제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under MSSQL
https://www.mssqltips.com/sqlservertip/4558/sql-server-launchpad-service-cannot-be-started/
MSSQL 2016 R 서비스 설치할때나 설치후에 이문제때문에 지웠다 깔았다는 연속으로 해서 검색해보니 링크와 같은 해결방법이 나왔었습니다.
보안설정한다고 ISMS 가이드 문서에 콘솔 로그온에 USERS 그룹이 기본값으로는 존재하는데 이걸 삭제한겁니다. NTSERVICE\MSSQLLaunchpad 를 관리자 그룹에 등록해도 에러가 발생하길레 스크립트 권한에서 막혔나 싶어서 이것저것 권한을 넣어봐도 답없음이였습니다.
그런데 실제서비스 권한은 MSSQLSERVER01부터 20까지 필요한거였었습니다.
사용자 삽입 이미지
보안 이벤트 4625를 기록하며 실패하는 로그입니다.
사용자 삽입 이미지
ISMS 보안가이드를 적용한다면 SQLRUSERGROUP 을 등록하면 해결이 됩니다.
저그룹을 관리자 그룹에 등록하는건 어떻냐고 하는데 스크립트를 사용하는 계정을 관리자로 등록하면 보안에 더큰 문제가 발생하기 때문입니다. 스크립트 하나로 시스템을 쉽게 변경하여 제어할수 있기 때문에 최소한의 권한을 유지하는것이 권고사항입니다.
사용자 삽입 이미지

ISMS 보안권고 가이드 문서에는 기본공유 제거와 RemoteRegistry 를 비활성 시키라고 하는데 이걸 반영하면 클러스터 서비스가 내려가는 재앙을 경험할수 있습니다.
ISMS 시행한지 정말 오래되었는데 문서에 클러스터 서비스는 예외처리를 권고한다고 제시하면 관리자들이 당황하는 일은 없을텐데 아직도 이런다는게 이해가 안갑니다.
4년전에도 서비스 영향을 받기 때문에 적용불가능하다는걸 일일이 체크하고 예외문서 작성한 기억이 납니다. 


2017/11/08 03:12 2017/11/08 03:12
Posted
Filed under Study

http://vmwareaddicted.blogspot.kr/2016 ··· _10.html

 # esxcli storage nmp device list
naa.600144f0c32ea612000058c9869f0001
   Device Display Name: SUN Fibre Channel Disk (naa.600144f0c32ea612000058c9869f0001)
   Storage Array Type: VMW_SATP_ALUA
   Storage Array Type Device Config: {implicit_support=on;explicit_support=off; explicit_allow=on;alua_followover=on; action_OnRetryErrors=off; {TPG_id=0,TPG_state=AO}}
   Path Selection Policy: VMW_PSP_RR
   Path Selection Policy Device Config: {policy=rr,iops=1000,bytes=10485760,useANO=0; lastPathIndex=0: NumIOsPending=0,numBytesPending=0}
   Path Selection Policy Device Custom Config:
   Working Paths: vmhba1:C0:T3:L0, vmhba1:C0:T2:L0, vmhba2:C0:T3:L0, vmhba2:C0:T2:L0
   Is Local SAS Device: false
   Is USB: false
   Is Boot USB Device: false


for i in `esxcfg-scsidevs -c |awk '{print $1}' | grep naa.600144f0c32ea612000058c9869f0001`; do esxcli storage nmp psp roundrobin deviceconfig set --type=iops --iops=1 --device=$i; done

 


for i in `esxcfg-scsidevs -c |awk '{print $1}' | grep naa.600144f03d0f0f000000583f6e820001`; do esxcli storage nmp psp roundrobin deviceconfig set --type=iops --iops=1 --device=$i; done

 

