***********************************************************
* 리눅스서버 보안관리
***********************************************************
* 리눅스서버 기본 보안설정하기(설치직후 초기보안셋팅하기)
1. 중요한 시스템 파일들 퍼미션과 속성 재설정
2. 중요한 시스템파일들 별도 압축보관하기
3. 시스템디스크와 데이터디스크를 가능한 구분하라.
4. 백업데이터 자정공간을 별도의 파티션이나 별도의 디스크를 이용
5. root의 crontab에 로컬백업설정해 두기
6. /etc/xinetd.d/ 에서 불필요한 서비스 파일들 삭제
7. /etc/rc.d/init.d/에서 불필요한 초기화 파일들 삭제
8. /etc/services에서 사용하지 않는 포트정보 주석처리
9. /etc/hosts.allow, /etc/hosts.deny 파일에서 접근허용 설정
10. ssh에서 root의 원격접속 금지설정
# vi /etc/ssh/sshd_config
PermitRootLogin yes -> root 로그인 허용
PermitRootLogin no -> root 로그인 허용하지 않음
11. FTP서비스에서 root의 원격접속 금지설정
# vi proftpd.conf
RootLogin off
12. 일반사용자의 FTP접속에서 상위디렉토리 이동제한 설정하기
# vi proftpd.conf
DefaultRoot ~
DefaultRoot ~ !wheel
13. FTP 익명(anonymous) 접속금지 설정
14. su 명령어 사용제한설정 및 중요한 관리자 명령어 사용제한 설정하기
# chmod 4750 /bin/su
# chown root:wheel /bin/su
# chattr +i /bin/su
# grep wheel /etc/group
wheel:x:10:root,bible,admin
# chmod 750 /usr/sbin/useradd
# chmod 750 /usr/bin/top
# chmod 750 /sbin/fdisk
# chmod 750 /sbin/mkfs
# chmod 750 /sbin/fsck
# chown root:wheel /usr/sbin/useradd
# chown root:wheel /usr/bin/top
# chown root:wheel /sbin/fdisk
# chown root:wheel /sbin/mkfs
# chown root:wheel /sbin/fsck
# chattr +i /usr/sbin/useradd
# chattr +i /usr/bin/top
# chattr +i /sbin/fdisk
# chattr +i /sbin/mkfs
# chattr +i /sbin/fsck
15. root소유의 setuid, setgid 파일 찾아서 조치하기
# find / -user root -perm -4000 -print
16. 기본 실행되는 불필요한 프로세스를 죽이기
17. ntsysv에서 초기 실행할 서비스데몬 내리기
18. 리눅스서버 설치직후 파일시스템의 badblock 점검하기
19. 시스템 정보유출파일 삭제 및 수정하기
/etc/issue 콘솔에서 로그인 시도시에 보여줄 메시지 저장
/etc/issue.net 원격에서 로그인 시도시에 보여줄 메시지 저장
/etc/redhat-release 원격에서 로그인 시도시에 리눅스 배포판 정보를 보여주는 메시지
/etc/motd 로그인 이후에 보여줄 공지사항 저장
20. rootkit점검을 위한 chkrootkit 설치 및 실행결과 확인
21. 파일 무결성을 위한 tripwire 설치 및 초기화 설정
22. /etc/sysctl.conf파일에서 커널 옵션값 설정하기
23. 로그보안을 위한 원격로그서버 설정
24. /etc/rc.d/rc.local내에 부팅시 실행할 내용 등록
25. 서버의 정확한 시간을 위한 설정
# crontab -l | grep rdate
00 01 * * * su - root /usr/bin/rdate -s time.bora.net && /sbin/clock -w
26. 아파치 설정파일(httpd.conf) 보안설정하기
* setuid, setgid, stickybit 다루기
- 4XXX : setuid 비트를 의미함
- 2XXX : setgid 비트를 의미함
- 1XXX : sticky-bit 비트를 의미함
* 보안을 위한 find
- 지정된 일자 이후에 변경된 모든 파일 찾기
# find / -used 2 -exec ls -l {} ;
-> 2일전부터 현재까지 변경된 적이 있는 파일들을 검색
- 지정된 파일보다 이후에 생성된 파일 찾기
# find / -newer /root/file1.txt -exec ls -l {} ;
-> /root/file1.txt라는 파일이 생성된 날짜 이후에 생성된 파일들만을 검색
- root 소유의 setuid파일 찾기
# find / -user root -perm -000 -print
-> 소유자가 root이고 setuid가 설정되어 있는 파일을 검색
# find / -type f ( -perm -004000 -o -perm -002000 ) -exec ls -lg {};
-> 퍼미션에 setuid가 있거나 setgid가 있는 파일들을 모두 검색
- 서버내의 백도어파일 찾기
# find /dev -type f -exec ls -l {} ;
-> /dev 내에 존재하는 파이들 중 일반적인 보통파일을 검색
- 서버내부의 .rhosts 파일 찾아서 확인
# find / -name .rhosts -exec ls -l {} ;
- 서버내부에 .bash_history파일을 모두 찾아서 확인
# find / -name .bash_history -exec ls -l {} ;
-> 시스템전체를 대상으로 .bash_history파일을 찾아서 보여달라는 의미.
- 소유자가 없는 파일 또는 소유그룹이 없는 무적파일을 찾기
# find / -nouser -o -nogroup -print
-> 소유자가 없거나 소유그룹이 없는 파일을 검색한다.
* 파일속성설정으로 리눅스파일 보안 구현(chattr, lsattr)
chattr 사용법 : # chattr [-RV] [-v 설정버전] [+-=설정모드] 대상파일들
-R : 서브디렉토리이하까지 그 속성을 변경할 수 있다.
-V : 자세한 출력모드를 제공한다.
-v version : 지정된 파일에 버전을 설정할 수 있다.
[설정모드]
+ : 지정한 속성을 부여한다.
- : 지정한 속성을 해제한다.
= : 원래 파일이 가지고 있던 그 속성만을 유지하게 한다.
-a : 해당 파일을 추가만 할 수 있다.
-c : 이 속성이 설정된 파일은 커널에 의해 디스크상에 자동적으로 압축된 상태로 저장이 된다.
-d : 이 속성이 설정된 파일은 dump로 백업이 되지 않는다.
-i : 이 속성이 지정되어 있다면 해당파일의 변경, 삭제, 이름변경뿐 아니라 파일추가 및 리으파일도 만들수 없게 된다.
-s : 이 속성이 설정된 파일은 파일삭제가 될 경우에 해당블럭이 모두 0으로 되어버리고 디스크에 다시 쓰기가 발생하나.
-S : 이 속성이 설정된 파일은 변경이 될 경우에 디스크동기화가 일어나는 효과를 그대로 누릴 수 있다.
-u : 이 속성을 가진 파일이 삭제가 되었을 경우에는 그 내용이 저장이 되며 삭제되기 전의 데이터로 복구가 가능해진다.
