Jacob Baek's home

Teleport란 Teleport는 CA(Certificate Authority) 와 infrastructure에 접근하는 Plane을 만들어주고 접근을 수행할수 있도록 해준다. Teleport는 다음과 같은 일반적인 기능을 제공한다. SSO설정과 SSH Server, Kubernetes, Database들, Web App들에 접근할 하나의 서버를 생성 Infrastructure에 대한 접근 정책을 다양한 Programming Language로 정의 모든환경의 세션에 대한 Record 및 공유가 가능 Teleport 상세 기능 SSH를 이용한 서버 접근 application 접근 Kubernetes 접근 DB 접근 Session 기록후 재생가능 Session 공유 및 join 가능 웹 UI 상의 term..

Grafana Login 을 Keycloak OAuth 방식을 사용하여 처리하는 과정에 대하여 간단히 정리하고자 한다. 실제 원하는 동작 구성은 다음과 같다. Prerequites 두개의 서버를 준비하여 docker로 각 서비스를 동작시킬 예정이다. (여기서는 가상머신 두개를 통해 환경을 구성했다. 실환경이라면 좀더 보안적인 요소와 설정에 대한 고려가 필요하다.) keycloak server (13.0.1) grafana server (8.0.2) keycloak 서비스 준비 Keycloak 서비스를 동작시키기 위해 아래와 같은 docker 명령을 실행하자. [root@keycloak-server ~]# docker run -d -p 8080:8080 -e KEYCLOAK_USER=admin --name..

Certificate 인증서(Certificate)를 가진 서버에 사용자(browser)가 접근하려 할때 해당 인증서(Certificate)를 검증하게 되고 신뢰된 서버라는 검증이 완료되면 통신을 수행하게 된다. 이때 사용되는 검증시 사용되는 것이 인증서라 할수 있으며 여기 포함된 public key를 통해 암호화된 통신을 제공하게 된다. 참고로 인증서내에는 소유자의 검증을 위한 중요정보(ex. public key, 인증서 발급자, 연관된 subdomain 정보등)이 포함된다. 실제 Browser에서 인증서를 export 해보면 아래와 같은 정보를 확인해볼수 있다. Subject Name Issuer Name Issued Certificate Certificate Fingerprints Public Ke..

Boundary 란? Boundary는 호스트와 서비스에 단순하고 안전한 접근을 제공한다. Boundary는 소개시에 대체로 SSH Bastion Hosts나 VPN 그리고 Firewall을 예로 들면서 설명이 이루어진다. 이러한 부분에서 짐작할수 있고 실제 이름에서도 볼수 있듯이 가장 외곽에 자리한 Firewall과 Bastion Host등과 같은 역할을 수행하게 될 시스템이라 볼수 있다. 가장 강조된 포인트는 신뢰 가능한 ID와 그에 맞는 ROLE이다. 일반적으로 VPN 및 SSH bastion host 연결에 대한 접근 권한을 firewall을 통해 제어하게 되는데 이를 좀더 앞단에 계정을 가지고 제어한다라 보면 좋을듯 하다. 즉, Boundary를 통해 신뢰가능한 ID가 적당한 역할에 기반한 권한..

Introduction 아래 링크를 참고할것. mr100do.tistory.com/1051 installation 근래에는 package repo를 제공하고 있기에 해당 repo를 등록하여 설치하는 것을 권장한다. [root@vault-server ~]# dnf config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo Adding repo from: https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo [root@vault-server ~]# dnf install -y boundary Hashicorp Stable - x86_64 7.9 kB/s | 1.4 kB 00:00 ..

Vault에 대한 설명은 아래 링크를 참고 https://mr100do.tistory.com/819 (WIP...) installation centos 8 혹은 RHEL 8 기반은 다음과 같은 명령을 통해 설치가 가능하다. [root@monitor ~]# dnf config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo Adding repo from: https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo [root@monitor ~]# dnf install vault Hashicorp Stable - x86_64 157 kB/s | 232 kB 00:01 Dependencie..

Mutual TLS 란? Mutual TLS 에 대하여 알아보자. 우선 Mutual 이란 뜻을 보면 상호간, 양방향 이라는 뜻으로 풀이될수 있다. 즉, 단순 서버의 인증서만을 검증하는 일반적인 과정에서 optional 하게 사용할수 있는 Client Certificate 도 검증을 같이 하는 것이다. en.wikipedia.org/wiki/Mutual_authentication 좀더 자세히 알아보기 위해 먼저 일반적인 TLS handshake 과정을 알아보자. 출처 : cheapsslsecurity.com/blog/what-is-ssl-tls-handshake-understand-the-process-in-just-3-minutes/ 위와 같이 Server Certificate 에 대한 검증을 Clien..

개념 wireguard는 임베디드 인터페이스와 슈퍼컴퓨터에서 모두 실행하기 위해 설계된 사용이 매우 간단하면서 빠른 현대의 VPN이다. https://www.wireguard.com/ NOTE wireguard의 장점을 faster, secure 등으로 언급하고 있는데 이에 대한 근거를 아래 링크를 통해 일부 해소할수 있다. https://hide.me/en/blog/wireguard-is-way-faster-than-other-protocols/ 아래 링크는 openvpn과의 비교 자료이다. https://vladtalks.tech/vpn/is-wireguard-faster-than-openvpn 구성 wireguard 는 다음과 같이 구성된다. Server 가 존재하며 private,public ke..