[카테고리:] 리눅스

tar 특정디렉토리 제외하고 묶기(–exclude)

디렉토리가 하나일 경우
tar cvfz /home/abc.tgz /home/abc –exclude /home/abc/a

디렉토리가 여러개일 경우
tar cvfz /home/abc.tgz /home/abc –exclude /home/abc/a –exclude /home/abc/b

여러개일 경우.. 탭을 쓰면 디렉토리 마지막에 / 가 붙는데
–exclude /home/abc/a/ 가 아니라
–exclude /home/abc/a 이런식으로 써야 잘 되드라…;;;

ClamAV

[zlib 설치]


http://www.zlib.net
./configure –prefix=/usr/local/zlib
make
make install



[ClamAV 설치]


http://www.clamav.net/


groupadd clamav
useradd -g clamav -M -d /dev/null -c “Clam AntiVirus” clamav


tar xvfz clamav-0.92.tar.gz
cd clamav-0.92
./configure –prefix=/usr/local/clamav –sysconfdir=/etc –enable-static=yes –enable-shared=yes –disable-dns –with-zlib=/usr/local/zlib



[자동 업데이트 설정하기]


ClamAV에서는 바이러스에 대한 정보를 업데이트하기 위해 FreshClam이라는 것을 제공하고 있다. 이 프로그램은 정해진 시각에 database.clamav.net에 접속해 서버에 설치된 정보와 비교해 업데이트 여부를 체크한다. 업데이트에 대한 기본정보는 다음과 같이 설정해 /var/log/clam-update.log 파일에 남도록 한다.


touch /var/log/clam-update.log
chmod 600 /var/log/clam-update.log
chown clamav /var/log/clam-update.log
/usr/local/clamav/bin/freshclam

httpd.conf






httpd.conf

apache컴파일하기 전에
# vi 아파치경로/server/mpm/prefork/prefork.c
[EDITOR]#define DEFAULT_SERVER_LIMIT 256 을
[EDITOR]#define DEFAULT_SERVER_LIMIT 1280 으로 수정
저장하고 아웃
# vi 아파치 경로/server/mpm/worker/worker.c
[EDITOR]#define DEFAULT_SERVER_LIMIT 16 을
[EDITOR]#define DEFAULT_SERVER_LIMIT 20 으로 수정
저장하고 아웃 하셔야 합니다.

설정 개념

먼저, KeepAlive On 으로 세팅합니다. KeepAlive 는 접속 유지 개념으로, 만약 접속중에 다른 이미지를 호출하면 새로운 연결을 만들지 않고 (새로운 쓰레드나 프로세스를 띄우지 않고) 그냥 있는 연결로 이미지를 보여주겠다는 개념인데요
이게 중요한 이유가, <img src=xxx> 인 경우 그때마다 연결을 새로 만들거든요.. KeepAlive Off 인경우 말입니다.
그런데..KeepAlive 는 양날의 검인것이, KeepAliveTimeout 에 적혀 있는 시간이 지날때까지
접속이 안끊깁니다. 즉, 계속 연결이 살아 있으니, 동시접속 한계에 부딪치게 되죠.
따라서

KeepAlive On
KeepAliveTimeout 2
(2초간 접속을 끊지 않고 기다린다..)
이렇게 설정하는것이 최상입니다. 경우에 따라서는 KeepAliveTimeout 1 이렇게 1초만 설정하기도 하죠.
1초~2초 사이를 줍니다.

1초, 2초의 기준은 사이트를 직접 운영하면서, 스코아 보드를 보면서 셋팅해야 되요. 이정도가 적당하겠구나.. 하구요

그다음 중요한 설정이
Timeout 30
이부분입니다. 아파치 디펄트는 Timeout 300 으로 되어 있는데요
“아무 신호가 들어오지 않더라도 접속을 유지시켜 주는 시간” 을 말합니다.
대형사이트의 경우 Timeout 10 이런식으로 아주 작게 잡습니다.
dos 공격을 방지하기 위해서죠.