lsattr 사용법 : # lsattr [-RVadv] [대상파일들]
- 파일의 삭제, 변경, 추가등을 불가능하게 하는 속성 설정
# lsattr rc.local
------------- rc.local
# chattr +i rc.local
# lsattr rc.local
----i-------- rc.local
# rm -f rc.local
rm: cannot remove `rc.local': 명령이 허용되지 않음
- 파일의 삭제, 변경, 추가 등을 불가능하게 하는 i속성 제거
# chattr -i rc.local
# lsattr rc.local
------------- rc.local
# rm -f rc.local
#
- 파일의 삭제는 불가능하지만 내용추가는 가능하도록 하는 속성 설정하기
# chattr +a messages
# lsattr messages
-----a------- messages
# rm -f messages
rm: cannot remove `messages': 명령이 허용되지 않음
# chattr -a messages
# lsattr messages
------------- messages
# rm -f messages
#
- 특정 디렉토리내의 모든 파일과 디렉토리에 대하여 한번에 속성부여하고 확인하기
# chattr -R +i directory
- 특정 디렉토리내의 모든 파일과 디렉토리에 부여되어 있는 속성을 동시에 제거하기
# chattr -R -i directory
* nmap사용형식 : nmap [스캔타입] [옵션] <대상서버[네트워크|IP주소]> 스캔옵션 -sS : TCP SYN 스캔 -sT : TCP 연결을 스캔 -sF -sX -sN : Stealth FIN, Xmas Tree, 또는 NUll 스캔모드 -sP : Ping 스캐닝 -sU : UDP 스캐닝 -sO : IP 프로토ㅗㄹ 스캔 -sI <zombi host[:probeport]> : Idle scan -sA : ACK 스캔 -sW : Window 스캔 -sR : RPC 스캔 -sL : LIST 스캔- nmap 설치# wget http://download.insecure.org/nmap/dist/nmap-3.75.tgz# tar xvf nmap-3.75.tgz# cd nmap-3.75# ./configure# make# make install- nmap으로 로컬서버 스캔하기# nmap -sT -O -v localhost -sT : TCP conect에 대한 스캔을 한다. -O : TCP/IP fingerprinting을 통하여 지정한 서버를 확인한다. -v : 스캔별과를 자세히 보여준다.- 원격지의 특정 서버에 대한 스캔작업하기# nmap -sT -O -v 192.168.0.101- 원격서버의 UPD 사용포트 스캔작업하기# nmap -sU -O -v 192.168.0.101 * root의 원격접속제한
# grep PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin no
# grep RootLogin /etc/proftpd/conf/proftpd.conf
RootLogin off
* 포트번호를 바꾸어서 서비스하는 서버보안
# grep telnet /etc/services
telnet 30023/tcp
# /etc/init.d/xinetd restart
* PortSentry를 이용한 실시간 해킹방어 구현원격지에서 스ㅐㄴ하는 것을 실시간으로 차단할 수 있는 도구이다.portsentry는 ping이나 기타 다른 도구들을 이용하여 불법적인 스캔을 이지하고 이를 차단하려고 할 때 /etc/hosts.deny파일에 실시간으로 추가되어 서버접근 및 포트스탬을 막는 막강한 보안툴이다.portsentry는 다음과 같은 프로톸ㄹ의 스캔을 실시간으로 차단할 수 있다.tcp 프로토콜 스캔차단(basic port-bound TCP mode)stcp 프로토콜 스캔차단(Stealth TCP scan detection)atcp 프로토콜 스캔차단(Advanced Stealth TCP scan detection)udp 프로토콜 스캔차단(basic port-bound UDP mode)sudp 프로토콜 스캔차단(Stealth UDP scan detection)audp 프로토콜 스캔차단(Advanced Stealth UDP scan detection)- 설치# wget ftp://ftp.superuser.co.kr/secureity/portsentry/portsentry-1.0.tar.gz# tar xvfz portsentry-1.0.tar.gz# cd portsentry-1.0# make linux# make install# ls -l /usr/local/psionic/portsentry/# cat /etc/rc.d/rc.local#!/bin/sh/usr/local/psionic/portsentry/portsentry -tcp # tcp 프로토콜 스캔차단/usr/local/psionic/portsentry/portsentry -stcp # stcp 프로토콜 스캔차단/usr/local/psionic/portsentry/portsentry -atcp # atcp 프로토콜 스캔차단/usr/local/psionic/portsentry/portsentry -udp # udp 프로토콜 스캔차단/usr/local/psionic/portsentry/portsentry -sudp # sudp 포트토콜 스캔차단 * tripwire를 이용한 파일무결성 구현tripwire는 파일시스템무결성 점검을 하는 서버보안도구로서 파일들의 변경사항유무를 검사할 수 있는 대표적인 보안툴이다.이 툴을 이용하면 파일들의 추가/삭제/변경유무를 확인할 수 있다.- 설치# wget ftp://ftp.superuser.co.kr/security/tripwire/tripwire-2.3-47.bin.tar.gz# tar xvfz tripwire-2.3-47.bin.tar.gz# cd tripwire-2.3# ./install.sh- 파일확인/usr/sbin/tripwire tripwire의 주된 실행파일/usr/tripwire/* tripwire에 관련된 설정파일과 key파일 및 정책파일들이 저장될 디렉토리/var/lib/tripwire/report tripwire실행결과 보고서가 저장될 디렉토리/var/libtripwire tripwire DB파일이 저장될 디렉토리- tripwire 데이터베이스 생성하기(tripwire 초기화)tripwire 초기화는 점검했던 파일들의 무결성 점검결과를 저장하고있던 DB를 초기화 하다는 것이다.즉, 초기화시키기 전의 변공사항은 이후에는 적용되지 않는다.# tripwire --init- tripwire 실행으로 파일 생성/변조/삭제유무 점거마기# tripwire --check- tripwire 설정파일확인 및 변경twcfg.txt 파일은 tripwire의 주설정파일로서 /etc/tripwire/twcfg.txt 에 존재한다.이 파일은 tripwire가 어떤 환경으로 실행될 것인가를 정의해둔 파일이다.즉, tripwire실행파일의 위치, 정책파일(tw.pol)의 위치, tripwire 데이터베이스파일의 위치등을 모두 이 파일에서 정의하고 있다.- tripwire정책파일 수정 및 변경tripwire는 /etc/tripwire/twcfg.txt파일을 이용하여 점검할 대상파일을 결정한다.이 파일을 수정해서 점검할 파일을 추가/삭제할 수 있다.이 파일에 등록된 파일들은 tw.pol파일(바이너리로 되어있음)에 적용되어 tripwire에서 사용하게 된다. * chkrootkit을 이용한 rootkit 탐지
백도가 설치되어 있는가를 검사하는 툴이다.
chkrootkit을 이용해서 다음과 같은 검색이 가능하다.
rootkit의 흔적 및 설치여부를 검색(chkrootkit)
NIC으 promisc모드 설정여부 검색(ifpromisc)
lastlog의 변조 및 삭제여부 검색(chklastlog)
wtmp의 변조 및 삭제여부 검색(chkwtmp)
기타 파일벼조여부를 검색
chkrootkit툴에는 다음가 같은 파일들이 존재하며 이 파일들은 다음과 같은 역할을 한다.
ifpromisc.c 랜카드가 promiscuous mode로 설정되어 있는가를 검사
chklastlog.c /var/log/lastlog의 삭제유무 검사
chkwtmp.c /var/log/wtmp의 삭제유무 검사
check_wtmpx.c wtmpx파일의 삭제유무검사(Solaris의 경우만 해당됨)
chkproc.c LKM트로이목가 검사
strings.c 점검되는 파일들의 변조여부 검사
- 설치
# chkroot.tar.gz다운로드
# tar xvfz chkrootkit.tar.gz
# cd chkrootkit-0.44
# 컴파일 전 로그파일위치 확인 및 수정하기
모든 파일을 열어서 로그파일의 정확한 위치를 확인한다.
chklastlog.c 파일에 리눅스에 대한 설정부분을 추가해 준다.
#ifdef _LINUX_
#define WTMP_FILENAME "/var/log/wtmp"
#define LASTLOG_FILENAME "/var/log/lastlog"
#endif
# make sense
- chkrootkit으로 rootkit설치여부 및 서버점검하기
# ./chkrootkit
***********************************************************
* 리눅스 서버관리를 위한 쉘스크립트
***********************************************************
* 쉘프로그램에서 실행상태 반환하는 true와 false
쉘프로그램내에서 실행한 명령의 결과가 정상적으로 종료되었다는 의미로 true를 실행하여 실행이 정상적으로 완료되었음을 알려주는 역할을 한다.
이 때 true가 반한하는 종료상태값은 실행성공을 의미하는 0이다.
그리고 false는 쉘프로그램내에서 특정 명령수행이 항상 실패햤음을 의미하는 1을 반환한다.
* 쉘프로그램에서 사용자 입력값 받아서 처리하기
- 사용자 입력값 처리하는 read문 기본 사용법
read -p "Select Number(1, 2, 3 or 4): " MENU1
화면에 "Select Number(1, 2, 3 or 4): "가 출력이 된 후에 사용자의 입력을 대기한다. 사용자가 입력한 내용을 MENU1에 저장한다.
- 쉘프로그램내에서 read 문에서 배열로 받아서 처리하기
입력내용을 받아들일 지정된 변수를 배열변수로 사용하려면 -a 옵션을 사용해야 한다.
