|
| 1 | +# MORI SOC-lite |
| 2 | + |
| 3 | +오픈소스 기반 **Security Visibility Platform (SOC-lite)** 배포 스캐폴드입니다. |
| 4 | + |
| 5 | +이 저장소는 중소 규모 조직(SME)을 위한 보안 가시성 플랫폼을 `docker compose` 기반으로 구성하며, |
| 6 | +다음 영역을 한 번에 묶어 운영할 수 있도록 설계했습니다. |
| 7 | + |
| 8 | +- Infrastructure Monitoring: Zabbix |
| 9 | +- Log Centralization: Loki + Fluent Bit |
| 10 | +- Endpoint Security / Compliance: FleetDM |
| 11 | +- Security Event Detection: Wazuh |
| 12 | +- Visualization: Grafana |
| 13 | +- Vulnerability Scan: Trivy |
| 14 | + |
| 15 | +## 1. 배포 목표 |
| 16 | + |
| 17 | +- 공개 주소: `http://mori.rmstudio.co.kr:37854` |
| 18 | +- 배포 경로: `/backup/rmstudio/mori` |
| 19 | +- 배포 방식: GitHub Actions + SSH |
| 20 | +- 실행 방식: `docker compose` |
| 21 | + |
| 22 | +현재 외부 공개 진입점은 **Grafana**입니다. |
| 23 | + |
| 24 | +## 2. 현재 구성된 서비스 |
| 25 | + |
| 26 | +### Public Entry |
| 27 | +- `Grafana` (`37854`) |
| 28 | + |
| 29 | +### Internal Services |
| 30 | +- `Loki`: 중앙 로그 저장소 |
| 31 | +- `Fluent Bit`: 호스트 로그 수집 및 Loki 전송 |
| 32 | +- `Zabbix Server/Web`: 인프라 모니터링 |
| 33 | +- `FleetDM`: 엔드포인트/취약점 관리 |
| 34 | +- `Wazuh Manager/Indexer/Dashboard`: 보안 이벤트 탐지 및 분석 |
| 35 | +- `Trivy`: 파일시스템 취약점 스캔(Profile 기반) |
| 36 | + |
| 37 | +## 3. 포트 구성 |
| 38 | + |
| 39 | +- Public |
| 40 | + - `37854` → Grafana |
| 41 | + |
| 42 | +- Internal / localhost only |
| 43 | + - `127.0.0.1:8080` → Zabbix Web |
| 44 | + - `127.0.0.1:1337` → FleetDM |
| 45 | + - `127.0.0.1:8443` → Wazuh Dashboard |
| 46 | + |
| 47 | +- Service ports |
| 48 | + - `10051` → Zabbix Server |
| 49 | + - `1514` → Wazuh agent traffic |
| 50 | + - `1515` → Wazuh registration |
| 51 | + - `514/udp` → Syslog |
| 52 | + - `55000` → Wazuh API |
| 53 | + |
| 54 | +## 4. 저장소에 추가된 파일 |
| 55 | + |
| 56 | +- `docker-compose.yml`: 전체 SOC-lite 스택 구성 |
| 57 | +- `.env.example`: 배포용 환경변수 예시 |
| 58 | +- `generate-indexer-certs.yml`: Wazuh 인증서 생성용 compose 파일 |
| 59 | +- `.github/workflows/deploy.yml`: GitHub Actions 배포 워크플로우 |
| 60 | +- `docs/DEPLOYMENT.md`: 서버 준비 및 운영 가이드 |
| 61 | +- `config/*`: 각 서비스별 설정 파일 |
| 62 | + |
| 63 | +## 5. 배포 방식 |
| 64 | + |
| 65 | +GitHub Actions가 아래 순서로 동작하도록 구성했습니다. |
| 66 | + |
| 67 | +1. 저장소 체크아웃 |
| 68 | +2. 서버 경로 `/backup/rmstudio/mori` 생성 확인 |
