soowim

1. So What

Xen -> 오픈소스 하이퍼바이저 중 하나로   하드웨어 위의 Type1의 형태 또는 베어 메탈 형ㅌ채의 가상화 기술을 의미한다.

Xen은 CPU,Memory, Interrup 등을 직접으로 다루고, 물리 리소스를 추상화하여 가상화 된 리소스를 가상화 머신에게 제공한다.

Xen 하이퍼바이저는 장치(Device)에 대한 처리는 직접 수행하지 않는 대신 장치를 관리하는 특권(Privilege)이 있는 가상 머신인 도메인 0에게 이러한 역할을 일임한다. 사용자 모드에 있는 어플리케이션이 커널의 기능을 이용할 수 있도록 커널이 시스템콜(syscall)을 제공하는 것처럼 도메인0이 하이퍼바이저의 기능을 요청하기 위해 하이퍼콜(hypercall)을 사용하고, 하이퍼 바이저가 도메인을 요청하기 위해 업콜(upcall)을 수행한다. Xen 하이퍼바이저를 통해서는 크게 반가상화와 하드웨어 지원 가상화가 가능하다.

[ 도메인이란? ]

도메인은 Xen환경에서 동작하고 있는 가상머신을 말한다. 도메인은 크게 도메인0과 도메인 U 2가지로 나뉘어지는데, 도메인 0은 실제 물리 장치로 접근가능하며, 다른 도메인을 관리하는 특권이 있는 도메인이며, 도메인 U는 특권이 없는 나머지 도메인을 의미한다. 도메인 0은 Xen을 부팅시키면 실행되는 첫 번째 도메인으로 일반적으로 Linux를 사용하지만 NetBSD나 FreeBSD와 같은 다른 운영체제도 사용할 수 있다. 도메인 0은 다른 도메인을 관리하기 위해 도메인의 생성, 파기 및 설정을 위한 인터페이스를 제공하는 ToolStack을 가지고 있고, 장치를 집접 관리하고 다른 도메인 간에 장치를 공유하는 역할을 한다.

[ Type1 vs Type2 하이퍼바이저 ]

가상화에서 '게스트 운영체제'는 가상화 대상이 되는 시스템을 의미하며, '호스트 운영체제'는 가상화 프로그램을 실행하는 즉, 가상화가 되지 않은 실제 운영체제를 의미한다. Type1 하이퍼바이저의 경우 호스트 운영체제가 존재하지 않으며, 대표적으로 Xen이 있다. Type2 하이퍼바이저는 호스트 운영체제에서 가상화 프로그램을 실행하여 게스트를 실행하는 방식으로 VirtualBox, VMware 등이 있다.

예를 들어, Type1 하이퍼바이저인 Xen을 사용하여 우분투를 가상화하면 바로 우분투가 실행되지만, 우리가 윈도우에서 Type2 하이퍼바이저를 활용하는 VirtualBox를 실행한다고 하면 아래의 그림과 같이 윈도우에서 VirtualBox 프로그램을 통해 우분투가 실행된다.

1. So Waht

Single Sign-on

여러개의 사이트에서 한번의 로그인으로 여러가지 다른 사이트들을 자동적으로 접속하여 이용하는 방법

일반적으로 서로 다른 시스템 및 사이트에서 각각의 사용자 정보를 관리하게되는데, 필요에 따라서 사용자 정보를 연동하여 사용해야 하는 경우도 생긴다.

하나의 사용자정보를 기반으로 여러 시스템을 하나의 통합 인증 사용을 하게함.

시스템에서 인증을 할 경우 타 시스템에서는 인증정보가 있는지 확인하고 있으면, 로그인 처리를 하고, If 없다면 다시 통합 인증을 할 수 있도록 Create

결론 ->  아이디 패스워드 한개의 데이터로 여러 시스템에 접근하게하는 autofs같은? 로그인 인증 솔루션

2. So Why?

회사들의 Grouping 또는 size up 하며 여러 site를 통합 관리가 필요한 경우 sso를 사용한다.

