Nasir

We, are our choices.

3 minute read

일지

AWS 계정해킹

어제 TIL 작성하면서 강의중 입력했던 커맨드들도 기록했는데, 별생각없이 액세스키와 시크릿 액세스키 모두를 기록하고 커밋해서 PUSH했다.

와.. PUSH하고 5분도 지나지 않아서 Git Guardian에서 메일오고, 10분도 지나지않아서 AWS에서 키 노출되었다고 메일오고, 30분내에 계정이 자동 잠금처리되었다.

그래도 그사이에 누군가 접속해서 c5.xlarge 인스턴스를 아시아리전 전체랑 eu리전 전체에 도배하고, 미국리전에도 생성하다가 걸려서 계정정지랑 인스턴스 멈춤처리되었다.

솔직히 뭐 맨날 암호는 주기적으로 바꿔야한다, 노출에 유의해야한다는 이야기는 자주들었지만 먼세계이야기인줄 알았는데

실제로 탈취되고(라기보단 내가 노출시켰지만;) 소액이지만 7$정도 비용적힌 청구서를 받아보니까 정신이 확든다

이러한 노출위험에 경각심을 갖게되고, 앞으로 이런일을 절대 발생시키지 않을거다 생각하면

만원도 안되는 돈으로 경험해본게 차라리 다행이다 싶다.

만약 나중에 취직하고 이런일 터졌다고 생각하면, 만원은 무슨…

이정도면 싸게 맞았지ㅎㅎ..

현재 AWS Support Center랑 보안설정 확인해야할 부분과 비용면제에 대해서 논의중인데 마무리되면 주말쯤? 전체과정을 한번 정리해놔야겠다.

현직자 Talking Day

솔직히 기대 이상이였다.

여기 부트캠프들어와서 이제 2달이 지났는데 개인적으로는.. 2달간 방치되고 있나? 싶은 생각이 들었었다.

특히 매 강의가 온라인으로 진행되어서 그런거같은데,(아니사실 100%) 강사님과 수강생들만 보게되고

오프라인으로 진행되지 않으니 더욱 그렇게 느꼈던거 같다.

오프라인 수업이였으면 (지각은 자주했겠지만) 매일 엔코아 시설을 사용하고, 로비에 전시되있는 책들도 읽고,

자연스럽게 매니저님들이랑도 이야기 섞어보면서 뭔가 얻어가고 할수 있을텐데

온라인이다보니 솔직히 수강생들도 모르겠고..ㅋㅋㅋㅋㅋ 그냥 강사님과 나만남아있는느낌?

그리고 오프라인이였으면 쉬는시간이나 점심시간, 수업종료 후 자습시간등 틈틈히 다른사람들과 이야기 할 수 있었을텐데

온라인이다보니 나도뭐.. 점심시간이면 밥대충먹고 침대에누워있다오고하는건 좋지만 교류할기회가 없어서 아쉬웠지만

부분적으로나마 해소할 수 있었던 점이 좋았다.

물론 저런 토킹데이 외적인측면말고도 내실도 좋았는데

멘토님들 이야기 듣고나니까 긍정적인 방향으로 전망을 볼 수 있게 된게 제일 큰 수확이다.

비전공자인 내 입장에서는 주변에서 현직이야기 듣기도 쉽지않고, 기껏해야 인터넷 정보가 대다수인데

보통은 프론트엔드니 백엔드니 풀스택이니 웹개발자니 이쪽 직무의 이야기가 대다수고,

Cloud Engineer or DevOps 쪽은 ‘아 나는 잘 모르는데 그쪽이 유망하대~’ 수준에서만 들려오니

이거 진짜 유망한거 맞아..? 그냥 빨리 개발자쪽으로 갈아타야하나?

나 지금 1일1문제풀이 안해도돼? 코딩테스트 준비안해도돼? AWS준비하고있는게 맞는방향이야?

같은 생각속에서 방황하기 직전이였는데 좋은 말씀들 해주셔서 밸런스있게 잘 잡아낸거같다.

