[CI/CD] Github Action 과 AWS IAM 보안연결 구성하기

HYEONG HWAN, MUN/ 7월 16, 2024/ 미분류/ 0 comments

이 글을 통해서, Github Action 과 AWS IAM 의 안전한 보안 연결을 설정하는 방법에 대해 알아보도록 하자.   이용 사례 (Case Study) 일반적인 사례를 예시로 들어보자. Github 를 이용하고 있는 사용자가, 작성된 파일을 적절히 AWS S3 에 업로드 해야하는 상황이라고 가정해 보겠다. 너무 기초적인 부분은 생략했으니, 어느 정도 AWS 이용 경험이 있으셔야 이해하기 수월합니다. 1. S3 생성하기 파일이 저장될 S3 버킷을 적절히 생성합니다. 저는 laelblog-frontend-example 이라는 버킷을 생성했습니다.   2. IAM 사용자 생성하고 Access key 발급하기 IAM 사용자를 만들고, 적절히 권한을 부여합니다.     3. Github Action 의 IP 대역 확인 https://api.github.com/meta Github Action 의 IP 대역을 확인합니다. 2024년 7월 현재 Github Action이 사용하는 CIDR 네트워크 대역은 4597개 입니다. 해당 json 의 “actions” 항목을 살펴보면 됩니다.   4. AWS IAM…

Ubuntu 24.04 LTS 에서 웹서버(NGINX + PHP-FPM + MySQL) 구성하기

HYEONG HWAN, MUN/ 7월 7, 2024/ 미분류/ 2 comments

이 글을 통해 Ubuntu 24.04 LTS 운영체제에서 NPM(Nginx+PHP+MySQL) 웹서버를 구축하는 방법에 대해 설명하도록 하겠습니다. 저는 Ubuntu 9.04 버전부터 10년 넘게 구축 방법을 작성/유지보수 하고 있으며, 그동안 많은분들이 참고해주셨고, 별 문제가 없었습니다. 일반 사업체 및 실무 서비스에서 사용할 수 있는 안정적인 구축 방법을 설명 하겠습니다. * 리눅스 명령어 환경으로 접속하는 방법을 모른다면 이 글로 이동하세요. 리눅스 명령어 환경으로 원격 접속하는 방법 : https://blog.lael.be/post/7574 * 리눅스 설치 후 기초 원격접속 설정을 하려면 이 글로 이동하세요. 리눅스 서버 ssh 원격접속 설정하기 : https://blog.lael.be/post/7678 * VI 에디터(리눅스 편집기) 사용하는 방법 : https://blog.lael.be/post/7321 * Ubuntu 클라우드 서버호스팅을 찾는 중이라면 https://blog.lael.be/post/44 글로 이동하세요. * 서버에 파일을 업로드하고 싶다면 Filezilla 를 사용해보세요. https://filezilla-project.org/ * 유료 도메인을 구매 하려면 https://blog.lael.be/post/6357 글로 이동하세요. LTS 란 무엇인가? * LTS 버전이란? Long Term Support 의 약자입니다. Ubuntu Canonical Group에서 10년간의 패키지 유지보수, 업데이트를 제공합니다. 개별 소프트웨어의 버그나, 보안상의 문제가 생기면 (해당 소프트웨어의…

AWS 콘솔 – IP 제한하는 방법

HYEONG HWAN, MUN/ 6월 3, 2024/ 미분류/ 0 comments

AWS 는 IAM 이라는 방식으로 권한을 제한하고 있다. 모든 활동은 IAM 의 검사를 받으며, 활동은 CloudTrail 에 기록된다.   1. 콘솔 로그인 이벤트 측정하기 콘솔에 로그인 해 보고, CloudTrail 을 통해서 발생하는 이벤트들을 살펴본다.   콘솔 로그인은 signin:CheckMfa -> signin:ConsoleLogin 가 발생하는 것을 확인했다.   2. IAM 으로 권한제한 정책 만들기 관련 권한을 Deny 하는 정책을 만들어야 한다. 하지만, IAM 에서는 관련 이벤트를 Catch 하지 않는다. Catch 하지 않는 이벤트는 항상 Allow 된다.       3. 결론 AWS 콘솔 접근 제한, 또는 콘솔 로그인 IP 제한하는 기능은 존재하지 않는다. 설정하는 방법도 없다. 전세계 많은 사람들이 수년간 요청했을텐데, 이런 기능이 없다니, 아쉬울 따름이다.     4. 하지만 활동을 제한 할 수는 있다. IAM 이 지원하는 모든 활동을 제한하는 권한 정책을…

