우분투 16버전에서 php5.6 설치하는 방법
sudo add-apt-repository -y ppa:ondrej/php
sudo apt update
sudo apt install php5.6 php5.6-mysql php5.6-curlCategory: 리눅스
tcpdump HTTP POST/GET 데이터
POST 데이터 읽기
tcpdump -i eth0 -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'
GET 데이터 읽기
tcpdump -i eth0 -s 0 -A 'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
Vino 설정 – vnc 서버설정
xubuntu에서 vino 사용을 위한 설정
1. 설치
#apt install vino
2. 설정하기
#gsettings set org.gnome.Vino notify-on-connect false
#gsettings set org.gnome.Vino disable-background false
#gsettings set org.gnome.Vino require-encryption false
#gsettings set org.gnome.Vino prompt-enabled false
#gsettings set org.gnome.Vino vnc-password 1234
#gsettings set org.gnome.Vino view-only true
3. 자동실행 등록
#cp /usr/share/applications/vino-server.desktop /etc/xdg/autostart/
4. 우분투 18.04 이상
이전버전에서는 vino를 설치하지만 우분투 18.04이상에서는 기본적으로 vino가 설치되어 있다. 따라서 설정 > share > 데스크탑 공유 켜기만 하면 된다.
Apache Traffic Server 시작오류
Apache Traffic Server를 apt로 설치하고
systemctl start trafficserver로 시작하려면 정상적으로 시작을 하지 않는 경우가 있다.
이런경우 아래처럼 디렉토리를 생성시켜주면 정상적으로 시작이 된다
$ mkdir /var/run/trafficserver
$ chown trafficserver:trafficserver /var/run/trafficserver
systemctl status trafficserver로 확인해보면
/var/run/trafficserver 를 생성시켜주지 못해서 오류가 나면서 종료되는 문제이다.
서버 시작시 서비스가 실행되도록 하려면 아래처럼 한다
$ systemctl enable trafficserver
이렇게 시작 서비스에 등록을 하더라도 재부팅하면 /var/run/trafficserver 디렉토리가 없어지면서
서비스가 정상적으로 시작되지 않는다.
서비스 시작 스크립트를 수정해서 해결한다
$ vim /lib/systemd/system/trafficserver.service
아래코드를 삽입해준다.
서비스 시작전에 실행하는 커맨드를 이용해서 폴더를 생성시켜준다.
ExecStartPre=/bin/mkdir /var/run/trafficserver
ExecStartPre=/bin/chown trafficserver:trafficserver /var/run/trafficserver
전체파일내용은 아래와 같다
[Unit]
Description=Apache Traffic Server is a fast, scalable and extensible caching proxy server.
Documentation=man:traffic_server(8)
After=network.target[Service]
Type=simple
EnvironmentFile=-/etc/default/trafficserver
PIDFile=/var/run/trafficserver/cop.pid
ExecStartPre=/bin/mkdir /var/run/trafficserver
ExecStartPre=/bin/chown trafficserver:trafficserver /var/run/trafficserver
ExecStart=/usr/bin/traffic_cop $TC_DAEMON_ARGS
ExecReload=/usr/bin/traffic_ctl config reload[Install]
WantedBy=multi-user.target
우분투 12.04 iptables + geoip
우분투 12.04에서 iptables와 geoip를 이용해서 국가단위로 접근을 제한하는 방법을 안내합니다.
설치
필요한 패키지 설치
# sudo apt-get install xtables-addons-common
# sudo apt-get install libtext-csv-xs-perl
GEOIP 데이터베이스 다운로드
# sudo /usr/lib/xtables-addons/xt_geoip_dl
다운로드한 데이터베이스 압축해제
# sudo mkdir /usr/share/xt_geoip
# sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
사용방법
특정 국가만 차단
# iptables -A INPUT -m geoip –src-cc CN,IN,RU,JP -j DROP
특정 국가를 제외한 나머지 차단
# iptables -A INPUT -m geoip ! –src-cc KR -j DROP
오류처리
상황
-m geoip 사용시 아래와 같은 오류발생
iptables: No chain/target/match by that name.