주요 키워드

오늘의 할일

  • 220330 TIL 작성
  • 교재 진도부분 읽기 (Cpt4.)
  • AWS 계정 새로 파서 셋팅하기(MFA등록,유저생성 및 권한부여, 인스턴스생성및AMI저장 등)
  • 파이썬 필사할 Material 찾아보기

추가로 정리해야할 부분

수업 정리

가용영역은 가능한 a,c가 좋다

네트워크

  • Net+Work = 연결되어 있는 일
  • 서로 정보를 주고 받아 새로운 가치를 생산
  • 네트워크를 구성하기 위한 규칙 : 프로토콜

VPN

  • Virtual Private Network
  • 규모가 큰 조직의 네트워크가 분산되어 있을 경우, 각 네트워크를 가상으로 통합-연결
  • 암호화 기술을 적용하여 보안 강화
  • 클라우드와 온프레미스의 연결을 통해 보안을 강화한 하이브리드 클라우드 구축

VPC

  • Virtual Private Cloud
  • 직접 정의 가능한 가상 네트워크에서 AWS 리소스를 구동할 수 있는 논리적/격리된 N/W
  • 주요설정
    • IP 주소 범위
    • 서브넷
    • 라우팅 테이블
    • 네트워크 게이트웨이
    • IPv4 및 IPv6

NAT Gateway

- Network Address Translation Gateway
- 외부에 공개되지 않은 내부 IP주소를 외부 IP 주소로 변환해주는 서비스
- 프라이빗 서브넷 내에 있는 인스턴스를 인터넷이나 다른 AWS 서비스에 연결하기 위한 용도
- DB등과 같이 외부로 연결되면 안되지만, 패치,보안결함,소프트웨어 업데이트등 인터넷 연결이 필요할 경우

사용 조건

  • 퍼블릭 서브넷 지정
  • Elastic IP 주소 생성
  • NAT 게이트웨이 생성

  • NAT G/W와 연결되도록 프라이빗 서브넷과 연결된 라우팅 테이블 수정

    • NAT 인스턴스로 대체 가능
      • 퍼블릭 서브넷에서 직접 관리하는 인스턴스

VPC

- Virtual Private Cloud
- 가상네트워크 상에서 AWS리소스를 구동할 수 있게 해주는 논리적 격리된 네트워크

주요 설정

- IP 주소대역
- 서브넷
- 라우팅 테이블
- 네트워크 G/W
- IPv4 및 IPv6

특징

- AWS에 사설 네트워크 구축
- 기존 네트워크환경과 VPN을 연결
- 모든 리전 지원 가능
- VPC자체로는 비용발생 X / 네트워크 송수신비용발생

실습

PRISUB 접속방법

  1. 퍼블릭 IP 주소가 있는 인스턴스로 접속

  2. 해당 인스턴스에서 프라이빗 서브넷에 있는 인스턴스로 접속

    • 이유: Prisub에 있는 ins는 같은 vpc에 있는 pubsub ins만이 접속 가능하기 때문에

VPC 삭제 시 순서

  1. 인스턴스 종료

  2. NAT G/W 삭제: 시간좀 걸림. deleted 상태가 되어야 3,4 진행가능

  3. 탄력적 IP 릴리즈: NAT G/W가 삭제되어야 릴리즈가능

  4. I G/W 삭제: auto igw- vpc에서 분리

  5. VPC 삭제

수동으로 VPC 생성 순서 (Pub,Pri 동시에)

  1. VPC 생성 10.0.0.0/16, IP대역 설정

  2. 서브넷 생성 10.0.0.0/24, VPC보다 작은범위의 IP대역

  3. 인터넷 게이트웨이 생성 작업 > vpc 연결

  4. Elastic IP 생성 (또는 NAT G/W 생성 마법사에서 동시진행)

  5. NAT G/W 생성

  6. 라우팅 테이블 연결 0.0.0.0/0 (Pub-IGW / Pri-NAT)

  7. pub-igw RTB > 명시적인 서브넷 Pubsub 추가

Categories:

Updated:

Leave a comment