그다음.. 설정이, prefork 이냐 worker 이냐에 따라 다른데요
(이건 컴파일때 설정..)
참고로 fork 란, 아파치 버젼 1.3 대에서 사용하는 방법으로
실행중인 프로세스를 똑같이 복사해 냅니다. 이때 메모리까지 똑같이 복사하기 때문에, 프로세스가 소비하는 메모리를 그대로 소비합니다.
(메모리를 많이 먹죠)

worker 는 2.0 대에 나온 개념으로 모든걸 쓰레드로 처리하면, 굉장히 불안해 집니다.
단 하나의 쓰레드에 문제가 생기면, 해당 쓰레드가 물려있는 모든 프레세스들이 다 문제가 생깁니다.
아파치가 궁리끝에 내어놓은 대안은 “하나의 프로세스가 만들어내는 최대 쓰레드 갯수는 64개로 제한한다” 입니다.
즉, 쓰레드 하나가 문제 생겨도 해당 64 개 만 문제가 생기지 나머지는 괜찮은 겁니다.
ServerLimit 20 –> 서버 갯수를 설정합니다.
StartServers 20 –> 아파치를 처음 시작할때 생성하는 서버 갯수입니다.
MaxClients 500 –> ThreadsPerChild * StartServers 값입니다.
ThreadsPerChild 25 –> 서버 하나가 만들어 낼수 있는 쓰레드 갯수입니다. 최대 64개 입니다.
MinSpareThreads –> 서버 하나가 만들어 낼수 있는 쓰레드의 최소 갯수입니다. 보통은 ThreadsPerChild 와 맞추어 줍니다.
MaxSpareThreads –> 시스템 전체에서 만들어 낼수 있는 쓰레드 갯수의 최대치 입니다.
ThreadsPerChild * StartServers 값이며, 보통 MaxClients 와 맞추어 줍니다.
MaxRequestsPerChild –> 서버 하나가 만들어 내는 접속의 최대치 입니다. 0 일경우 무한대 이며, 숫자를 적으면 그 숫자만큼 접속되고 나면 서버를 죽였다 살립니다.

MaxRequestsPerChild란?
웹서버란게 100% 완벽하지 않을수 있습니다.
그경우, 메모리 누수.. 등 메모리 에러가 날수 있는데요
그런경우 MaxRequestsPerChild 에 값을 적어 놓으면 MaxRequestsPerChild 1000 이렇게 설정하면 클라이언트 접속을 1000 번만 처리하고 죽어 버립니다.
물론 죽고난 다음 다시 살아나죠..
그렇게 하면, 에러를 최소화 할수 있는데요
보통은 0 으로 해 놓고 무제한 처리하게 합니다. 자꾸 죽었다 살아나면, 그것도 시스템 부하니까요.

결국 ServerLimit 와 ThreadsPerChild 이 두개 값으로 아파치 동시 접속자수를 결정 짓습니다.
나머지는 곱하기 해서 구하죠…
그리고 곱하기 한 값을, 다른데 적어 두고.. 비슷한 내용은 똑같이 맞춰 버리고 이렇게 하면 셋팅 완료..

ExtendedStatus On

SetHandler server-status
Order deny,allow
# Deny from all
# Allow from .example.com

이부분을 찾아서, 모든 사용자에게 server-status 를 허용한다고 셋팅한 다음에

http://도메인/server-status

이렇게 하면 아파치 상태를 직방으로 볼수 있습니다.

W_________K_K__________K_…………………………………
______K_K_C_____KK__C____…………………………………
_WKK___K_________________…………………………………
C__KK__________K_________…………………………………
K_____K__W________W______…………………………………
_K_______K_________K____W…………………………………
______KW_________CK__K___…………………………………
__K_CWKK_________________…………………………………
_________W_______K___K__K…………………………………
____________W_K____K__K__…………………………………
_____C__CW__WK__________W…………………………………
______K__K__CC_____C_____…………………………………
___CW___________K_K___K_C…………………………………
__K__K______________C__W_…………………………………
KW_K___________K_W___K_K_…………………………………
________K__K_________K___…………………………………
_W__C___________K________…………………………………
________CK___K______K____…………………………………
_C____W_CK_____KK______K_…………………………………
__KK___K______K____C_____…………………………………

Scoreboard Key:
“_” Waiting for Connection, “S” Starting up, “R” Reading Request,
“W” Sending Reply, “K” Keepalive (read), “D” DNS Lookup,
“C” Closing connection, “L” Logging, “G” Gracefully finishing,
“I” Idle cleanup of worker, “.” Open slot with no current process

한줄에 서버 1개 입니다..

이미지 캐싱 처리 [mod_expires]

제  목 : [튜닝] apache에서 이미지 캐싱 처리(mod_expires)
글쓴이 : 좋은진호(truefeel, http://coffeenix.net/ )
글쓴날 : 2004.2
정리일 : 2004.8.10(정리)


apache에서는 mod_expires 모듈을 통해 Expires HTTP header 를 설정할 수 있다.
이를 통하여 클라이언트(웹페이지 방문자)에 캐싱되는 문서나 이미지들이 많아서 트래픽을
감소시킬 수 있다. 이미지 전용 서버나 이미지 디렉토리에 설정을 해두면 효과적이다.