~ # esxcli storage nmp device list
naa.600144f0c32ea612000058c9869f0001
   Device Display Name: SUN Fibre Channel Disk (naa.600144f0c32ea612000058c9869f0001)
   Storage Array Type: VMW_SATP_ALUA
   Storage Array Type Device Config: {implicit_support=on;explicit_support=off; explicit_allow=on;alua_followover=on; action_OnRetryErrors=off; {TPG_id=0,TPG_state=AO}}
   Path Selection Policy: VMW_PSP_RR
   Path Selection Policy Device Config: {policy=iops,iops=1,bytes=10485760,useANO=0; lastPathIndex=1: NumIOsPending=0,numBytesPending=0}
   Path Selection Policy Device Custom Config:
   Working Paths: vmhba1:C0:T3:L0, vmhba1:C0:T2:L0, vmhba2:C0:T3:L0, vmhba2:C0:T2:L0
   Is Local SAS Device: false
   Is USB: false
   Is Boot USB Device: false

기본값은 약 9:1 비율로 처리가 되기 때문에 속도가 1채널보다 약간 높은 수준의 속도에 제한되어 버리는 상황때문에 한참을 찾았습니다. vcenter 에서도 고급설정을 일일이 다 찾아봐도 이부분은 없어서 해당 사이트에서 겨우 찾아서 해결하였습니다.

사용자 삽입 이미지
최대 490MB 만 나오던 FC 스토리지 속도가 최대속도를 다 끌어오고 있습니다. 4G 듀얼채널이기에 그이상은 무리입니다. 스토리지 최대속도는 2.5G 정도인데 FC콘트롤러와 SAN 스위치가 저가이다보니 여기까지만...

2017/11/02 21:42 2017/11/02 21:42
Posted
Filed under Study

https://blog.watchpointdata.com/rdp-brute-force-attack-detection-and-blacklisting-with-powershell

 

 #######################Beginning of script#########################
#Checks for IP addresses that used incorrect password more than 10 times
#within 1 hours and blocks them using a firewall rule 'Blacklist Block'
 #Global variables
$logfile = "C:\Support\blocked.txt"
 #Check only last 1 hours
$DT = [DateTime]::Now.AddHours(-1)
 #Select Ip addresses that has audit failure $af
$af = Get-EventLog -LogName 'Security' -InstanceId 4625 -After $DT | Select-Object @{n='IpAddress';e={$_.ReplacementStrings[-2]} }
 #Get ip adresses, that have more than 10 wrong logins. Change this number if you’d like.
$getip = $af | group-object -property IpAddress  | where {$_.Count -gt 10} | Select -property Name
 #Get firewall object
$fw = New-Object -ComObject hnetcfg.fwpolicy2
 #Get firewall rule named 'Blacklist Block' (must be created manually)
$ar = $fw.rules | where {$_.name -eq 'Blacklist Block'}
 #Split the existing IPs into an array so we can search it for existing IPs
$arRemote = $ar.RemoteAddresses -split(',')
#Only collect IPs that aren't already in the firewall rule
$w = $getip | where {$_.Name.Length -gt 1 -and !($arRemote -contains $_.Name + '/255.255.255.254') }
#Add the new IPs to firewall rule
$w| %{
  if ($ar.RemoteAddresses -eq '*') {
                                $ar.remoteaddresses = $_.Name
                }else{
                                $ar.remoteaddresses += ',' + $_.Name
                }
}
 #Write to logfile
if ($w.length -gt 1) {
                $w| %{(Get-Date).ToString() + ' ' + $_.Name >> $logfile}
}
Exit
#########################End of script###########################

 

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지


원격데스크탑 및 터미널을 이용하는데 RD Gateway 처럼 HTTPS 인증절차가 없는 서버나 PC일경우 유용한 파워쉘 스크립트입니다.
비정규포트로 사용하더라도 스캐너를 사용하여 사용하는 포트를 감지당했을때는 바로 해킹 및 접속시도를 하게 되어 감사로그를 주기적으로 모니터링 하지 않으면 언젠가는 탈취당하게 되는 재앙이 발생하게 되어 위와같은 스크립트를 구글에서 찾게 되었습니다.
사용해보니 꽤 좋네요. 자동으로 검색해서 자체방화벽 차단 리스트에 IP를 등록해주니 많이 편해졌습니다. 터미널 포트가 아니여도 SMB나 기타 감사로그 패턴에 실패로 기록되는 서비스는 이쉘을 이용하여 자동으로 차단할수 있게됩니다.

2017/07/12 01:18 2017/07/12 01:18