Security

• kkumtree

2023-06-04T06:56:52+09:00

이번에는 보안을 위한 인증 및 인가, 그리고 IRSA를 중심으로 EKS의 보안에 대해 학습해보았습니다.

kops 스터디 때에는 잘 몰랐는데, RBAC 뿐만 아니라 복기하다보니…

• [4-1] projected Volume
• [4-2] AWS Load Balancer Controller IRSA 및 LB Pod mutating

위의 두 가지가 중요한 파트를 차지하고 있었음을 알 수 있었습니다.
Network(2주차)가 매번 뭔가 일부가 아리송하였다면
Security는 복기하다가 이론적으로는 간단(과연?)해보여도
실제 구동방식 이해 자체가 초반에 안되서, 사흘 남짓 걸린 덕에 더 어려웠던 것 같습니다.

그 외

1. myeks-bastion-2에 접속 시, 함께 진행할 때는 ssh {Public IP}로 잘 접속되는 걸 봤는데 정작 혼자 할 땐 접속이 되지않았습니다.
   • Amazon Linux에서는 ssh ec2-user@{Public IP}로 접속해야함
     (필요한 경우 ssh키도 포함)
   • AWS Public AMI에서 제공되는 Ubuntu AMI의 경우,
     ubuntu@{Public IP}로 접속가능
   • 추정: 공유된 머신에 다른 설정이 이슈가 되는 것으로 추정됩니다.
2. IAM User(testuser)는 웹콘솔에서 삭제하는 것이 편리합니다.
   • 아니면, 아래처럼 detach 한다는 느낌으로 순차적 실행합니다.
     • list-attached-role-policies && detach-role-policy
     • list-access-keys && delete-access-key
     • delete-user
3. CLI로 IAM Trust Relationship 조회
   • 웹 콘솔에 굳이 들어가야하나 하고, 문득 호기심에 시도하다가 시간이 날아갔습니다.
   • 결론: 하드코어한 파싱..
     • jq -r '.[].status.roleARN' | rev | cut -d '/' -f1 | rev
     • chatGPT에게 아래와 같이 교정 받았지만, 탐탁치 않음..
       jq -r '.[].status.roleARN' | grep -oE '[^/]+$'
       

1. 실습 환경 배포

• 모의공격(?) 테스트를 위해 2개의 bastion 서버가 구성된 환경 배포
• p8s 및 grafana의 경우, 선택적으로 배포해도 되서 기술 생략

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick5.yaml

# 이하 중략

# CERT_ARN(ACM)의 경우에는 /etc/profile에 환경변수 저장을 안해둬서  
# 세션이 만료되면, 다시 재설정 필요

CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

2. k8s 인증/인가

• .kube/config 파일을 기반
  • cluster: k8s API 서버 접속정보
  • users: API 서버에 접속하기 위한 유저 인증정보 목록
  • contexts: cluster및 user를 매핑(조합)한 정보

• kkumtree

2023-03-17T11:14:50+09:00

튜토리얼 레벨의 게시물입니다. 
모든 정보는 https://ubuntu.com/pro/tutorial 에 기초합니다. 

기타 초기 구성 중 이슈는 아래도 참고하시기 바랍니다.
https://canonical-ubuntu-pro-client.readthedocs-hosted.com/en/latest/index.html 

계기

필자가 개인 데스크탑으로 사용하는 Ubuntu 버전이 22.10 (Kinetic Kudu), 23.04 (Lunar Lobster) 이기에, Ubuntu Pro를 적용해볼 기회가 없었다.
이번에 지인 분으로부터 제공받은 엑세스랩(XSLAB)사의 ARM 기반 Vraptor SQ nano를
클린설치하고 나니 Ubuntu 20.04.6 LTS (Focal Fossa) 버전이었기에, Ubuntu Pro를 적용해보기로 했다.
해당 제품은 보라몰/voramall에서도 만나볼 수 있다.

Ubuntu Pro란?

Ubuntu Pro는 Ubuntu의 구독 상품으로, 보안 등의 지원 기능을 추가한 서비스로 사전에 보안 취약점을 빠르게 보완해서 데이터를 보호하는게 여러모로 절감되지 않을 까 싶기에 인상 깊었던 프로덕트였다.