쉘프로그램에서도 C와 마찬가지로 배열인자는 0부터 시작한다.
배열변수를 출력하려면 ${변수명[인자]}와 같은 형식을 사용한다.
* 쉘프로그램 실행시 발생되는 메시지 처리하기
logger는 로그메시지를 시스템로그파일(/var/log/messages 등)에 기록할 수 있는 로그리고기이다.
logger명령어를 사용하여 원하는 로그를 기록하면 지정된 메시지가 시간표시와 함께 시스템로그파일(/var/log/messages)에 기록된다.
사용형식 : logger [-is] [-f file] [-p pri] [-t tag] [메시지]
# logger SystemCheck
# tail -1 /var/log/messages
Apr 3 00:55:03 rh9 4월 3 00:55:03 widemail: SystemCheck
* 반복메뉴방식의 쉘프로그램 만들기
select문은 반복되는 메뉴방식의 쉘프로그램을 만들 때에 최적이다.
사용형식 :
select 변수 in 메뉴리스트
do
실행될 명령문들
done
select문으로 반복메뉴방식의 쉘프로그램을 작성할 때에는 PS3라는 쉘변수를 사요하는 것이 일반적이다.
즉, PS3쉘변수를 사용하면 PS3에 지정된 메시지를 화면으로 출력하고 사용자의 입력을 기다린다.
select문이 실행되면 in 다음의 메뉴리스트에 번호를 붙여서 화면으로 출력한다.
그리고 선택된 번호가 지정되면 변수에 메뉴리스트에서 선택된 해당리스트를 저장한 다음 "do ~ done"의 내용이 실행된다.
* 동종류 프로세스 한번에 죽이는 쉘명령어 직접만들기
# cat prokill.sh
#!/bin/sh
ps -ef | grep $1 | awk '{ print $2 }' | xargs kill -9 {}
* superuse 사이트에 있는 스크립트를 이용하자.
***********************************************************
* 리눅스서버 응급복구와 삭제파일 복구
***********************************************************
[1] 다운된 리눅스서버 응급복구
* 복구보다는 백업을 우선하라.
* 파일시스템이 깨졌을 때 부팅안되는 상황 조치
# fdisk -l -> 깨진 파일시스템 확인
# e2fsck -j ext3 /dev/sda3 -> 파일시스템 점검
* 리눅스CD linux rescue 모드로 보구하기
파일시스템이 깨졌을 때 : e2fsck로 파일시스템 복구
비밀번호 및 로그인장애 : /etc/passwd 파일 점검
grub정보로 부팅장애 : /boot/grub/grub.conf 파일 점검
부팅시 마운트정보 장애 : /etc/fstab 점검
* 리눅스CD linux rescue nomount 로 복구하기
현재 상태에서는 장치파일명이 생성되어있지 않으며 마운트도 되어있지 않기 때문에 현재 시스템의 어떠한 수정작업도 할 수 없는 상황이다.
먼저 필요할 것 같은 장치명들을 임의대로 생성한다.
# mknod /dev/sda -> /dev/sda 장치명 생성
# mknod /dev/sda1 -> /dev/sda1 장치명 생성
# mknod /dev/sda2 -> /dev/sda2 장치명 생성
생성한 장치와 마운트할 마운트포인트(디렉토리)를 생성한다.
# mkdir /temp
# mkdir /temp1
# mkdir /temp2
위에서 생성한 각 장치명과 각 디렉토리들을 마운트한다.
# mount /dev/sda1 /temp1
# mount /dev/sda2 /temp2
* 리눅스 시스템업그레이드 방법으로 복구하기
* 시스템 서버 다운시 매직키를 이용한 응급조치
- ALT + SysRq + S : Alt키와 SysRq키와 S키를 동시에 누른다. sync 작업
- ALT + SysRq + E : Alt키와 SysRq키와 E키를 동시에 누른다. tem SIG 작업
- ALT + SysRq + U : Alt키와 SysRq키와 U키를 동시에 누른다. umount 작업
- ALT + SysRq + B : Alt키와 SysRq키와 B키를 동시에 누른다. reboot 작업
[3] 삭제된 파일 복구하기
* 리눅스 휴지통(safedelete)을 이용한 삭제파일 복구하기safedelete라는 명령어는 파일을 삭제하는 명령어이다.단 rm과는 달리 safedelete라는 명령어로 파일을 삭제하면 특정한 디렉토리에 삭제된 파일을 보관하게 된다.그리고 삭제된 사용자의 홈디렉토리에 삭제 파일리스트를 저장하고 있는 로그파일에 그 파일정보들을 보관한다.그리고 safedelete명령어로 삭제된 파일은 undelete라는 명령어로 복구가 가능하다.따라서, 이 툴로서 삭제된 파일을 복구하려면 파일삭제시에 사용하는 명령어를 rm 대신에 safedelete 명령어를 사용해야한다.이 툴의 이름은 safedelete이며 삭제와 복구시에 사용되는 명령어는 다음과 같다. safedelete : rm 대신에 사용하게 될 파일보구가 가능한 삭제명령어 undelete : safedelete로 삭제한 파일을 복구하는 명령어 safecnvt : safedelete 로그파일(.safedelete.log)을 컨버전하는 명령어 safedelchk : 지정한 일자 이후의 safedelete로 삭제한 파일을 완전 삭제함- safedelete 설치# wget ftp://ftp.nuri.net/pub/RedHat/redhat/redhat-7.1-en/powertools/i386/RedHat/RPMS/saedelete-1.3-0.i386.rpm# rpm -Uvh saedelete-1.3-0.i386.rpm- rm 명령어를 safedelete로 대체하기# grep safedelete ~/.bashrcalias rm='safedelete' * tct의 unrm으로 삭제파일 복구하기- 설치http://www.fish.com/tct 에서 다운로드한다.# tar xvfpz tct-.09.tar.gz# cd tct-1.09# make# cd bin# cp rnrm /usr/local/bin# cp lazarus /usr/local/bin- 삭제파일 복구# /usr/local/bin/unrm /dev/sda1 > /tmp_dir/dump_temp# /usr/local/bin/lazarus -h /tmp_dir/dump_temp * e2fsck 파일시스템 점검복구유틸리티
- e2fsck 종료코드
0 - 에러없이 정상적인 종료를 의미함
1 - 파일시스템을 복구하였음을 의미함
2 - 파일시스템이 복구되어 시스템이 재부팅되어야함을 의미함.
4 - 작업대상 파일시스템에 문제가 있으나 복구하지 않고 그대로 두었음을 의미함.
8 - 실행에러를 의미함
16 - 사용법 또는 문법에러를 의미함
32 - e2fsck작업이 사용자에 의해서 취소되었음을 의미함.
128 - 공유 라이브러리에러를 의미함
- e2fsck작업에서 기본적으로 점검하는 항목
inode 점검
blocks 점검
sizes 점검
디렉토리구조 점검
디렉토리 연결성점검
파일링크 정보
전체파일갯수 점검
전체블록수중 사용중인 블록 정검
- 사용형식
e2fsck [-pacnyrdfvtFV] [-b 수퍼블록] [-B 블록크기] [-l|-L 배드블록목록화일] 장치명
마운트되어 있는 상태에서 e2fsck실행을 자제한다.
- e2fsck 명령어로 특정 파일시스템의 점검 및 복구하기
# e2fsck /dev/hda1
- e2fsck로 특정 파일시스템 강제 점검 및 복구하기
# e2fsck -f /dev/hda1
- ext3(저널링)파일시스템 점검 및 복구하기
# e2fsck -j ext3 /dev/hda1
- e2fsck로 특정 파일시스템 강제 점검 및 상세 작업내역보기
# e2fsck -fv /dev/hda1
- 파일시스템의 수퍼블록을 이용한 파일시스템 복구
-b superblock
Instead of using the normal superblock, use an alternative
superblock specified by superblock. This option is normally
used when the primary superblock has been corrupted. The loca-
tion of the backup superblock is dependent on the filesystem's
blocksize. For filesystems with 1k blocksizes, a backup
superblock can be found at block 8193; for filesystems with 2k
blocksizes, at block 16384; and for 4k blocksizes, at block
32768.
