당 1개 이상의 Private IP 주소 부여가 가능합니다.(optional) Public IP 주소 부여가 가능합니다.EC2는 반드시 하나 이상의 ENI와 연결되어 있습니다.EC2 생성하면 Primary ENI가 생성되어 연결됩니다. EC2는 1개 이상의 ENI를 보유가능합니다. 실질적으로 ENI가 EC2의 서브넷의 위치와 보안그룹의 연결을 담당..