부족하지만 함께 나누는 System 엔지니어링

vsftpd 환경의 FTP 서버에 계정을 추가하다가 신기한 것을 발견했다.

chroot_list_file에 있는 계정은 chroot가 작동하지 않고, 해당 목록에 없는 계정만 chroot가 적용되고 있었다.

설정 값을 확인해 보니,

chroot_local_user=NO
chroot_list_enable=YES

응?

그래서 여러 경우를 다 테스트 해봤다.

서로 상호 작용을 하는건지 'chroot_list_enable'을 YES로 설정한다고 chroot가 무조건 활성화 되는 것이 아니었다!

가장 우측 열이 상위 디렉터리 접근 가능 여부를 나타낸다.

특정 디렉터리를 chroot로 지정하고 싶을 경우,

chroot를 활성화한 상태에서 해당 계정의 홈 디렉터리를 수정하면 된다.

# usermod -d [디렉터리] [계정]

On Windows Server, I found that the schedule that is executed when the system boots up is registered in the task scheduler, so I used another method to register the startup program to clean the task scheduler.

It is a method to register in the startup program like a common PC without using the task scheduler. But I couldn't register startup program same way as the PC, so I had to directly add startup program in startup folder.

And, I found two way how to access the folder.

How to register the startup program easily:

There are the two ways. 

　(Administrator privileges will be required.)

　1) Using Run(windows key + R)

　　'shell:startup'

　2) file explorer

　　%appdata%\Microsoft\Windows\Start Menu\Programs\Startup

After that, just add the program or batch file you want to run at startup to the directory.

SSL, TLS의 경우 서버와 클라이언트 중 한 쪽에서라도 프로토콜이 비활성화되면 연결에 사용하지 않는다.

따라서 위의 메시지가 뜰 경우, 웹 서버 측에서 하위 버전 프로토콜을 비활성화하면 해결 된다:D

레지스트리를 수정하여 비활성화 하도록 하자.

기존에 설정된 레지스트리가 있는지 확인.

> reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols"

(레지스트리 수정은 항상 조심하기)

아래 명령어에는 값을 무조건 변경하는 '/f' 옵션이 추가되어있습니다.

> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" /v Enabled /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" /v DisabledByDefault /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v DisabledByDefault /t REG_DWORD /d 0 /f

> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" /v Enabled /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" /v DisabledByDefault /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v DisabledByDefault /t REG_DWORD /d 0 /f

> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client" /v Enabled /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client" /v DisabledByDefault /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server" /v Enabled /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server" /v DisabledByDefault /t REG_DWORD /d 0 /f

> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client" /v Enabled /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client" /v DisabledByDefault /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /v Enabled /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /v DisabledByDefault /t REG_DWORD /d 0 /f

TLS 1.2 활성화 하기.

앞의 비활성화 명령줄에서 Enabled 값만 1로 바꿔주면 된다.

> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" /v Enabled /t REG_DWORD /d 1 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" /v DisabledByDefault /t REG_DWORD /d 0 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled /t REG_DWORD /d 1 /f
> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v DisabledByDefault /t REG_DWORD /d 0 /f

레지스트리 수정 후 재부팅하면 적용된다.

TLS 버전 확인 방법.

https://ssltools.digicert.com/checker/views/checkInstallation.jsp

https://www.ssllabs.com/ssltest/

원본:

SChannel

이벤트 ID:

36887

내용:

다음 경고를 받았습니다. 40.
다음 경고를 받았습니다. 70.

SChannel(SSL/TLS) Alter Cdoes

40, handshake_failure

Indicates that the sender was unable to negotiate an acceptable set of security parameters given the options available. This is a fatal error.

=> 클라이언트가 서버에서 사용할 수 없는 보안 파라미터로 연결을 시도해서 발생한 오류.

70, protocol_version

The protocol version the client attempted to negotiate is recognized, but not supported. For example, old protocol versions might be avoided for security reasons. This message is always fatal.

=> 클라이언트가 연결 시도에 사용한 프로토콜 버전을 지원하지 않아 발생한 오류. 오래된 프로토콜 버전은 보안상의 이유로 제외할 수 있다.

The error isn't fatal to server in operation.

It is occurs error just when attempts to negotiate with protocol version lower than TLS 1.2. For security reason, Lower than TLS 1.2 protocol were disable.

보안상의 이유로 TLS 1.2와 TLS 1.3만 활성화한 후에, 허용되지 않은 프로토콜(TLS 1.2 미만 버전)로 접속해서 발생하는 오류이다.

윈도우 시작 버튼/탐색기에서 검색이 되질 않는다.!

1) 서비스 강제 재시작

> sc stop WSearch

> taskkill /pid <WSearch pid> /f

윈도우 서비스 'Windows Search'가 '중지하는 중'에서 멈춰있어 강제 종료를 했지만, 권한이 있는데도 실패했다.

2) 만능 문제 해결사

[설정] - [Windows 검색 방법 변경] - '검색 및 색인 문제 해결'

or [제어판] - [색인 옵션] - '검색 및 색인 문제 해결'

권한이 없어도 바로 해결 된다.