웹서버 보안

알아볼 것 :eyes::eyes::eyes:

• https -> ssl -> tls
• 방화벽
• jwt
• ssh, gpg
• token

---

• ip 만 알고 있어도 털릴 수 있다.
• 유저 권한은 중요하다.웹 서버는 루트로 실행되면, 모든 것이 root 이기 떄문에유저를 생성하고 read/write 를 설정을 하면 된다.
• privileage escalation낮은 권한을 시작으로 관리자 권한까지쉘을 딴다.운영체제 취약점으로 공격한다.
• 운영체제 버전라이브러리 호환성프로그램등트레이드 오프가 있다. (보안이 잘되면 내가 쓰는게 안될 수 있다. 그냥 두면 보안이 취약하다)WindowXP > Window 8 > Window 10 (:grinning::grinning:)
• security update 는 해주는 것이 좋다.

ACL (Access Control List)

• 접근제어 목록, 허용 IP 만 화이트 리스트 방식
• 인바운드, 아웃바운드 모두 중요하다.
• 고객 개인 정보 -> 허가된 IP, 허가된 사람, 허가된 공간
• AWS security group rules (out)
• Ubuntu ufw(Uncomplicated FireWall)나도 차단 당할 수 있다.

사례 프로그래머스

터미널에서 명령어 필터를 걸어두지 않아서 텐서플로우가 ....(:sweat_smile::sweat_smile::sweat_smile:)

• 채점 서버 모든 명령 실행 가능 -> 채점 코드 유출, 서버 공격 가능

인증 vs 인가

인증: 유저가 누구인지 확인하는 절차

클라이언트가 자신이 주장하는 사용자와 같은 사용자

인가: 유저에 대한 권한 허락

클라이언트가 하고자 하는 작업이 해당 클라이언트에게 허가된 작업인가?