처리
xtables-addons-1.47.1 소스코드 다운로드
최신버전인 3.x는 우분투 12.04의 커널버전이 낮아서 사용할 수 없으니 1.x 버전을 사용해야 한다
# wget https://sourceforge.net/projects/xtables-addons/files/Xtables-addons/xtables-addons-1.47.1.tar.xz/download
# xz -d xtables-addons-1.47.1.tar.xz
# tar xf xtables-addons-1.47.1.tar
# cd xtables-addons-1.47
# ./configure
# make && make install
확인
아래명령을 실행해서 ‘geoip’ 가 있는지 확인
#cat /proc/net/ip_tables_matches
conntrack
conntrack
conntrack
state
geoip
udplite
udp
tcp
multiport
icmp
Asterisk 수신거부 코드 – DB연동
asterisk 11 버전에서 특정번호를 수신거부하는 코드입니다.
수신거부하는 번호를 DB테이블에 저장하고 관리합니다.
테이블스키마
CREATE TABLE `ban` ( `phone` VARCHAR(32) NOT NULL COMMENT '전화번호', `reg_date` DATETIME NOT NULL COMMENT '등록일', INDEX `phone` (`phone`) ) COMMENT='수신거부 전화번호' COLLATE='utf8_general_ci' ENGINE=MyISAM;
extensions.conf
[inbound]
exten => 07010002000,1,Answer
exten => 07010002000,n,NoOp("caller id: ${CALLERID(number)}")
exten => 07010002000,n,MYSQL(Connect connid 호스트 유저 비밀번호 데이터베이스명)
exten => 07010002000,n,MYSQL(Query resultid ${connid} SELECT COUNT(*) AS cnt_blockcaller FROM ban WHERE phone='${CALLERID(number)}')
exten => 07010002000,n,MYSQL(Fetch fetchid ${resultid} cnt_blockcaller)
exten => 07010002000,n,MYSQL(Clear ${resultid})
exten => 07010002000,n,MYSQL(Disconnect ${connid});
exten => 07010002000,n,GotoIf($["${cnt_blockcaller}" != "0"]?inbound,07010002000,blockcaller)
.
.
.
exten => 07010002000,n(blockcaller),NoOp("blockcaller!!!")
exten => 07010002000,n,Hangup()
게이트웨이 핑체크
Gateway ping 확인하는 스크립트
eth0 – 192.168.100.1
eth1 – 192.168.200.1
default gateway는 192.168.100.1 로 등록되어 있는 상태에서 192.168.100.1로 핑을 계속 보내면서 네트워크를 확인한다.
최대 실패횟수가 초과하면 현재 default gateway를 제거하고 eth1의 게이트웨이를 등록하고 관리자에게 이메일을 발송한다.
[code lang=”shell”]
#!/bin/sh
#####################################################################
# edit config
GW1="192.168.100.1"
GW2="192.168.200.1"
MAX_FAIL_COUNT=5
ERROR_MAILTO="me@jongwan.com"
#####################################################################
# path exec
EXEC_PING="/bin/ping"
EXEC_ROUTE="/sbin/route"
EXEC_MAIL="/usr/bin/mail"
#####################################################################
# prevent duplicate run
ME=`basename "$0"`
CHK_RUN=`pgrep -o $ME`
if [ $CHK_RUN -ne $$ ]; then
exit
fi
#####################################################################
# checking
FAIL_COUNT=0
while(true) do
# check ping
CHK=`$EXEC_PING -c1 $GW1 > /dev/null; echo $?`
# 0 is reachable, 2 is unreachable
if [ $CHK -ne "0" ]; then
FAIL_COUNT=$(($FAIL_COUNT+1))
else
FAIL_COUNT=0 # init fail_count if success ping
fi
# check fail count
if [ $FAIL_COUNT -ge $MAX_FAIL_COUNT ]; then
# add/del gateway
echo "Gateway connection failed : $GW1"
CMD1=`$EXEC_ROUTE del default gw $GW1`
CMD2=`$EXEC_ROUTE add default gw $GW2`
# send email
CMD3=`echo "Gateway connection failed : $GW1" | $EXEC_MAIL -s "Gateway connection failed : $GW1" $ERROR_MAILTO`
# exit shell
break
fi
sleep 1
done
[/code]
리눅스 hostname 변경
우분투에서 호스트네임을 변경하는 방법
hostname 파일 수정
#vim /etc/hostname
hostname 적용
#hostname -F /etc/hostname
hostname 확인
#hostname
find 명령으로 오래된 파일찾기
find 명령으로 오래된 파일을 찾아본다
현재위치에서 *.txt파일중 30일이 지난 파일을 출력
# find . -name “*.txt” -type f -ctime +30 -print
현재위치에서 30일이 지난 모든 파일을 삭제
# find . -type f -ctime +30 | xargs rm
현재위치에서 30일이 지난 모든 디렉토리를 삭제
# find . -type d -ctime +30 | xargs rm -rf
현재 위치에서 7일안에 생성된 파일을 출력
# find . -type f -ctime -7 -print
옵션설명
-type f(파일) d(디렉토리) l(링크)
-ctime : 생성시간
-mtime : 수정시간
-atime : 접근시간
100kb이상인 파일을 출력
# find . type f -size +100k -print
fail2ban – 워드프레스 로그인 차단 (wp-login.php)
워드프레스 악의적인 로그인 차단
fail2ban 을 이용하여 워드프레스(https://wordpress.org/) 로그인 페이지를 안전하게 해보자
어느날 갑자기 무차별대입공격(brute force attack)으로 로그가 엄청나게 늘어나 버렸다.