Additional backup superblocks can be determined by using the
mke2fs program using the -n option to print out where the
superblocks were created. The -b option to mke2fs, which spec-
ifies blocksize of the filesystem must be specified in order for
the superblock locations that are printed out to be accurate.
If an alternative superblock is specified and the filesystem is
not opened read-only, e2fsck will make sure that the primary
superblock is updated appropriately upon completion of the
filesystem check.
# e2fsck -b 8193 /dev/hda1
# e2fsck -b 16385 /dev/sda1
- e2fsck로 파일시스템 점검시 버퍼캐쉬의 내용을 디스크에 저장하기
-F옵션을 사용하면 e2fsck를 수행하기 이전에 sync작업을 수행한다.
# e2fsck -F /dev/sda1
- e2fsck로 특정 파일시스템 점검시 오류 자동수정하기
# e2fsck -p /dev/sda1
- e2fsck로 파일시스템 점검시 모든 질문항목에 yes라고 자동입력하기
# e2fsck -y /dev/sda1
- e2fsck로 파일시스템 점검시 모든 질문항목에 no라고 자동입력하기
# e2fsck -n /dev/sda1
***********************************************************
* 리눅스서버 NFS와 NIS
***********************************************************
* NFS 서버와 NFS 클라이언트의 필요한 데몬들
- rpc.nfsd : NFS 데몬
- rpc.mountd : rpc 기반하에서 NFS 사용을 위한 마운트를 가능하게 하는 데몬
- portmap : NFS가 원래 RPC기반하에서 작동되는 깃이기 때문에 rpcbind를 필요로 하면, rpcbind의 매핑을 위해 필요한 데몬이 portmap이다.
- /etc/exports : 마운트를 허용한 디렉토리와 사용옵션 nfs 설정파일
* NFS 서버와 클라이언트의 데몬 시작, 종료 및 재시작
- NFS 데몬
# /etc/init.d/nfs start
# /etc/init.d/nfs stop
# /etc/init.d/nfs restart
- portmap 데몬
# /etc/init.d/portmap start
# /etc/init.d/portmap stop
# /etc/init.d/portmap restart
* NFS 관련 데몬들의 실행점검
"rpcinfo -p"라고 하면 현재 NFS서버에서 구동중인 NFS관련 데몬들을 점검해 볼 수 있다.
관련된 데몬은 portmapper, mountd, nfs, nlockmgr, rquotad, status 가 있다.
# rpcinfo -p
프로그램 버전 원형 포트
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100011 1 udp 736 rquotad
100011 2 udp 736 rquotad
100011 1 tcp 739 rquotad
100011 2 tcp 739 rquotad
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100021 1 udp 32780 nlockmgr
100021 3 udp 32780 nlockmgr
100021 4 udp 32780 nlockmgr
100005 1 udp 32781 mountd
100005 1 tcp 33434 mountd
100005 2 udp 32781 mountd
100005 2 tcp 33434 mountd
100005 3 udp 32781 mountd
100005 3 tcp 33434 mountd
# rpcinfo -p 192.168.0.102
프로그램 버전 원형 포트
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100011 1 udp 736 rquotad
100011 2 udp 736 rquotad
100011 1 tcp 739 rquotad
100011 2 tcp 739 rquotad
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100021 1 udp 32780 nlockmgr
100021 3 udp 32780 nlockmgr
100021 4 udp 32780 nlockmgr
100005 1 udp 32781 mountd
100005 1 tcp 33434 mountd
100005 2 udp 32781 mountd
100005 2 tcp 33434 mountd
100005 3 udp 32781 mountd
100005 3 tcp 33434 mountd
* NFS설정파일(/etc/exports)
설정형식 : [마운트할 디렉토리] [허용할 NFS크라리언트](설정옵션들)
# cat /etc/exports
/web_data 192.168.0.101(rw) # 192.168.0.101 NFS 클라이언트에서 NFS 서버의 /web_data 로 read와 write가 가능하도록 마운트를 허용한다.
/db_data 192.168.0.101(rw)
/data 192.168.0.109(ro) # NFS서버의 /data 디렉토리를 NFS클라이언트에서 read 만 가능하도록 마운트 허용
/home 192.168.0.109(rw) # NFS서버의 /home 디렉토리 전체를 NFS 클라이언트가 마운트하도록 허용
/home/sspark 192.168.0.109(noaccess) # /home/sspark 은 NFS마운트를 허용하지 않는다.
/var/log 192.168.0.109(rw,root_squash) # NFS클라이언트에서 NFS서버로 root권한으로 마운트를 할 경우에 NFS서버에서 root권한을 부여하는 것이 아니라 nfsnobody권한을 부여한다.
NFS클라이언트에서 NFS서버의 마운트시에 root를 일치시키려면 no_root_squash 옵션을 사용한다.(기본값은 root_squash)
/var/log 192.168.0.109(rw,no_root_squash)# NFS클라이언트그의 root는 NFS서버로 마운트 할 때 NFS서버에서의 root와 일치한다. 가능한 이 설정은 보안을 위해 사요하지 마라.
/home 192.168.0.109(rw,all_squash) # root사용자와는 반대로 일반사용자으 경우에는 no_all_squash가 기본값이다.
NFS클라이언트에서 NFS서버로 마운트할 때 동일사용자가 존재한다면 root를 제외한 일반사용자는 도일한 사용자로 매핑이 된다.
all_squash라는 옵션을 사용했기 때문에 일반사용자의 경우에도 모두 nfsnobody로 매핑이 된다.
* NFS마운트 방법
설정형식 : mount -t nfs NFS서버_IP주소_또는_호스트명:/NFS서버_마운트포인트 /NFS클라이언트_마운트포인트
-t nfs 파일시스템형식을 nfs로 지정
NFS서버_IP주소_또는_호스트명 NFS서버의 IP주소 또는 호스트명
NFS서버_마운트포인트 NFS서버에서 NFS클라이언트의 마운트가 허용되어 있는 위치를 지정
NFS클라이언트_마운트포인트 NFS클라이언트의 마운트포인트 지정
# mount -t nfs 192.168.0.102:/web_data /web_data
# mount -t nfs 192.168.0.103:/db_data /db_data
* 부팅시 NFS 자동마운트 설정
/etc/fstab 에서 사용가능한 NFS 마운트 옵션들
- rsize=n 지정된 NFS서버로부터 읽어오는 바이트수를 지정. 기본값은 1024
- wsize=n 지정된 NFS서버에 쓰기를 할 때 사용하는 바이트수를 지정. 기본값은 1024
- timeo=n RPC타임아웃이 발생되고 나서 첫번째 재전송요구를 보낼 때 사용되는 시간
- retrans=n timeout이 발생시 재전송시도 횟수를 제한한 것임. 기본값은 3
- port=n 지정된 NFS서버와 연결할 때의 포트번호 지정
- fg 첫번째 마운트시도하여 timeout되면 바로 중단됨. default값
- intr timeout발생시 신호를 보내는 NFS호추를 인터럽트함.
- hard timeout이 발생하면 "server not responding"이라는 메시지를 출력한 후에 계속 재시도 함
- soft timeout이 발생하면 I/O에러가 발생하였을을 알려줌.