AWS 콘솔 유저 항상 MFA 를 사용하게 하는 권한 정책

HYEONG HWAN, MUN/ 5월 30, 2024/ 미분류/ 0 comments

ISMS 보안 설정 팁. 콘솔 유저에 대해서, 아래의 권한을, 정책으로 만들든, inline 으로 설정하든 생성해서 attach하면 된다.   2024년 기준으로 위의 정책을 모든 콘솔 계정에 적용하기를 권장함. 그리고 콘솔 사용자는 AccessKey 를 사용하지 말 것. AccessKey 는 서비스 별로 별도로 만들어야 추적이 용이하다.   정책 설명 콘솔 사용자에게는 이 정책을 제외한 어떠한 IAM 권한도 주지 말 것. (예외 : IAMUserChangePassword 정책은 할당해도 됨) AWS 는 로그인 할 때 MFA 를 사용한 로그인 여부를 세션 값에 기록한다. (sessionContext – mfaAuthenticated) Deny-NotAction 정책에 따라서, MFA 로그인이 아니면 모든 활동이 제한된다. 로그인 후에 저 메뉴를 통해서 MFA 를 만들어야 한다.   MFA 이름은 반드시 본인의 아이디로 설정할 것.   콘솔에서 MFA 디바이스를 만들면 CreateVirtualMFADevice 한 후에 EnableMFADevice 가 동작한다. 콘솔에서 MFA 디바이스를 제거하면 DeactivateMFADevice…

validate_password mysql

HYEONG HWAN, MUN/ 5월 27, 2024/ 미분류/ 0 comments

ISMS 때문에 Aurora RDS 에 플러그인을 설치한다. 하위 호환성 때문에 미리 활성화 안되어 있는듯 하다.   SELECT * FROM `mysql`.`plugin`   INSTALL PLUGIN validate_password SONAME ‘validate_password.so’; SHOW VARIABLES LIKE ‘validate%’; 관련된 모든 파라미터는 Predefined 이며, 변경할 수 없다. (RDS 정책인듯)   활성화만 하고 조치 종료.  

ffmpeg spec

HYEONG HWAN, MUN/ 5월 25, 2024/ 미분류/ 0 comments

c7i.large USD 0.1008 speed=0.45x c7i.xlarge USD 0.2016 speed=0.952x c7i.2xlarge USD 0.4032 speed=1.75x c7g.2xlarge USD 0.3264 speed=1.86x SP : 0.2485 RI : 0.216 t3a.medium USD 0.0468 speed=0.25x t3a.2xlarge USD 0.3744 speed=0.946x   — 잘 결정할 것.

지난 3년간 인증받았던 것들 (ISMS-P, ISO 27001, Solutions Architect)

HYEONG HWAN, MUN/ 5월 1, 2024/ 미분류/ 0 comments

자기 개발 용도로 취득했던 것들인데, 지인이 블로그에 올려보는게 어떻겠느냐 라고 하셔서 올려봅니다.   자격증의 의미 : 공인된 제 3자를 통해서 해당 분야의 일정 수준을 검증 받았다. 업무를 하면서, 자격증은 별 필요가 없습니다. 하지만 가끔씩 공인된 제 3자로부터 평가를 받아보는 것은 좋은 경험이 됩니다. 요즘, 주워 들은게 많은, 말만 잘하는 짭 전문가들이 정말 많습니다. 최소한 그런 사람들과 차이점을 두기 위해서, 자격증 취득을 해 두는 것이 좋습니다.   실제로 이 사람이 잘하는 사람인지 검증하는 방법 (TIP) 검증 방법은 매우 쉽습니다. 해보라고 하고, 검증하면 됩니다. 해내면 찐이고, 못하거나 혀가 길면 짭이죠.   아무튼 인증 받은 내역들 입니다. 인기있는 자격 인증은 대부분 유효기간이 3년이라서, 3년내 취득한 것만 나열해 봅니다.   1. AWS Certified Solutions Architect – Professional 인증코드 : S62CWBRC0BF4Q79R 검증사이트 : https://aws.amazon.com/verification 취득일…

