Content Security Policy 설정

이 블로그는 nginx 상에서 운영되고 있다. 최근에 Content Security Policy(이하 CSP) 관련 내용을 접하고 실제 서버 설정에 적용해서 운영해보고 있다. 처음 설정 때는 이미지, JS 파일 등이 차단되어 브라우저 개발자도구에서 무수한 오류가 떠서 놀라기도 했는데 차근차근 도메인을 추가하고 설정을 변경하다 보니 아직까지는 문제없이 적용되어 작동이 되는 것 같다. CSP 관련 룰을 적용하고 https://observatory.mozilla.org/ 에서 테스트 해본 결과는 아래 이미지와 같다. 처음엔 F 등급이었던 것에 비하면 많이 나아진 것이다.

B 등급 이상을 받기 위해 설정을 더 변경해야겠지만 그러기엔 너무 일이 많을 것 같고 더구나 영어 울렁증에 문서를 보는 것도 쉽지 않기 때문에 이 정도에서 마무리했다. 아래는 적용하여 사용 중인 CSP 룰 설정이다. Read More

Ubuntu 16.04 에 telegram-cli 설치 및 데몬실행 설정

텔레그램을 이용한 알림 전송은 이전 포스트와 같이 처리하면 가능하다. 다만 chat_id를 확인하고 등록해야만 하는데 이런 불편함을 없애보고자 telegram-cli 를 개발서버에 설치해 메세지 전송을 테스트하려고 telegram-cli를 아래와 같이 설치했다.

telegram-cli : https://github.com/vysheng/tg

위 내용대로 진행하면 이상없이 설치가 된다.. 아니 되어야 한다. 그런데 나의 경우 libssl-dev 설치 버전이 1.1 이이서 make 과정에서 openssl 관련 오류가 발생했다. openssl은 시스템 전반에 영향을 끼치는 것이라 버전을 바꾸기도 애매했는데 확인해보니 PHP를 설치하기 위해 ondrej/php ppa 를 이용한 경우에 1.1 버전이 설치되는 듯 했다. PHP를 제거하고 ppa를 제거한 후 우분투 16.04에서 기본 제공하는 php 7.0.x 버전을 설치하면 1.0 버전을 유지할 수 있어 컴파일 때 오류가 발생하지 않는다. 컴파일 완료 후 아래 명령을 통해 telegram-cli를 실행한다.

휴대폰 번호 인증 후 telegram-cli 를 통해 메세지를 전송할 수 있다. 간단한 사용법은 http://tech.whatap.io/2015/09/25/telegram-cli/ 참고. Read More

인텔 취약점 해결을 위한 GA-B250-HD3 메인보드 Bios 업데이트

정말 오랜만에 메인보드이 Bios를 업데이트해본 것 같다. 최근에 불거진 Intel ME의 취약점 때문에 어쩔 수 없는 선택이었다. GA-B250-HD3 메인보드는 회사컴에서 사용하는 메인보드로 출근 후 바로 업데이트를 시도했는데 USB 저장한 파일을 기가바이트 업데이트툴인 Q-Flash에서 읽지 못하는 문제가 발생하여 업데이트를 못했다. PC의 OS가 우분투이다 보니 이럴 때는 대처하기 쉽지 않다. 다행히 아래 글을 검색으로 찾았고 USB를 새로 포맷하니 업데이트를 시도했더니 정상적으로 완료됐다.

USB 포맷 : http://www.techsupportforum.com/forums/f15/cant-update-bios-on-gigabyte-motherboard-1057546.html#post6699538

업데이트에 사용한 USB를 우분투 설치를 위해 사용했던 것이라 파일시스템 등의 문제로 Bios 파일이 읽히지 않았던 모양이다. Intel ME 취약점이 해결된 Bios는 아래 사이트에서 받을 수 있다. F8 버전이 현재(2017-12-01) 해결된 버전이다. Bios 업데이트 후 Intel 에서 제공하는 취약점 체크툴을 실행하니 아래와 같이 취약점이 해결됐다고 표시됐다. Read More

인텔 8세대 코어 보안 결함 테스트 툴

기사 중 (http://thegear.co.kr/15458)

인텔은 20일(현지시각) 최신 8세대 코어 프로세서가 포함된 자사 제품군의 ‘관리 엔진(Intel Management Engine, ME)’, ‘서버 플랫폼 서비스(Intel Server Platform Services, SPS)’ 그리고 ‘신뢰 실행 엔진(Intel Trusted Execution Engine, TXE)’에 총 8개의 취약점이 발견됐다고 밝혔다.

아래 사이트에서 취약점 테스트 툴을 다운로드하여 테스트를 해봤다. 결과는 아래처럼 취약점이 있다고 나온다. 메인보드 제조사에서 업데이트를 해줘야 할 것 같은데.. 언제가 될런지…

OS가 우분투라서 리눅스 툴로 테스트를 했고 리눅스는 파이썬으로 제작된 스크립트 파일을 사용한다. 아래 명령을 통해 확인할 수 있다.

취약점이 있는 인텔 제품군은 아래와 같다.

  • 6세대, 7세대, 8세대 코어 프로세서
  • 제온 프로세서 E3-1200 v5, v6 시리즈
  • 제온 프로세서 스케일러블 시리즈
  • 제온 프로세서 W 시리즈
  • 아톰 C3000 프로세서 시리즈
  • 아폴로 레이크 세대 아톰 E3900 시리즈
  • 아폴로 레이크 세대 펜티엄
  • 셀러론 N, J 시리즈

Ubuntu 16.04에서 ngx_pagespeed 모듈을 포함한 nginx deb 패키지 컴파일

Ubuntu(우분투) 16.04 에서 ngx_pagespeed 모듈을 포함한 deb 패키지를 컴파일 하는 방법이다. nginx.org 에서 배포하는 패키지에는 pagespeed 모듈이 없기 때문에 직접 소스 컴파일 후 nginx를 설치하거나 아래의 방법으로 pagespeed 모듈을 포함한 패키지를 컴파일해서 설치해야 한다. 패키지를 만들게 되면 다른 서버에도 설치할 수 있는 장점이 있다. 아래 과정은 우분투 16.04 Server 환경을 기준으로 한다.

Google PageSpeed Module : https://developers.google.com/speed/pagespeed/module/

1. nginx 저장소 추가

nginx.org에서 제공하는 우분투 저장소를 설정한다.

사인키 설치 후 /etc/apt/sources.list 파일에 아래 저장소 설정을 추가한다. nano 에디터를 사용한다면 아래와 같이 입력한다.

로컬 패키지 인덱스를 업데이트 한다.

Read More