워드프레스에 Wordfence 플러그인이 설치되어 있었지만 차단해주지는 못했다.
때문에 로그파일을 읽어 방화벽(iptables)에 등록해주는 fail2ban 을 이용하여 직접 방어해본다.
기본환경
ubuntu 14.04에 apache2가 설치되어 있다.
fail2ban 설치하기
fail2ban은 지정된 로그파일을 모니터링하면서 정규식을 이용, 특정패턴을 읽는다. 패턴이 일정이상 반복되면 bantime (초) 만큼 방화벽에 아이피를 등록하여 차단한다.
우분투 패키지매니저를 통한 설치
#sudo apt-get install fail2ban
소스설치
https://github.com/fail2ban/fail2ban 에서 소스파일을 다운로드한다.
로그파일 확인
워드프레스의 로그인 파일(wp-login.php)에 접근한 로그를 확인하기 위해 아파치 로그폴더를 확인해 본다
# cat /var/log/apache2/access.log | grep wp-login.php
91.200.12.42 – – [12/Sep/2016:02:02:49 +0900] “POST /wp-login.php HTTP/1.1” 200 5527 “http://jongwan.com/wp-login.php” “Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)”
91.200.12.42 – – [12/Sep/2016:02:03:07 +0900] “POST /wp-login.php HTTP/1.1” 200 5527 “http://jongwan.com/wp-login.php” “Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)”
91.200.12.42 – – [12/Sep/2016:02:03:14 +0900] “POST /wp-login.php HTTP/1.1” 200 5527 “http://jongwan.com/wp-login.php” “Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)”
91.200.12.42 – – [12/Sep/2016:02:03:25 +0900] “POST /wp-login.php HTTP/1.1” 200 5527 “http://jongwan.com/wp-login.php” “Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)”
91.200.12.42 – – [12/Sep/2016:02:03:37 +0900] “POST /wp-login.php HTTP/1.1” 200 5527 “http://jongwan.com/wp-login.php” “Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)”
wp-login.php 파일에 수초간격으로 계속 접근을 시도한 것을 확인할 수 있다.
fail2ban 룰 작성
fail2ban에서 사용하는 failregex 라는 룰을 작성한다. 로그파일을 확인해 보면 아래와 같이 작성할 수 있다.
^<HOST> .* “POST /wp-login.php
룰 파일을 생성
fail2ban 은 기본적으로 /etc/fail2ban 에 설치된다.
# vim /etc/fail2ban/filter.d/wordpress-login.php
파일 내용은 아래와 같다
[bash]
[Definition]
failregex = ^<HOST> .* "POST /wp-login.php
ignoreregex =
[/bash]
jail.conf 에 룰을 등록
룰을 생성했드면 jail.conf 에 해당 룰을 등록해 줄 수 있다. /etc/fail2ban/jail.conf 파일을 열어 마지막줄에 아래 내용을 추가해준다.
# vim /etc/fail2ban/jail.conf
[bash]
[wp-auth]
enabled = true
filter = wordpress-login
action = iptables-multiport[name=NoAuthFailures, port="http,https"]
logpath = /var/log/apache2/*access*.log
bantime = 1200
maxretry = 8
[/bash]
fail2ban 룰 테스트
fail2ban은 아래와 같은 명령을 이용해서 룰을 확인할 수 있다.
#fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/wordpress-login.conf
fail2ban 재시작
#service fail2ban restart