이미지 서버에 지정한 다음 예를 보자.


[quote]
<IfModule mod_expires.c>
        ExpiresActive On
        ExpiresDefault “access plus 1 month”


 # 제외할 디렉토리
        <Directory “/usr/local/apache/htdocs/temp”>
        ExpiresActive Off
        </Directory>
</IfModule>


[/quote]


– ExpiresActive On 지시자로 Expires 설정을 enable 한다.
– ExpiresDefault “access plus 1 month” 지시자는 액세스한지 얼마나 지나서 expire할 것인지를 지정한다.
  즉, 지정한 기간만큼 클라이언트에 캐싱이 된다. 위에는 1달이다.


이외에 클라이언트에서 액세스한지 1달, 4주, 30일, 1년 등과 같은 expire 주기와
서버의 파일의 수정 시간으로 expire 주기를 설정할 수 있다.


[quote]
ExpiresDefault “access plus 1 month”
ExpiresDefault “access plus 4 weeks”
ExpiresDefault “access plus 30 days”
ExpiresDefault “access plus 1 years”
ExpiresDefault “modification plus 30 days”
[/quote]


– 설정 마지막부분에 Directory 지시자와 ExpiresActive Off 설정을 통해
  특정 디렉토리만 expire 설정에서 제외할 수 있다.
  반대로 특정 디렉토리만 On으로도 설정할 수 있다. (일반 웹서버에 /images 와 같이 디렉토리가 있는 경우)


[quote]
ExpiresByType image/jpeg “acces plus 4 weeks”
ExpiresByType image/gif  “acces plus 4 weeks”
[/quote]


– 위처럼 파일의 유형(image/jpeg, image/gif은 이미지 파일)으로도 가능하다.


아주 간단하지 않는가?


참고로 [다음(daum)] 의 이미지 서버는 28일(4주)로 [야후!코리아] 는 5년으로 설정되어 있다.


* 참고 자료 : http://httpd.apache.org/docs/mod/mod_expires.html

루트킷 체크

chkrootkit (http://www.chkrootkit.org/)



1) 기능


시스템내의 바이너리 파일들(/bin/,/sbin/,/usr/bin/,/usr/sbin/ 등의 실행파일)의 변조 여부를 확인한다. 시스템 파일을 확인하는 chkrootkit 과 현재 실행주인 프로세스들을 검사하는  chkproc 등이 있다.



2) 설치방법 (자세한 사항은 README 파일참조)


 


# make sense
# ./chkrootkit


컴파일된 실행파일들을 /usr/local/bin 등에 넣어준다.
# find . -perm 755 -a -type f -exec mv {} /usr/local/bin \;


3) 사용방법


해커에 의해 chattr 속성이 걸려있어 삭제또는 변경이 불가능하게 되어 있는 파일이 있는지 확인한후 체크루트킷을 돌린다.
# lsattr /usr/bin/* /usr/sbin/* /bin/* /sbin/* | awk -F\  ‘!/————-/ {print $2}’
# chkrootkit


-q : 의심가는 파일들만 출력


chkproc은 ps 명령으로 PID가 보이지 않는 프로세스들을 검출해 낼수 있다.


# chkproc -v


아래는 chkproc 명령을 사용하여 해당 프로세스들이 실행중인 파일을 찾아내는 스크립트이다.
——————————————————————————
#!/bin/bash


chkproc=”/usr/local/bin/chkproc”


PIDS=$($chkproc -v | grep “PID” | grep “/” | awk -F”(” ‘{print $1}’ | awk ‘{print $2}’)


for PID in $(echo $PIDS)
do
    echo -n  “PID[$PID] “
    ls -al /proc/$PID | grep exe | awk ‘{print “exe -> ” $11}’
done
——————————————————————————



Rootkit Hunter (http://www.rootkit.nl/)



1) 기능


백도어나 루트킷을 탐지하며 일반적으로 루트킷이 사용하는 파일 및 숨김 파일의 존재여부를 판별해준다. 실행시 관리자에게 각 파트별로 체크사항을 보여주는 리포트기능이 뛰어나며 SOLARIS를 제외한 대부분의 UNIX를 지원한다. 또한 업데이트 역시 빠르다.