Ubuntu 24.04 LTS 에서 웹서버(Apache + PHP + MySQL) 구성하기

HYEONG HWAN, MUN/ 4월 17, 2024/ 미분류/ 21 comments

이 글을 통해 Ubuntu 24.04 LTS 운영체제에서 APM 웹서버를 구축하는 방법에 대해 설명하도록 하겠습니다. 저는 Ubuntu 9.04 버전부터 10년 넘게 구축 방법을 작성/유지보수 하고 있으며, 그동안 많은분들이 참고해주셨고, 별 문제가 없었습니다. 일반 사업체 및 실무 서비스에서 사용할 수 있는 안정적인 구축 방법을 설명 하겠습니다. 개인적인 의견 (24년 4월 22일) Ubuntu 20.04LTS 에서 22.04LTS 로 바뀔때 많은 부분의 변경이 있었습니다. 혁신적이라기 보다는 “이러면 혼란이 있겠다” 싶은 부분이 꽤 있었습니다. 따라서 제 블로그에는 Ubuntu 22.04 관련글을 많이 적지 않았습니다. 24.04 버전은 제가 둘러본 결과, 안정적으로 (의도대로 동작함) 사용할 수 있는 것 같습니다. – 개인적인 의견 : Ubuntu 22.04 LTS 는 건너뛰는걸 권장. – 대안 : 이 글 또는 다른글을 보고 Ubuntu 24.04 LTS 를 사용하세요. * 리눅스 명령어 환경으로 접속하는 방법을 모른다면 이 글로 이동하세요. 리눅스 명령어 환경으로…

2023/2024 실업급여 조건 및 수급기간

HYEONG HWAN, MUN/ 11월 2, 2023/ 미분류/ 0 comments

인터넷 검색결과에 마음에 드는 글이 없어서, 이 블로그에 요약해서 정리해 본다.   실업 급여 정확한 명칭은 “고용보험 실업급여” 임. 관련 부처는 “고용노동부“. 관련 법령은 “고용보험법“. 고용보험법 41조 ~ 43조 까지는 핵심을 담고 있으니 꼭 읽어볼 것. (제발 읽어보세요) [고용보험법 법령링크는 여기에]   고용보험 실업급여의 의미 실직하여 재취업 활동을 하는 기간에 소정의 급여를 지급함으로써 실업으로 인한 생계불안을 극복하고 생활의 안정을 도와주며 재취업의 기회를 지원해주는 제도 [구직급여] 와 [취업촉진수당] 으로 나뉜다. 구직급여 : 일반적으로 말하는 매월 지급되는 “실업 급여”는 이것을 말한다. 취업촉진수당 : 구직급여를 받는 중 수급기간이 절반이상 남아 있고, 취업을 하면, 구직급여는 중단되고 취업촉진 수당을 받는다.(해당 직장에서 1년 근무한 후에)   실업 급여 수급 조건 실업급여 관련법에서는 “이별” 단어의 “떠나다 이” 자를 사용해서, “이직=직업을 떠나다” 라는 뜻으로 사용한다. 그런데 헷갈리므로, 이…

2024 SaaS 회사들이 갖추어야할 역량

HYEONG HWAN, MUN/ 10월 30, 2023/ 미분류/ 0 comments

요즘, 기교가 있는 사람들이 넘쳐난다. 어떤 개발 주제가 주어졌을 때, 이것을 해결할 수 있는 사람이 넘쳐나는 것이다. (또한, 기교가 있는 개발 회사도 넘쳐난다.) 개발 결과물에 대해서 정량적으로 평가하기 매우 어렵기 때문에, 좋은 코드, 좋은 소프트웨어, 좋은 서비스, 좋은 개발자를 찾는 것은 힘든 작업이다. (회사가 사람을, 발주회사가 개발회사를) 따라서 이러한 시대에서 다른 개발자들과 유의미한 차이를 가질 수 있는 역량에 대해 생각하였고, 그 역량은 “신뢰”로 정해졌다. 예를들어 내 블로그의 글들은 개발 방법론 적인 글도 많지만, 주로 인프라 구축에 대해서 설명하고 있다. 웹서버 구축에 관해서 이야기 하자면, 리눅스에 웹서버 설치 및 구성할 수 있는 사람은 넘쳐난다. 하지만, SLA에 입각하여 몇퍼센트 이상 가동을 보장할 수 있는지 서비스가 몇명을 수용 가능한지 오토스케일링은 되는지 장애에 대해 인지할 수 있고 빠른 복구가 가능한지(RPO/RTO) 네트워크는 안전한지 서비스는 안전한지…