사용자의 편리를 위한 원패스 인증 절차 라는 얘기구나~

3. Composition

A. 사용자 로그인 통합

B. 인증서버

C. 에이전트 ALL - 시스템별 정보 관리

D. LDAP(Lightweight Directory Access Protocol) - 네트워크 필터링? F/W DMZ 같은 느낌.  서버단 인증이아닌 네트워크단의 식별 및 사용자 인허가

4. Skill

인증 : PKI(Public Key Infra structure)

생체 인식, OTP(One Time Password)

쿠키(Cookie)

암호화 통신 : SSL(Secure Socket Layer), IPSec(IP Security Protocol)

관리 : LDAP(Lightweight Directory Access Protocol)

5. SSO Category

1) 인증 대행 모델(Delegation)

- 인증 방식을 변경하기 어려울 경우, 많이 사용

- 시스템 접근 시, 통합 Agent가 인증 작업을 대행

2) 인증 정보 전달 모델(Propagation)

- 웹 기반의 시스템에 주로 사용

- 미리 인증된 토큰(Cookie 기능 이용)을 받아서 각 시스템 접근 시, 자동으로 전달

6. Cookie를 이용한 SSO 구현 시, Cookie 보안 방법

`데이터 기밀 유지(Data Confidentiality) : 토큰은 주요 암호 알고리즘(AES, SEED)과 128bit 이상의 키로 암호화

`데이터 무결성(Data Integrity) : 토큰은 MAC 등을 포함해 데이터의 무결성을 보장

`사용자 주소 제한이나 유효 시간 제한 같은 보안 기술을 사용하여, 토큰을 네트워크에 노출시키지 않아야 함

해킹을 당했다고 연락이 왔다.

비트코인을 보내라고 하는데 ㅎㅎㅎ 

마이너 하다!

root를 못 뚫었고, 데이터를 기준으로 암호화한 것이 아닌, 계정을 통해 권한을 없앤 것 같다.

/etc/passwd 사용 계정 추리고, 삭제 및 재생성  ipmi 마스터 계정 재생성 하였다.

f/w에서 무작위 포트 접근 IP 특정 5개  24비트 통으로 차단을 했고,

pam_tally2로 극한 제한(1회 실패시 60분 제한)을 해서 시도여부를 체크하고 있다.

생각보다 간단했다.

역시 내부망 이용 또는 DMZ 통해 사용 포트만 오픈하고 모두 차단하는 쪽으로 안내해드렸다.

컴퓨터에서 컴퓨터 리소스의 추상화를 일컫는 광범위한 용어로 다중 논리 리소스로서의 기능을 하는 것처럼 보이는 서버, 운영 체제, 응용 프로그램, 또는 저장 장치와 같은 하나의 단일 물리 리소스를 만들어 낸다. 아니면 단일 논리 리소스처럼 보이는 저장 장치나 서버와 같은 여러 개의 물리적 리소스를 만들어 낼 수 있다. 

바이오 쪽의 고성능 서버를 필요로 하는 곳에서는 온프레미스가 비용적 운영적 측면에서 유리하다고 생각했다.

그 이유는 데이터의 볼륨이 웹서비스에 비해 변동 폭이 크기 때문이다.

반대로 웹서비스가 없는 곳은 없으니, 가상화는 필 수 인것 같다.

버젼 관리, 비용적인 측면, 어플리케이션 설치 없이 사용이 가능한 부분이 가장 큰 장점인 것 같다.

물리서버의 관리 리소스가 없기 때문에 아주 긍정적인 것 같다.

하지만 GPU를 활용한 서비스들이 많이 나오고 있는데, 실 서비스는 클라우드 형식으로 하고  분석, 연구 R&D는 온프레미스로 분산해서 처리를 하는 것도 방법일 것 같다라는 생각이 든다.

무튼, 가상화로 인프라 백업 시스템을 만들어 봐야겠다.

지금은 각서버에서 크론으로 매일 스크린에 백업을 던지고, 다음날 다시 백업이 돌기전까지 스크린이 살아 있다.

매일 백업(증분) 백업을 하기고  백업 망을 10.1.255.* 대역으로 인터널망을 만들어놔서 걱정은 없지만~!~

웹으로 인프라의 백업 상태, 로그, 실행등등 서비스를 해볼까한다.

왜냐면... 내가 편하기 위해서..?ㅎㅎㅎ 내눈으로 확인을 하면 더 좋을 것 같아서 이다....하하하하하