2) 설치방법


파일 압축을 푼후에 다음의 명령을 사용하여 설치한다.
# ./installer.sh –layout default –install



3) 사용방법


최신의 정보를 업데이트한후에 실행한다.
# rkhunter –update
# rkhunter -c


-c                   : –checkall 옵션
-sk                 : –skip-keypress 결과 리포트중에 확인 키입력을 받지 않는다.
–update         : 업데이트
–createlogfile  : /var/log/rkhunter.log  에 로그를 남긴다.
–cronjob         : 클론탭 모드로 동작한다.(컬러레이아웃을 제거한다.)
–report-warnings-only : 문제가 되는 사항만 출력한다.



OSSEC (http://www.ossec.net/)



1) 기능


앞의 체크루트킷 프로그램과 달리 시스템상  데몬으로 동작하면서 지속적으로 시스템주요 파일 및 로그들을 확인하고, 외부공격에 바로 대응(active-response) 할 수 있도록 설정이 가능하다. 관리자에게 실시간으로 메일을 전송한다.


2) 설치방법


파일 압축을 푼후에 다음의 스크립트를 실행시킨다.


설치시 ‘local’ 을 선택해서 현재 시스템을 감시하도록 한다. (server : 다른시스템도 감시)


# ./install.sh


3) 사용방법


설치하면 기본적으로 rc.local 에 등록되어 동작되게 되어있다. 수동으로 시작하려면 다음과 같이 해주면 된다.


# /var/ossec/bin/ossec-control start

php 5.2.5

php 5.2.5

./configure \
–prefix=/usr/local/php \
–with-apxs2=/usr/local/apache2/bin/apxs \
–with-mysql=/usr/local/mysql/ \
–with-config-file-path=/usr/local/php/conf \
–with-png-dir=/usr/local/libpng \
–with-jpeg-dir=/usr/local/bin \
–with-zlib \
–with-gd \
–with-freetype-dir=/usr \
–enable-magic-quotes \
–enable-sockets \
–disable-debug \
–enable-mbstring \
–enable-soap \
–enable-ftp

[qmail] glibc 관련 오류

[root@MAIL qmail-1.03]#setup make check
./load auto-str substdio.a error.a str.a
substdio.a(substdo.o)(.text+0x43): In function `allwrite’:
: undefined reference to `errno’
collect2: ld returned 1 exit status
make: *** [auto-str] 오류 1


========================================================================


glibc관련 에러입니다.
http://qmail.kldp.org/src/patches/glibc-2.3.1/
여기에 qmail.errno 패치가 있습니다.
패치하신 다음에 컴파일 하시면 바로 해결이 가능합니다.
수동으로 하신다면
error.h 파일 열어서
extern int errno;
부분을 주석처리하시고
#include<errno.h>
추가해 주시면 됩니다.


========================================================================

mysql –skip-name-resolve

DB서버와 WEB서버를 분리해서 원격접속을 통한 서비스를 운영중에 어제까지 멀정하던 서비스가 갑자기 DB접속에 문제가 생겼다.
DB를 restart하고 Web Server를 restart해도 바로 아래와 같은 process가 넘쳐난다.
| 484 | unauthenticated user | xxx.xxx.xxx.xxx:57022 | NULL | Connect | NULL | login | NULL    |

웹에서 검색을 해보니 사용자 인증이 안된 대기상태의 프로세스란다.
show processlist;를 치면 기하급수적으로 늘어나는 프로세스 숫자로 인해 답답해 미칠지경이다..
여기저기 검색을 해보니 네트웍상의 문제일것이라는 답이 많이 나왔다.
그래서 혹시나 하는 마음에 DB서버의 /etc/resolv.con 파일을 수정했다.

우리가 사용하는 네임서버가 DB서버이기때문에 DB서버의 resolve.conf 첫라인에 DB서버의 아이피를 추가해주고, mysql 시작 옵션에 –skip-name-resolve 를 추가했다.
다시 mysql을 restart하자 이전의 안정된 상태로 돌아갔다..
음… 다행히 답을 찾은것 같다.

PING 거부

시스템을 관리하다보면 보안이나 서버부하등 여러 가지 사유로 인하여 ping에 응답하지 못하게 설정할 필요를 느낄 때가 있습니다.

이때에는 다음과 같이 설정함으로서 ping에 응답하지 못하게 하거나 다시 응답하게할 수 있습니다.

첫째, ping에 응답하지 못하게 하려면 다음과 같이 /proc/sys/net/ipv4/icmp_echo_ignore_all 파일값을 1로 설정합니다.
ex) /proc/sys/net/ipv4/echo 1 > icmp_echo_ignore_all

둘째, 다시 ping에 응답하게 하려면 다음과 같이 /proc/sys/net/ipv4/icmp_echo_ignore_all 파일값을 0으로 설정합니다.
ex) /proc/sys/net/ipv4/echo 0 > icmp_echo_ignore_all