error탐정

https://hiseon.me/tools/online-ssl-checker/

해당사이트에 들어가서

위 textarea에 pem파일 텍스트를 붙여넣고 확인 버튼을 누르면

아래에 

이와 같이 ssl관련 정보들이 나온다.

갱신할 ssl 파일들의 만료일을 알 수 있었다.

취약점 내용

- 공격자는 권한이 없는 일반 사용자로 접속한 후 polkit* 패키지 내 pkexec* 취약점을 이용해 root 권한을 갖게된다

영향을 받는 버전

Polkit 0.120 포함 이전 버전이 설치된 리눅스 서버

임시조치 방안

chmod 0755 /usr/bin/pkexec

설명

먼저 버전확인을 위해 아래와 같이 명령어를 입력한다.

[root@   ~]# rpm -qa | grep polkit
polkit-0.112-22.el7_7.1.x86_64

해당 명령어를 통해 0.112 버전을 확인하고 0.120 이전버전이므로 아래와 같이 한번 더 명령어를 입력

[root@   ~]# rpm -ql polkit-0.112-22.el7_7.1.x86_64
... 
/usr/bin/pkexec
...

/usr/bin/pkexec 파일이 존재함을 확인된다면

아래와 같이 순서대로 진행한다.

위 이미지처럼

기존에는 pkexec는 권한이 없는 일반사용자도 해당 파일을 실행할때 일시적으로 소유자의 권한을 얻어 root로 실행가능했다.  -rwsr 

취약점 임시조치를 위해 권한 변경으로 인해 chmod 0755 /usr/bin/pkexec

일반사용자는 해당 파일을 실행할 수 없도록 수정된다. -rwxr

기존의 s는 setuid라고 하며, 이는 실제 실행하고 있는 사용자가 root소유자 권한으로 실행할 수 있는 권한을 갖는다

<button type="button" onclick="fn_download()">파일 다운로드</button>
<form id="downForm" method="post" action="파일주소"></form>

파일 다운로드 버튼 클릭시 현재 날짜와 기준 날짜를 비교하여 다운로드 여부를 alert창으로 띄운다.

<script type="text/javascript">
function fn_download(){
	var now_date = new Date(); // 현재 날짜
	var sel_date = new Date(2022, 1, 1);  // 비교 대상 날짜  

   
	if(now_date >= sel_date){
		$("#downForm").submit();
	}else{
		alert("해당 파일은 2월 1일부터 다운로드 가능합니다");
	}
}
</script>

주의할 것은 2월인데 1로 한 이유는 0부터 시작하기 때문

shell-init: error retrieving current directory: getcwd: cannot access parent directories: 그런 파일이나 디렉터리가 없습니다

처음보는 오류가 발생 ~

번역기 돌려보니

shell-init: 현재 디렉토리 검색 오류: getcwd: 상위 디렉토리에 액세스할 수 없습니다.

라는 뜻

나의 경우엔 ftp로 톰캣 war를 배포할때 잘못 배포된것 같긴한데 뭐가 잘못됬는지몰라서

관련 디렉토리를 삭제하고 다시 war배포하고 deploy 한 후

톰캣 재기동시 나온오류였다.

삭제했던 디렉토리에서 쉘접속한 상태로 머물러 톰캣 시작 실행파일인 startup.sh 를 실행시키니까

너가 있는 곳은 존재하지 않는곳인데 거기서 실행하지 말라는 의미이다

그래서 루트로 한번 갔다가 다시 startup.sh 를 실행하니까 오류가 사라짐

DB명 innodb
table명 test

ALTER DATABASE innodb CHARACTER SET = utf8mb4 COLLATE = utf8mb4_unicode_ci;

ALTER TABLE test CONVERT TO CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;

insert into test(content) values ('😁😂😃😄😅😆💩');

1.2.17에서 2.17.1 버전으로 변경중인데

이번에도 역시 오류가 남

org.apache.commons.logging.LogConfigurationException: User-specified log class 'org.apache.commons.logging.impl.Log4JLogger' cannot be found or is not useable. at org.apache.commons.logging.impl.LogFactoryImpl.discoverLogImplementat

