Client
-
자체 CA 인증서 만든 후 client, server 인증서 만들기메모 및 기타 2023. 8. 9. 23:35
CA는 디지털 인증서의 신뢰성을 확보하는 중요한 역할을 한다. 다음 단계들을 통해 자체 서명된 CA 인증서를 만드는 방법을 알아본다. 참고로 우분투 환경에서 openssl을 이용하였다. 1) Private Key 만들기 첫 단계로 CA의 private key를 만든다. openssl genpkey -algorithm RSA -out ca.key -aes256 2) Private Key로 Root CA 인증서 만들기 생성된 private key로 root CA 인증서를 생성한다. openssl req -x509 -new -nodes -key ca.key -sha256 -days 1825 -out ca.crt 그리고, 보안을 강화하기 위해 key 파일의 권한을 제한한다. chmod 400 ca.key CA로..
-
Linux TIME_WAIT 소켓 정리커널(Kernel) 2022. 12. 11. 16:50
환경 정보 OS: ubuntu18.04 이번 포스팅은 4-way handshake에서 TIME_WAIT 소켓을 어떻게 관리하면 좋을지에 대한 내용들을 다룬다. TCP 통신 과정 tcpdump를 통해서 client(192.168.9.194) => nginx(192.168.9.75:80)로 가는 패킷을 dump한다. tcpdump -i any port 80 -A -nn -w nginx.pcap curl 192.168.9.75 Wireshark를 이용하면, 방금 nginx로 보낸 요청이 tcp 3-way handshake, http get 요청, 4-way handshake라는 단계로 이루어져 있음을 확인할 수 있다. 일단 대략적인 흐름은 다음과 같다. 3-way handshake 1. [클라이언트 => ng..
-
Keycloak client scope 정리메모 및 기타 2022. 11. 25. 12:22
OIDC 액세스 토큰이 생성되면 기본적으로 User의 모든 User role mapping이 토큰 내의 클레임으로 추가된다. 애플리케이션(클라이언트)은 이 토큰 정보를 사용하여 해당 애플리케이션이 제어하는 리소스에 대한 액세스 결정을 내린다. 만약 Application이 손상되거나 Realm에 등록된 악성 애플레케이션 클라이언트가 있는 경우, 공격자가 광범위한 권한을 가진 액세스 토큰을 얻을 수 있기 때문에 클라이언트의 권한 허용 범위를 제한할 필요가 있다. keycloak에서는 이를 client scope로 처리한다. Client scope란? Client Scope는 액세스 토큰 내 선언된 Role을 제한하는 방법이다. 클라이언트가 사용자 인증을 요청할 때, 사용자가 받은 액세스 토큰에는 client..