# cat /etc/fstab | grep nfs
192.168.0.100:/home/bible /bible nfs timeo=10,intr
***********************************************************
* 리눅스 서버이전
***********************************************************
* 서버이전시 고려할 사항들
- 서버 네트워크환경문제
- 일반사용잘의 ID와 패스워드문제
- 사용자들의 도메인문제
- 서버내의 홈페이지 데이터들의 문제
- 아파치웹서버 이전문제
- MySQL 데이터베이스 이전문제
* 서버이전 계획표 작성
구분 이전하기전 서버(A) 이전후 서버(B)
작업자 김길동
작업일시 2006년 4월 5일 새벽 04시부터 06시까지
지역 용산구 구로구
IDC(업체)명 A-IDC B-IDC
IDC(업체)담당자명 박길동 이길동
IDC(업체)연락번호 111-1111 222-2222
서버모델명(서버명) SU-S2001(A서버) SU-2002(B서버)
서버IP주소 192.168.0.101 192.168.1.211
네트워크주소 192.168.0.0 192.168.1.0
브로드캐스트주소 192.168.0.255 192.168.1.255
넷마스크주소 255.255.255.0 255.255.255.0
웹서버(위치) APACHE(/usr/local/apace2) APACHE(/usr/local/apace2)
DB서버(위치) MySQL(/usr/local/mysql) MySQL(/usr/local/mysql)
FTP서버 Proftpd(/usr/local/proftpd) Proftpd(/usr/local/proftpd)
DNS서버 BIND9 BIND9
메일서버 SENDMAIL, Qpopper SENDMAIL, Qpopper
사용자수 10명 10명
기타 gd,libpng,freetype,zlib 등 gd,libpng,freetype,zlib 등
주의사항 이전하기전 사용 도메인 TTL값 최소화
cron설정주의
로그파일들 이전주의(/var/log)
이전후 홈페이지로딩테스트 및 게시판업로드테스트
작업 7일전 작업관련 홈페이지 공지사항 등록
각 사용자에게 작업관련 메일발송
* 서버에서 서비스하던 도메인들의 TTL값 변경하기
서버이전 작업을 시작하기 쵯 몇일전에 각 도메인들의 DNS정보가 세팅된 네임서버에서 각 도메인들의 zone파일들에 설정된 TTL값을 0또는 1로 설정한다.
즉, 도메인의 IP주소를 변경하기 전에 DNS의 TTL값을 0 또는 1로 설정해 둔다.
* 서버의 서비스데몬들 중지하기
- 웹서비스 중지
- 메일서비스 중지
- 데이터베이스 서버 중지
서비스를 중지하는 이유는 서버이전을 하는 도중에 계속 서비스를 하게 되면 작업하는 동안에 업데이트된 데이터들은 유실되기 때문이다.
* 이전대상서버에서 네트워크 설정작업
다음과 같이 네트워크 설정명령어들과 파일들을 통하여 새로운 네트워크 환경을 설정한다.
- route 서버라우팅 설정 명령어
- ifconfig 네트워크 인터페이스 설정 명령어
- netconfig 네트워크 설정 명령어
- /etc/resolv.conf DNS설정 파일
- /etc/sysconfig/network 기본게이트웨이 설정파일
- /etc/sysconfig/network-scripts/ifcfg-eth0 첫번째 NIC 네트워크 설정파일
- /etc/sysconfig/network-scripts/ifcfg-eth1 두번째 NIC 네트워크 설정파일
- /etc/init.d/network 설정된 네트워크 start|stop|restart
* 사용자 계정정보 이전하기
- /etc/passwd파일내의 사용자계정부분 이전하기
A서버의 /etc/passwd 파일에서 일반사용자들의 계정정보만을 복사해서 B서버의 /etc/passwd에 복사한다.
- /etc/group파일내의 사용자 그룹설정 부분 이전하기
A서버의 /etc/group파일에서 시스템사용 그룹설정 부분을 제외한 나머지 그룹부분들을 그대로 복사하여 B서버의 /etc/group파일에 그대로 추가한다.
- /etc/shadow 파일내의 사용자 설정부분 이전하기
/etc/shadow파일에서 사용자들의 정보만을 복사해서 B서버의 /etc/shadow에 복사한다.
* 일반사용자 홈디렉토리 파일들 이전하기
- A서버에서 home을 모두 압축한다.
# cd /
# tar cvfpz home.tar.gz home
- B서버에서 home.tar.gz 파일을 가져온다.
# cd /
# ncftp -u bible 192.168.0.101
ncftp / > get /home.tar.gz
- B서버에서 가져온 home.tar.gz 압축을 해제한다.
# tar xvfpz home.tar.gz -C /
* APACHE 웹서버 이전하기
아파치를 이전할 때에는 다음과 같은 주의사항이 있다.
1. httpd.conf파일 내에 설정되어 있는 가상호스트정보 수정
2. httpd.conf파일 내의 DocumentRoot정보의 확인 및 수정
3. httpd.conf파일 내의 ServerName정보의 확인 및 수정
4. httpd.conf파일 내의 UserDir정보의 확인 및 수정
- A서버에서 APACHE 디렉토리를 압축한다.
# cd /usr/local
# tar cvfp apache2.tar.gz apache2
- B서버에서 A서버에 있는 apache2.tar.gz 파일을 가져오고 압축을 해제한다.
# cd /usr/local
# ncftp -u bible 192.168.0.101
ncftp /usr/local > get /usr/local/apache2.tar.gz
# tar xvfpz apche2.tar.gz
- httpd.conf 파일 수정
NameVirtualHost 값 수정
VirutalHost 부분 수정
DocumentRoot 저옵 수정
ServerName 정보 수정
- php와 Zend 이전
* MySQL 데이터베이스 이전하기
- A서버에서 MySQL을 압축한다.
# cd /usr/local
# tar xvfpz mysql.tar.gz mysql
- A서버에서 압축한 파일을 B서버로 가져오고 압축을 해제한다.
# cd /usr/local
# ncftp -u bible 192.168.0.101
ncftp /usr/local > get /usr/local/mysql.tar.gz
# tar xvfpz mysql.tar.gz
- MySQL 실행에러문제 해결하기
호스트명 인식불능문제
/usr/local/mysql/var/호스트명.pid
/usr/local/mysql/var/호스트명.err
/usr/local/mysql/var 소유자 계정확인
* 메일서버 이전하기
- A서버에서 /etc/mail 디렉토리를 압축하여 B서버로 가져온 후에 원래위치에 압축해제한다.
- A서버의 /usr/local/lib/popper파일을 B서버로 가져와서 원래위치에 넣어둔다.
- A서버의 /var/spool/mail 디렉토리내용과 /var/spool/mqueue 디렉토리의 내요을 그대로 가져와서 B서버에 넣어둔다.
- A서버의 /etc/xinetd.d 디렉토리내에 있는 pop3파일을 B서버로 가져와서 넣어둔다.
- A서버의 /usr/sbin/sendmail 파일과 /etc/aliases 파일을 B서버로 가져와서 각자 위치에 넣어둔다.
- 이와 같이 작업한 후에 B서버에서 /etc/init.d/sendmail 스크립트를 이용하여 sendmail을 재시작하고 /etc/init.d/xinetd 스크립트를 재시작하여 /etc/xinetd.d/pop3 파일이 적용되도록 한다.
* 기타 서버이전시 작업해야할 사항들
- A서버의 /etc/hosts파일의 정보를 확인하고 필요한 정보는 B서버의 /etc/hosts파일에 등록한다.
- A서버의 /etc/hosts.allow파일과 /etc/hosts.deny파일의 내용을 B서버에 그대로 설정한다.
- A서버의 /var/spool/cron 디렉토리내의 파일들을 B서버로 그대로 가져와서 설정한다.
- A서버의 /var/log 디렉토리내에 존재하는 필요한 로그파일들(특히 wtmp, secure 파일)을 B서버로 가져와서 /var/log에 저장한다.
- A서버의 /etc/sysctl.conf 파일의 내용을 B서버의 서버사양에 맞도록 수정하여 적용한다.
- A서버의 /etc/motd, /etc/issue, /etc/issue.net 파일들의 니용을 B서버로 가져와서 해당 파일들에 저장한다.
- A서버의 /etc/rc.d/rc.local 파일을 그대로 가져와서 B서버에 복사한다.
* DNS 서버에서 해당 도메인들의 IP주소 변경작업
도메인들의 DNS서버에서 각 도메인들의 IP주소를 B서버의 IP주소(192.168.1.211)ㄹ 변경한다.
TTL값을 원래의 값으로 복원한다.
* 서버이전후 확인할 사항들
1. 홈페이지가 정상로딩 테스트
2. 홈페이지의 게시판 및 업로드 테스트하기
3. 사용자계정 정보확인 및 로그인 테스트
4. 메일수발신 테스트와 MySQL접속 테스트
5. B서버에서 응용프로그램들의 경로 확인하기
***********************************************************
* PROC 파일시스템을 이용한 커널최적화 및 시스템튜팅
***********************************************************
* /proc파일시스템에 존재하는 커널파라미터 변경하는 방법들
1. /etc/sysctl.conf 파일에 등록한다.
지속적으로 적용하려면 이 파일에 넣어둔다.
2. sysctl 명령어를 이용한다.
