docs: [이력] 서버 안티바이러스 설치 기록

2026-02-27 11:13:14 +09:00
parent 5cc49c241e
commit 569fe37a49
1 changed files with 161 additions and 0 deletions
--- a/history/2026-02/20260225-server-antivirus-install.md
+++ b/history/2026-02/20260225-server-antivirus-install.md
@@ -0,0 +1,161 @@
+# 운영서버 백신 설치 작업
+
+**작업일시**: 2026-02-25 16:49
+**작업자**: 유기훈 담당자 (IDC 업체)
+**작업 대상**: SAM 운영서버 (api-sam)
+
+---
+
+## 서버 정보
+
+| 항목 | 내용 |
+|------|------|
+| 호스트명 | api-sam |
+| OS | Ubuntu 24.04.4 LTS |
+| 커널 | 6.8.0-100-generic |
+| IP | 211.117.60.189 |
+| CPU | Intel Xeon Gold 6230 @ 2.10GHz (2코어) |
+| 메모리 | 7.7GB |
+| 디스크 | 98GB (사용 51%, 여유 46GB) |
+
+## 접근 계정
+
+| 항목 | 내용 |
+|------|------|
+| 계정명 | iteasy |
+| sudo 권한 | 있음 (기존 설정) |
+| 패스워드 | 활성 상태 |
+
+## 작업 내역
+
+### 1. SSH 접근 설정 (임시 개방)
+
+백신 설치를 위해 일시적으로 SSH 설정 변경:
+
+| 설정 | 변경 전 | 변경 후 (임시) |
+|------|---------|----------------|
+| PermitRootLogin | no | yes |
+| PasswordAuthentication | no | yes |
+
+### 2. 백신 설치 완료
+
+IDC 업체(유기훈 담당자)가 root 계정으로 접속하여 백신 서비스(SentinelOne) 설치 완료.
+
+**설치된 프로세스:**
+
+```
+s1-orchestrator   (PID 605627) - 오케스트레이터
+s1-network        (PID 605628) - 네트워크 모니터링
+s1-scanner        (PID 605629) - 스캐너
+s1-agent          (PID 605633) - 에이전트
+s1-firewall       (PID 605634) - 방화벽
+s1-logcollector   (PID 605636) - 로그 수집기
+```
+
+**확인 명령어:**
+```bash
+ps -ef | grep s1
+```
+
+### 3. SSH 접근 설정 원복
+
+작업 완료 후 SSH 설정 원복:
+
+| 설정 | 임시 | 원복 |
+|------|------|------|
+| PermitRootLogin | yes | **no** |
+| PasswordAuthentication | yes | **no** |
+
+## 설치 후 점검 결과 (17:07)
+
+### SSH 보안 설정 ✅
+
+| 설정 | 상태 |
+|------|------|
+| PermitRootLogin | no (차단됨) |
+| PasswordAuthentication | no (차단됨) |
+
+### 백신(SentinelOne) 서비스 ✅
+
+- systemctl 서비스 상태: **active**
+- 프로세스 6개 모두 정상 가동
+
+| 프로세스 | PID | 상태 |
+|----------|-----|------|
+| s1-orchestrator | 610830 | ✅ 정상 |
+| s1-network | 610833 | ✅ 정상 |
+| s1-scanner | 610834 | ✅ 정상 |
+| s1-agent | 610837 | ✅ 정상 |
+| s1-firewall | 610838 | ✅ 정상 |
+| s1-logcollector | 610839 | ✅ 정상 |
+
+### 서버 리소스 ✅
+
+| 항목 | 값 | 상태 |
+|------|-----|------|
+| 메모리 | 4.3GB / 7.7GB (여유 3.4GB) | 정상 |
+| 디스크 | 48GB / 98GB (52%) | 정상 |
+| CPU 부하 | 2.95 | 초기 스캔으로 일시적 상승, 안정화 예상 |
+
+## SentinelOne 상세 정보
+
+### 에이전트 정보
+
+| 항목 | 내용 |
+|------|------|
+| 에이전트 버전 | 25.4.1.24 |
+| Ranger 버전 | 23.4.3.3 |
+| 에이전트 상태 | Enabled (활성) |
+| 관리콘솔 연결 | Connected |
+| 관리콘솔 URL | https://apne1-1002.sentinelone.net |
+| UUID | 97debc7a-66db-a9af-9a0a-2adf9f451aa9 |
+| 크래시 | 없음 |
+
+### 보호 정책
+
+| 정책 | 상태 | 설명 |
+|------|------|------|
+| On-Write | 활성 | 파일 생성/수정 시 실시간 검사 |
+| On-Execute | 활성 | 파일 실행 시 검사 |
+| Kill | 활성 | 위협 탐지 시 프로세스 자동 종료 |
+| Quarantine | 활성 | 위협 파일 자동 격리 |
+| Anti Tamper | 활성 | 백신 임의 해제 방지 |
+| Network Quarantine | 비활성 | 네트워크 격리 |
+| Suspicious Mitigation | 비활성 | 의심 위협 자동 대응 |
+| Deep Visibility | 비활성 | 심층 가시성 |
+
+### 엔진 상태
+
+| 엔진 | 상태 | 버전 |
+|------|------|------|
+| DFI | Enabled / Initialized | 7.5.0.2 |
+| Dynamic | Enabled | - |
+| Drift | Enabled | - |
+
+### 서버에서 확인하는 명령어
+
+```bash
+# 에이전트 동작 확인 (가장 기본)
+sudo sentinelctl control status
+
+# 전체 리포트
+sudo sentinelctl report status
+
+# 엔진 상태
+sudo sentinelctl engines status
+
+# 관리콘솔 연결 확인
+sudo sentinelctl management status
+```
+
+### 웹 관리콘솔
+
+- URL: https://apne1-1002.sentinelone.net
+- 위협 탐지 내역, 격리된 파일, 정책 변경 등을 GUI로 확인 가능
+- 로그인 계정은 IDC 업체(유기훈 담당자)에게 확인 필요
+
+## 요약
+
+- 백신(SentinelOne) 정상 설치 및 프로세스 가동 확인
+- SSH 보안 설정 원복 완료 (root 로그인 차단, 패스워드 인증 차단)
+- 설치 후 점검 완료: 서비스 active, 프로세스 6개 정상, 리소스 이상 없음