무료로 Ubuntu Pro 를 활성화 하여 안전한 OS 사용하는 방법

HYEONG HWAN, MUN/ 7월 31, 2023/ 미분류/ 0 comments

이 글을 통해 Ubuntu LTS OS를 온전히 10년간 사용하도록 조치해 보자. * 이 글은 짝수년도 4월달에 출시하는 LTS 버전에 대해서만 다룹니다. 모든 Ubuntu LTS OS 사용자에게 권장됨. 내용을 읽어보고, 무조건 따라해 보세요. 당신이 개인 사용자 (Private User) 또는 5인스턴스 미만의 사용자라면, 이 글 내용대로 따라하기 당신이 기업 사용자 (Business User) 라면, 이 글 내용대로 따라하거나 또는 기본지원기간(5년)마다 OS 업데이트 하기   1. Ubuntu OS 의 생명 주기 (Ubuntu LifeCycle) 소프트웨어 또한 하드웨어처럼 수명이 있습니다. 한번 작성한 프로그램을 무한정 유지보수 하지는 않습니다. 참고 : https://wiki.ubuntu.com/Releases 간혹 End of Standard Support 와 End of Life 를 헷갈려하는 분들이 있던데, OS의 수명은 10년이니까 누군가 다른 말을 한다면 무시하시면 됩니다. Ubuntu LTS 버전 : 10년의 동작을 보장함. (5년의 일반 지원과, 5년의 기본OS 업데이트 지원,…

미래에셋증권 현금성자산 금리

HYEONG HWAN, MUN/ 7월 7, 2023/ 미분류/ 0 comments

미래에셋증권 퇴직연금 부담금납입이 되면 미래에셋증권현금성자산 으로 분류가 됩니다. 따로 상품을 매수하지 않으면 현금성 자산으로 남아 있습니다. 미래에셋증권 현금성자산 금리는 연 3.50% 입니다. (2023년 7월 7일 기준)   미래에셋증권앱 > 관리하기 > 계좌별종합잔고 메뉴에서 현금성 자산의 금액을 확인 가능합니다. 매일 이자가 붙기 때문에, D2 – D1 계산을 통해서 이율을 확인할 수 있습니다.    

direct 기가랜 연결후기

HYEONG HWAN, MUN/ 4월 18, 2023/ 미분류/ 0 comments

PC간에 파일 복사를 해야하는데, 최고 속도로 하고 싶어서 direct 기가랜으로 두 컴퓨터를 연결했다. 요즘엔 NVME SSD 를 사용하기 때문에 (예전 SATA 시절과는 달리) 디스크를 옮겨꼽기도 엄청 번거롭고 여의치 않더라.   아무튼 Network 로 옮겨야겠다고 결정함.   처음에는 로컬 기가공유기를 사용해서 통신했는데, 만족할 만한 속도가 나오지 않아서 PC-PC 끼리 다이렉트로 연결해 보았다. 네트워크 설계(VPC 설계) 할 수 있으면 적절한 값을 입력하여 두대의 PC를 연결할 수 있다. 어차피 IP Direct 연결이라서, Gateway 구성은 필요치 않고 서브넷만 잘 설정해주면 서로 통신할 수 있다.   1. 처음에는 1Gbps 속도로 전송했음. (그래봤자 120MB/s 속도임) 2. 타겟컴퓨터가 NVME SSD 이었음에도 불구하고 write 속도가 55MB/s (450Mbps) 로 줄어듬. (이 타겟 컴퓨터의 벤치마킹 프로그램 상으로 write 속도는 967MB/s 이었음.) SSD 의 남은 용량이 10% 미만이면 속도저하가 있다더니 그…

s3 tip

HYEONG HWAN, MUN/ 4월 5, 2023/ 미분류/ 0 comments

우선순위 규칙에서, 경로가 일치하더라도, 상위의 허용된 verb가 매칭되지 않으면, 다음순위의 handler 가 받아서 처리한다. 같은 경로이더라도 verb 에 따라서, 여러 origin 설정이 가능하게 되어있나보다. 복잡한 인프라 구성이 가능할 듯 함.