"sysctl -w 파라미터변수=값"의 형식으로 변경이 가능하다.
3. /proc/sys 디렉토리내에 존재하는 각가의 파일들을 vi로 열어서 직접 변경한다.
좋지않은 방법으로 추천하지 않는다.
4. echo 명령어를 이용한다.
"echo 1 > 파일위치"와 같은 방법으로 간편하게 수정할 수 있다.
5. redhat-config-proc을 이용한다.
* sysctl을 이용한 커널 옵션 설정 및 확인
- sysclt
configure kernel parameters at runtime 으로서 커널 파라미터를 설정하는 명령어이다.
- 커널옵션값 전체 확인하기
# sysctl -a
- 특정커널옵션값의 설정
# sysctl -w net.ipv4.tcp_syncookies=1
* /proc/sys/kernel에서 획득할 수 있는 몇가지 커널 정보들
- 서버의 호스트네임 확인
# cat /proc/sys/kernel/hostname
- 커널버전 확인
# cat /proc/sys/kernel/osrelease
- 운영체제명 확인
# cat /proc/sys/kernel/ostype
- 커널 매직키(Magic Key)사용가능 확인
# cat /proc/sys/kernel/sysrq
* /proc/sys/net/ipv4에서 설정 가능한 서버보안
- 외부의 ping 막기
# cat /proc/sys/net/ipv4/icmp_echo_ignore_all
0
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
- smurf 공격방지를 위한 broadcast 패킷방지하기
# cat /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
0
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
- 세션 종료시간 조정
tcp_fin_timeout은 TCP 세션이 종료된 후에 얼마나 오랫동안 세션연결을 유지하고 있을 것인가를 설정한다.
# cat /proc/sys/net/ipv4/tcp_fin_timeout
60
# echo 20 > /proc/sys/net/ipv4/tcp_fin_timeout
- tcp keepalive time 설정
# cat /proc/sys/net/ipv4/tcp_keepalive_time
7200
# echo 1200 > /proc/sys/net/ipv4/tcp_keepalive_time
- 서버에서 로컬 포트사용범위 설정
# cat /proc/sys/net/ipv4/ip_local_port_range
32768 61000
- IP 포워딩(forwarding)기능 막기
# cat /proc/sys/net/ipv4/ip_forward
0
- 서버의 날짜정보 유출막기
# cat /proc/sys/net/ipv4/tcp_timestamps
1
# echo 0 > /proc/sys/net/ipv4/tcp_timestamps
- SYN_Flooding 공격 막기
일종의 서비스거부공격(DoS: Denial of Service)의 일종이다.
TCP세션을 맺기 위해서는 패킷을 보낼 서버와 받을 서버간에 몇단계 확인작업을 거치게 되는데 SYN과 ACK패킷을 이용하여 송수신 준비확인을 한다.
SYN패킷을 박은 목적지 서버는 SYN과 ACK패킷을 보낸 후에 소스서버에서 ACK패킷을 보내기를 기다리게 된다.
이 때에 계속적으로 기다리는 것이 아니라 백로그큐(Backlog Queue)가 허용하는 공간에 연결정보를 보관한다.
이런 상태가 숟없이 쌓이게 되면 복적지 서버의 특정 서비스가 정상적으로 이루어 지지않는 서비스다운상태가 된다.
해결방법은 백로그큐를 늘려주거나 tcp_syncookies값을 로 설정하는 것이다.
# cat /proc/sys/net/ipv4/tcp_syncookies
0
# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# cat /proc/sys/net/ipv4/tcp_max_syn_backlog
1024
* /proc/sys/net/ipv4/conf 에서 가능한 네트워크 설정
- ICMP redirect의 변조된 패킷 차단(accept패킷 차단설정)
# cat /proc/sys/net/ipv4/conf/default/accept_redirects
1
# echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects
- ICMP redirect 의 변조된 패킷 차단(send 패킷 차단설정)
# cat /proc/sys/net/ipv4/conf/default/send_redirects
1
# echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
- DoS공격 source로 사용 차단(IP 스푸핑 방지하기)
# cat /proc/sys/net/ipv4/conf/default/rp_filter
1
# echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
- 스푸핑등의 패킷에 대한 로그를 남기자
# cat /proc/sys/net/ipv4/conf/default/log_martians
0
# echo 1 > /proc/sys/net/ipv4/conf/default/log_martians
- source route 패킷허용 막기(신뢰받는 호스트로 위장하는 것 막기)
# cat /proc/sys/net/ipv4/conf/default/accept_source_route
0
# echo 0 > /proc/sys/net/ipv4/conf/default/accept_source_route
* /proc/sys/fs 에서의 옵션설정
- 커널에서 사용할 수 있는 푀대파일 수 설정하기
# cat /proc/sys/fs/file-max
102709
- 현재 활동중인 파일 수 확인
# cat /proc/sys/fs/file-nr
834 0 102709
* /proc에서 커널정보 확인하기
- cpu 정보 확인
# cat /proc/cpuinfo
- 사용중이거나 사용가능한 장치(device)파일 확인
# cat /proc/devices
- 현재 커널에서 인식되어 있는 파일시스템 타입 확인
# cat /proc/filesystems
- 현재 사용되고 있는 메모리 번지별 사용내역 확인
# cat /proc/iomem
- 입출력포트의 번지별 사용내역
# cat /proc/ioports
- 서버 펴윤부하율 정보 확인
# cat /proc/loadavg
- 메모리 일반정보 확인
# cat /proc/meminfo
- 커널에 로드ㅗ디어 있는 모듈확인
# cat /proc/modules
- 현재 마운트되어 있는 정보확인
# cat /proc/mouts
- 현재 설정된 파티션정보 확인
# cat /proc/partitions
- 커널버전 정보확인
# cat /proc/version
- IRQ값 정보확인
# cat /proc/interrupts
***********************************************************
* SAMBA 서버
***********************************************************
* 삼바서비스 데몬
- 삼바데몬 시작
# /etc/init.d/smb start
# /usr/sbin/smbd -D
# /usr/sbin/nmbd -D
* 삼바 설정파일 smb.conf 다루기/etc/samba/smb.conf 파일의 설정에는 다음과 같이 기본적으로 세부분으로 나뉘어져 있습니다. 1. 글로벌 설정: 이 설정은 삼바서버가 공유하는 자원들에 공통적으로 적용할 기본값을 설정하는 곳이다. 이 글로벌설정은 [global]이라는 선언으로 시작하는 부분이다. 2. 자동홈디렉토리 : 리눅스 사용자들의 홈디렉토리를 로그인홈으로 사용하기 위한 설정으로서 [homes]로 시작하는 부분의 설정이다. 3. 프린터설정 : 네트워크 공유프린트에 대한 설정부분으로서 [printers]로 시작하는 부분의 설정이다.- unix charset = cp949 dos charset = cp949 display charset = cp949 리눅스(유닉스) 문자셋, 도스문자셋, 그리고 디스플레이 문자셋을 각각 설정한다.- workgroup = superuser workgroup옵션에는 NT도메인명 또는 워크그룹명을 지정하면 된다. 작업그룹명이므로 윈도우에서 Workgroup으로 사용하는 이름을 입력한다.- server string = SUPERUSER File Server 삼바서버의 이름쯤으오 생각하면 된다.- hosts allow = 192.168.1. 192.168.2. 127. 이 옵션은 삼바서버의 보안을 위하여 매우 중요한 옵션이다. 이 옵션은 삼바서버로의 접근을 허용하기 위한 설정이다.- load printers = yes 자동프린트 목록을 사용하기 위한 값으로 yes를 주면 된다. 네트워크 프린터를 삼바서버에서 관리하도록 하려면 반드시 yes로 설정한다.- printcap name = /etc/printcap printcap파일의 위치가 다른 곳에 있다면 그곳을 지정한다.- printing = bsd 사용하는 프린터가 표준이 아니라면 주석처리를 하는 것이 좋다. 