| 69 | +3. `rsync`로 코드 동기화 |
| 70 | +4. GitHub Secret의 `.env` 내용을 서버에 업로드 |
| 71 | +5. Wazuh 인증서가 없으면 최초 1회 생성 |
| 72 | +6. `docker compose pull` |
| 73 | +7. `docker compose up -d --remove-orphans` |
| 74 | + |
| 75 | +## 6. 필수 환경변수 |
| 76 | + |
| 77 | +`.env.example` 기준으로 실제 `.env`를 작성해야 합니다. |
| 78 | + |
| 79 | +반드시 변경해야 하는 값: |
| 80 | + |
| 81 | +- `GRAFANA_ADMIN_PASSWORD` |
| 82 | +- `ZABBIX_DB_PASSWORD` |
| 83 | +- `FLEET_DB_ROOT_PASSWORD` |
| 84 | +- `FLEET_DB_PASSWORD` |
| 85 | +- `FLEET_SERVER_PRIVATE_KEY` |
| 86 | + |
| 87 | +예시: |
| 88 | + |
| 89 | +- `cp .env.example .env` |
| 90 | +- `openssl rand -base64 32` |
| 91 | + |
| 92 | +## 7. 서버 사전 준비 |
| 93 | + |
| 94 | +- Docker Engine 설치 |
| 95 | +- Docker Compose Plugin 설치 |
| 96 | +- 배포 디렉터리 생성: `/backup/rmstudio/mori` |
| 97 | +- Wazuh Indexer용 커널 파라미터 적용 |
| 98 | + |
| 99 | +필수 설정: |
| 100 | + |
| 101 | +- `vm.max_map_count=262144` |
| 102 | + |
| 103 | +## 8. GitHub Secrets |
| 104 | + |
| 105 | +워크플로우 실행을 위해 아래 Secret이 필요합니다. |
| 106 | + |
| 107 | +- `DEPLOY_HOST` |
| 108 | +- `DEPLOY_PORT` |
| 109 | +- `DEPLOY_USER` |
| 110 | +- `DEPLOY_SSH_KEY` |
| 111 | +- `DEPLOY_ENV_FILE` |
| 112 | +- `DEPLOY_KNOWN_HOSTS` (선택) |
| 113 | + |
| 114 | +## 9. 현재 검증 상태 |
| 115 | + |
| 116 | +완료된 검증: |
| 117 | + |
| 118 | +- `docker compose config` 통과 |
| 119 | +- `docker compose -f generate-indexer-certs.yml config` 통과 |
| 120 | + |
| 121 | +또한 Wazuh Dashboard의 설정 마운트 충돌 가능성을 제거하도록 compose를 보정했습니다. |
| 122 | + |
| 123 | +## 10. 운영 메모 |
| 124 | + |
| 125 | +- 현재 공개 서비스는 Grafana만 노출합니다. |
| 126 | +- Zabbix / FleetDM / Wazuh Dashboard는 localhost 바인딩으로 제한했습니다. |
| 127 | +- Wazuh 기본 예제 계정은 공식 예시 기본값(`SecretPassword`)을 사용 중입니다. |
| 128 | +- Wazuh 비밀번호를 변경하려면 `config/wazuh_indexer/internal_users.yml`의 해시와 관련 설정을 함께 수정해야 합니다. |
| 129 | +- Trivy 스캔은 필요 시 profile로 실행합니다. |
| 130 | + |
| 131 | +## 11. 다음 작업 후보 |
| 132 | + |
| 133 | +- Grafana 대시보드/프로비저닝 고도화 |
| 134 | +- HTTPS 리버스 프록시(Nginx/Caddy) 추가 |
| 135 | +- Wazuh/Fleet 초기 운영 설정 보강 |
| 136 | +- 실제 서버 기동 후 헬스체크 및 초기 로그인 검증 |
| 137 | + |
| 138 | +--- |
| 139 | + |
| 140 | +이 저장소는 **초기 배포 스캐폴드와 자동화 기반**까지 정리된 상태이며, |
| 141 | +실서비스 운영 전에는 서버 리소스, 인증서, 초기 계정/비밀번호 정책에 맞춘 추가 보완이 필요합니다. |
0 commit comments