<dependency>
	<groupId>org.apache.logging.log4j</groupId>
	<artifactId>log4j-jcl</artifactId>
	<version>2.17.1</version>
</dependency>

ssl_1 은 내가 하고싶은 이름이므로, 사용하고싶은 명칭을 쓰면 됨

[user@localhost ~]$ openssl genrsa -des3 -out ssl_1.key 2048
Generating RSA private key, 2048 bit long modulus
..........+++
...........................................................................................+++
e is 65537 (0x10001)
Enter pass phrase for ssl_1.key:
# 비밀번호입력
Verifying - Enter pass phrase for ssl_1.key:
# 비밀번호 재입력


[user@localhost ~]$ openssl req -new -key ssl_1.key -out ssl_1.csr
Enter pass phrase for ssl_1.key:
# 위에서 비밀번호입력한 비밀번호 입력
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:KR
State or Province Name (full name) []:Seoul
Locality Name (eg, city) [Default City]:GangNam
Organization Name (eg, company) [Default Company Ltd]:회사명
Organizational Unit Name (eg, section) []:제품명
Common Name (eg, your name or your server's hostname) []:사설아이피입력
Email Address []:이메일주소

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:비밀번호
An optional company name []:
[user@localhost ~]$ openssl rsa -in ssl_1.key -out ssl_1_nopass.key
Enter pass phrase for ssl_1.key:
writing RSA key
[user@localhost ~]$ openssl x509 -req -days 365 -in ssl_1.csr -signkey ssl_1_nopass.key  -out ssl_1.crt
Signature ok
subject=/C=KR/ST=Seoul/L=GangNam/O=회사명/OU=제품명/CN=사설아이피/emailAddress=이메일주소
Getting Private key
[user@localhost ssl]$ openssl pkcs12 -export -in ssl_1.crt -inkey ssl_1.key -out ssl_1.p12 -name tomcat
Enter Export Password:
Verifying - Enter Export Password:

-- ========================
[user@localhost ssl]$ ll

-rw-rw-r--. 1 user user 1326  1월 11 11:18 ssl_1.crt
-rw-rw-r--. 1 user user 1102  1월 11 11:06 ssl_1.csr
-rw-rw-r--. 1 user user 1743  1월 11 10:53 ssl_1.key
-rw-rw-r--. 1 user user 1675  1월 11 11:18 ssl_1_nopass.key
-rw-rw-r--. 1 user user 2594  1월 11 12:16 ssl_1_nopass.p12
[user@localhost ssl]$

위에서부터 순서대로 하면 된다.

근데 이건 openssl이라 톰캣 실제 운영할떄 구매해서 사용하는 ssl이랑 설정이 조금 다르다

우선 톰캣 server.xml 변경할 것 (설치한 ssl을 443포트로 사용할 것이라는 가정하에)

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
port="443" SSLEnabled="true" maxThreads="200"
    scheme="https" secure="true"
    keystoreFile="p12 경로"
    keystorePass="p12 비밀번호"
    keystoreType="pkcs12"
    clientAuth="false"
    sslProtocol="TLS" />

그다음 톰캣 conf 디렉토리 하위에 web.xml에 다음 코드를 추가한다.

    <security-constraint>
       <web-resource-collection>
          <web-resource-name>SSL Forward</web-resource-name>
          <url-pattern>/*</url-pattern>
       </web-resource-collection>
       <user-data-constraint>
         <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
   </security-constraint>

톰캣 재기동 후 설치확인한다.

openssl s_client -host 사설아이피 -port 443 -tls1_2

설치확인이 됬는데 https가 안떠서 확인해보니 포트사용중이긴하나 방화벽에서 허용된 포트가 아니라 안뜨는거엿음.

아래443포트추가후 완료

 $ 443포트 추가
 firewall-cmd --permanent --zone=public --add-port=443/tcp
 # 반드시 재시작 필요
 firewall-cmd --reload

다음 포스팅에선 openssl 적용한 후 haproxy적용하는 방법을 적어봐야지

2022.04.07 - [개발/리눅스] - openssl 적용한 후 haproxy적용하는 방법

나는 소라고 생각해