현재 지원되는 프린터시스템의 종류로는 bsd, sysv, plp, lprng, aix, hpux, qnx 등이 있다.- guest account =pcguest 삼바서버의 guest사용자를 허용하고자 할 때에는 이 주석을 제거한다. 이 옵션은 삼바서버에 손님권한으로 접속할 때 어떤 권한을 부여할 것인가를 설정한다. 가능한 시스템에 특별한 권한이 없는 nobody와 같은 권한으로 설정한다.- log file = /var/log/samba/log.%m 이 설정은 삼바서버로 접속하는 개별 사용자들의 호스트정보를 %m 으로 받아서 개별 로그파일을 생성하도록 한다.- log file = /var/log/samba/smbd.log 접속한 호스트별로 로그파일을 사용하지 않는다면 하나의 로그파일을 사용할 수도 있다.- max log size = 50 로그파일의 용량크기를 KB단위로 제한하기 위한 옵션이다. 제한하지 않으려면 0을 입력한다.- security = share 보안모드를 설정하는 것으로서 대부분의 삼바접속자들에게는 user레벨이 가장 알맞다. user레벨을 설정하면 삼바서버에 접속하는 사용자는 반드시 윈도우에서 사용하는 로그인ID와 동일해야 한다. 만약 위의 설정과 같이 share레벨은 공유디렉토리등에 설정하는 것으로서 ID와 패스워드의 인증엇이 접속하는 것을 허용하는 레벨이다. 또한 server레벨은 별도의 인증서버에서 ID와 패스워드인증을 받도록하는 레벨이다. 가능하면 삼바서버보안을 위하여 user레벨을 사용하는 것이 좋다.- password server = <NT-Server-Name> 위의 security 옵션값이 server로 설정되었을 때에만 설정할 수 있는 옵션으로서 인증서버로 사용할 서버를 지정하는 옵션이다.- password level = 8 패스워드 문자로 대소문자를 조합하여 사용할 문자의 개수를 지정한 옵션이다.- username level = 8 삼바사용자명을 대소문자 조합하여 사용할 문자의 개수를 지정한 옵션이다.- encrypt passwords = yes 패스워드를 암호화하여 사용하려면 "encrypt passwords" 옵션값을 yes로 설정한다.- smb passwd file = /etc/samba/smbpasswd 이 옵션은 삼바사용자들의 암호파일의 위치를 지정한 것이다.- unix password sync = Yes passwd program = /usr/bin/passwd %u passwd chat = *New*UNIX*password* %nn *ReType*new*UNIX*password* %nn *passwd:*all*authenticateion*tokens*updated*successfully* 삼바사용자가 원격지에서 삼바패스워드를 변경할 수 있도록 하기위한 설정이다. 이 설정을 사용하여 원격에서 패스워드를 변경하도록 허용하려면 앞의 encrypt passwords옵션값에 yes라고 해야하고 smb passwd file옵션에 반드시 삼바사용자패스워드파일의 경로를 지정한다.- username map = /etc/samba/smbusers 대부분 삼바에서 사용하는 ID와 리눅스계정ID는 동일하게 사용한다. 만약 삼바사용자명과 리눅스 계정사용자명을 다르게 사용할 경우에 이를 매칭할 수 있도록 하기 위한 옵션이다. 매칭테이블 파일을 /etc/samba/smbusers 파일로 사용하는 설정이다.- include = /etc/samba/smb.conf.%m 이 옵션은 삼바접속자의 플랫폼에 따라서 각기 다른 설정파일을 적용할 수 있도록 지원하기 위해 사용하는 옵션이다. %m 은 접속자 시스템의 NetBIOS이름으로 대체되어 접속한 사용자의 플랫폼종류에 따라서 각기 다른 삼바설정파일을 적용할 수 있다.- socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 삼바서비스 성능향상을 위한 옵션이다. speed.txt 파일을 참조하라.- interfaces = 192.168.12.2/24 192.168.13.2/24 삼바서버에서 두개 이상의 네트워크 인터페이스(NIC)를 사용하도록 지원하기 위한 옵션이다.- remote browse sync = 192.168.3.25 92.168.5.255 remote annouce = 192.168.1.255 192.168.2.44 지역서브넷에서 삼바서버를 잘 인식하도록 하기 위하여 자기자신을 알리도록 한다.- local master = no 이 옵션은 특정 서브네트워크내에서 삼바서버가 로컬마스트브라우즈가 되도록 하는 옵션이다.- os level = 33 이 옵션은 마스터브라우즈 선거(master browser elections)에서 이 서버의 우선구너을 가질 수 있도록 허용한다.- domain master = yes 삼바서버가 Domain Master Browser가 되도록 한다. 삼바가 Domain Master Browser가 되면 서브네트워크들로부터 브라우즈 목록을 수집하는 역할을 한다.- domain logons = yes 삼바서버를 윈도우95기반의 워크스테이션에 대한 도메인로그인서버 역할을 하도록 하려면 이 옵션을 사용하라.- logon script = %m.bat 각 플랫폼별 또는 각 사용자별로 로그온스크립트(login script)를 구분하여 사용할 수 있도록 한다.- logon path = file://%25L/Profiles/%25U 오직 윈도우95 또는 윈도우NT에서 로우빙프로파일(roving profile)을 어디에 저장해 둘것인가를 지정하는 설정이다.- wins support = yes 윈도우 인터넷네임서비스인 WINS를 지우너하기 위한 섹션이다.- wins server = w.x.y.z WINS 서버를 지정한다.- wins proxy = yes WINS프락시 : WINS기능이 없는 클라이언트 대신 질의에 답하도록 하기위한 옵션이다.- dns proxy = no DNS의 nslookup을 사용하여 NetBIOS이름을 찾을 것인가 아닌가를 지정하는 옵션이다.- preserve case = no short preserve case = no 대소문자를 유지보존할 것인가를 지정하는 옵션이다.- default case = lower DOS파일들의 기본 문자는 대문자로 인식한다. 만약 lower로 설정하면 소문자로 인식한다.- case sensitive = no 대소문자의 구분을 할것인가 말것인가를 지정하는 옵션이다.- [homes] comment = Home Directories browseable = no writable = yes 사용자들의 홈디렉토리서버스에서 사용하는 기본적인 설정값이다.- [netlogon] comment = Network Logon Service path = /home/netlogon guest ok = yes writable = no share modes = no 도메인로그온 기능을 사용하기 위한 netlogin을 위한 설정이다.- [Profiles] path = /home/profiles browseable = no guest ok = yes 로우빙프로파일(roving profile)을 지정하려면 주석을 제거한다.- [printers] comment = All Printers path = /var/spool/samba browseable = no guest ok = no writable = no printable = yes BSD타이의 프린트시스템을 가지고 있다면 개별 설정없이 바로 사용할 수 있다.- [tmp] comment = Temporary file space path = /tmp read only = no public = yes 삼바사용자들의 임시공유 디렉토리로 사용하기 위한 설정이다.- [public] comment = Public Stuff path = /home/samba/public public = yes read only = no write list = @staff 삼바사용자라면 누구나 접근이 가능한 공유디렉토로서 staff그룹에 등록된 사용자들을 제외한 일반사용잗ㄹ은 읽기전용으로만 사용할 수 있다.
* 삼바클라이언트 유틸리티 smbclient
사용형식 : smbclient '\서버서비스' [-U 삼바사용자] [패스워드] [옵션]
# smbclient -L localhost -> 리눅스서버에 설치되어 있는 삼바서버의 접속 및 운용상태 확인
# smbclient '\filespapa' -U papa -> 원격지의 file이라는 로스트로 papa라는 계정을 이용하여 삼바서버로 접속
서버명으로 file이라는 호스트명을 사용하려면 /etc/samba/lmhosts파일에 호스트정보가 등록되어 있어야 한다.
# smbclient -L 192.168.0.100
# smbclient -U papa -L 192.168.0.100
* 삼바 원격마운트를 위한 smbmount와 smbumount
사용형식 : smbmount //호스트명(또는 IP)/서비스 /마운트포인트
smbumount /마운트포인트
# smbmount //192.168.0.100 /tmp/share
# smbumount /tmp/share
* 삼바 사용자 관리
- 새로운 삼바사용자 생성과 패스워드 설정하기
삼바서버에서 사용자를 드록하기 위해서는 smbpasswd라는 명령어를 사용한다.
삼바사용자의 삼바패스워드 또는 smbpasswd라는 명령어를 사용한다.
삼바사용자를 새로 생성하기 전에 리눅스 계정생성을 먼저해야 한다.
# useradd dhan
# passwd dhan
# smbpasswd -a dhan
- 삼바사용자 패스워드 변경하기
root 사용자일 경우 : smbpasswd [options] [username]
root 사용자가 아닌 경우 : smbpasswd [options]
- 삼바사용자 사용하지 못하도록 사용중지 설정하기
# smbpasswd -d dhan -> 사용 중지
# smbpasswd -e dhan -> 사용 재개
- 삼바사용자 삭제하기
# smbpasswd -x dhan
* 삼바서버의 로그인정보 확인을 위한 smbstatus
사용형식 : smbstatus [-P] [-b] [-d] [-L] [-p] [-S] [-s <설정파일>] [-u 삼바계정]
# smbstatus -> 현재 삼바서버로 로그인되어 있는 사용자들을 확인
# smbstatus -b -> 삼바서버로 로그인한 삼바사용자염을 간단하게 확인
# smbstatus -u papa -> 특정 계정의 삼바사용자의 로그인 정보만을 확인
* 삼바서버의 NetBIOS 호스트 파일 lmhosts
이 파일의 주된 목적은 삼바에서 사용할 호스트명정보(주로 IP주소)를 쉽게 찾을 수 있돍 하기위한 것이다.
이 파일에 등록된 호스트정보를 이용하여 smbclient와 같은 삼바유틸리티에서 등록된 호스트의 삼바서버로 접속할 때에 호스트명만으로 사용할 수 있다.
* 삼바설정파일 점검하기 위한 testparm
사용형식 : testparm [-s] [-h] [-x] [-L <서버명>] 설정파일명 [호스트 IP]
# testparm
# testparm -l 192.168.0.100
* 삼바서버를 이용한 웹폴더 구축
- 웹폴더 사용을 위한 삼바서버 설정
# useradd dhan
# passwd dhan
Changing password for user dhan.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
# smbpasswd -a dhan
New SMB password:
Retype new password:
Added user dhan.
# vi /etc/samba/smb.conf
[dhan]
comment dhan web folder
path = /home/dhan
valid users = dhan
read only = no
writable = yes
public = no
browseable = yes
printable = no
crate mask = 0750
# /etc/init.d/smb restart
- 개인 PC의 탐색기에서 운격삼바디스크 사용하기
- 웹브라우즈에서 웹폴더 형식으로 사용하기
***********************************************************
* DHCP 서버
***********************************************************
* 환경파일들
- DHCP 데몬파일
dhcp 서버데몬 : /usr/sbin/dhcpd
dhcp 릴레이에이전트 데몬 : /usr/sbin/dhcrelay
- DHCP 메인설정파일
dhcp서버의 설정파일 : /etc/dhcpd.conf
- DHCP IP할당로그파일
dhcp IP할당ㄹ그파일 : /var/lib/dhcp/dhcpd.leases
- DHCP서버 실행과 종료 및 재시작
# /etc/init.d/dhcpd start
# /etc/init.d/dhcpd restart
# /etc/init.d/dhcpd stop
* DHCP 서버 설정파일 dhcpd.conf
이 파일은 /usr/share/doc/dhcp-3.0pl1/ 디렉토리에 존재하는 dhcpd.conf.sample 파일을
/etc/dhcpd.conf 파일로 복사하여 편집한다.
subnet 192.168.0.0 netmask 255.255.255.0 {
-> 192.168.0.0/255.255.255.0 네트워크의 범위에 해당하는 IP주소 가운데 아래 reage항목에 나오는 바와 같이 192.168.0.128부터 192.168.0.255까지의 IP주소를 DHCP클라이언트 컴퓨터에 유동사설IP주소를 할당하기 위한 설정이다.
# -- default gateway
option routers 192.168.0.1;
-> DHCP클라이언트들이 사용할 기본게이트웨이이다.
options subnet-mask 255.255.255.0;
-> IP주소를 할당받은 DHCP클라이언트가 사용할 Subnet Mask를 의미한다.
option nis-domain "domain.org";
option domain-name "domain.org";
-> DHCP 서버의 자체 도메인이름을 의미한다.
option domain-name-servers 192.168.1.1;
-> IP주소를 할당받은 DHCP클라이언트가 사용할 DNS서버를 설정한다.
option time-offset -18000;
# option ntp-servers 19.168.1.1;
# option netbios-name-servers 192.168.1.1;
# - Select point-to-point node(default is hybrid). Don't change this unless you understand NetBIOS very well
# option netios-node-type 2;
range dynamic-bootp 192.168.0.128 192.168.0.254;
-> DHCP클라이언트에게 할당할 수 있는 IP주소의 범위이다.
default-lease-time 21600;
-> 할당시간이 설정되어 있지 않은 DHCP클라이언트가 할당받은 IP주소를 가지고 있을 수 있는 시간을 의미한다.
max-lease-time 43200;
-> 할당된 IP주소를 DHCP클라이언트가 임대할 수 있는 최대 시간을 의미한다.
# We want the nameserver to apperar at a fixed address
host ns {
-> DHCP서버를 이용하여 통신을 하는 많은 DHCP클라이언트들 가운데 특정 호스트에게만 항상 고정IP를 사용할 수 있도록 하기 위한 설정이다.
next-server marvin.redhat.com;
hardware ethernet 12:34:56:78:AB:CD;
-> 고정IP주소를 할당할 DHCP클라이언트의 MAC주소를 설정한다.
fixed-address 207.176.4.254;
-> 위의 MAC주소를 가진 DHCP클라이언트에게 할당할 고정 IP주소
}
}
* DHCP서버의 네트워크 설정
DHCP서버로 사용되기 위해서는 DHCP서버의 ethernet에 멀티캐스트가 가능하도록 설정되어 있어야 한다.
* DHCP서버를 사용하는 DHCP클라이언트 설정
- 리눅스에서 자동 IP할당 받기 위한 DHCP 클라이언트 설정
# cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
omBOOT=yes
BOOTPROTO=dhcp
# /etc/init.d/network restart
- 윈도우에서 자동 IP할당받기 위한 DHCP클라이언트 설정
***********************************************************
* PROXY 서버
***********************************************************
***********************************************************
* MRTG 트랙픽서버
***********************************************************
* SNMP# wget http://ftp.superuser.co.kr/pub/redhat/9/RPMS/net-snmp-5.0.6-17.i386.rpm# rpm -Uvh net-snmp-5.0.6-17.i386.rpm# /etc/init.d/snmpd startSNMP패키지를 설치하면 /etc/snmp/snmpd.conf 라는 SNMP설정파일이 있다.이 설정파일에서 SNMP커뮤니티네임(community name)과 시큐리티네임(security name)을 각각 설정한다.com2sec notConfigUser default biblegroup notConfigGroup v1 biblegroup notConfigGroup vc bible
* MRTG 트랙픽서버 구축- 필요한 프로그램들 설치하기 perl zlib libpng freetype jpeg gd apache- MRTG 설치# wget ftp://ftp.ntua.gr/pub/net/monitoring/mrtg/mrtg-2.11.1.tar.gz# tar xvf mrtg-2.11.1.tar.gz# cd mrtg-2.11.1# ./configure --with-gd=/usr/local/gd --wit-z=/usr/local/zlib --wit-png=/usr/local/libpng# make# make install# cd /usr/local/mrtg# mkdir conf- MRTG설정파일 생성하기# CFGMAKE --GLOBAL 'WorkDir: /home/mrtg/www/kebia_1' --global 'Options[_]: bits,growright' --output /home/mrtg/conf/bible.cfgbible@192.168.0.5 WorkDir: 옵션은 MRTG의 실행결과 파일들을 저장할 위치를 지정 Options에 설정한 부분은 그래프의 단위와 어느쪽으로 그릴 것인가를 지정 /home/mrtg/conf/bible.cfg는 생성될 결과파일을 지정 bible@192.168.0.5에서 192.168.0.5는 MRTG의 분석대상이며 bible은 대상서버에 설치된 snmp의 커뮤니티네임(community name)이다.- cfg파일 분석- MRTG 실행# /usr/local/mrtg/bin/mrtg /home/mrtg/conf/kebia_1.cfg
