정리 블로그

1. umask 역할

리눅스에서 umask는 새로 생성되는 파일이나 디렉토리의 기본 권한 설정을 제한하고, 보안성을 높이는 데 사용될 수 있다.

2. umask 설정 및 사용 이유

회사에서 서버의 보안 점검 심사가 진행되거나 isms와 같은 심사가 진행되면 서버의 보안 수준도 같이 진단받게 된다. 이 때, umask 적용 여부도 확인이 될 수 있다.

기본적으로 파일은 666, 디렉토리는 777 권한을 가지게 된다. 이 때, umask 설정이 022로 적용된다면 (보안성 강화를 위해 022 권고)

파일은 666 -> 644(rw-r--r--) 이 적용되고,

디렉토리는 777 -> 755(rwx-r-x-r-x)가 적용되므로, 보안성이 강화될 수 있다.

3. 적용 시, 주의 사항 및 참고 사항

umask를 신규로 적용하게 되면 기존에 생성된 파일과 폴더는 영향이 없으며, 적용 후 신규로 생성되는 파일부터 적용이 된다.

그리고 해당 권한은 리눅스 사용자별로 다르게 적용될 수 있으므로, 모든 사용자가 예외없이 적용되도록 적용할 필요가 있다.

그렇다고해서 너무 강하게 적용하면 어플리케이션이 특정 파일이나 디렉토리를 읽거나 실행해야할 때, 권한이 없어 에러가 발생할 수 있으니 주의하자.

4. 적용 방법

적용이 되었는지 여부는 커맨드창에서 umask를 입력하면 된다.

일시 적용: 현재 세션에서 umask 000

umask 000 적용 후 test.txt 파일을 생성, rw-rw-rw 권한을 가진 파일이 생성된 것을 볼 수 있다.

umask 022 설정 후 test2.txt 파일 생성 시, rw-r--r-- 권한을 가진 파일 생성.

영구 설정: 시스템의 기본 umask 값은 일반적으로 /etc/profile 또는 /etc/bashrc 파일에서 설정할 수 있으며, umask 022 을 라인에 추가해주면 된다.

1. 윈도우 서버

 -. 윈도우 서버는 가정에서 사용하는 윈도우 환경과 매우 비슷한 UI를 가지고 있음. 하지만 일부 오래된 윈도우 서버에서는 NTP 서버가 어떻게 설정되어있는지 확인할 수 없는 경우도 있음.

따라서, 별도로 cmd창을 통해 확인이 가능함.

물론, 가정용 윈도우 환경에서도 동일한 명령어를 통해 확인 가능.

두 가지 경우 모두 time.window.com 을 ntp서버로 보고있음.

w32tm /dumpreg /subkey:parameters

1. Grafana란 무엇인가..

 -. 그라파나는 오픈소스 중 하나로 메트릭 데이터 시각화 도구입니다.(간단하게 생각해서 오픈소스 모니터링 툴)

2. Grafana 구축 환경

 -. 그라파나를 구축할 수 있는 환경 및 방법은 다양합니다. k8s에서 구축하는 경우, Secret Key 외에 Role을 사용하여 구축하는 경우 등.

 -. 본 실습에서는 EC2 + IAM의 Secret Key를 통해 구축하였습니다.

3. Grafana 패키지 다운로드

wget https://dl.grafana.com/oss/release/grafana-8.0.3-1.x86_64.rpm
sudo yum install grafana-8.0.3-1.x86_64.rpm

wget을 통해 패키지를 다운받습니다. yum 은 패키지를 쉽게 설치하는 툴이며, wget을 통해 다운로드 받지 않은 상태에서 설치 진행 시.. 설치 불가...

Private 환경에 구축하였으며, 지난번 테스트 후 원상복구를 안해둬서 해당 인스턴스에서 인터넷 사용이 불가능했습니다. 라우팅 수정 진행하였고, Security Group 정책 추가.

-. 여기서부터 정상적으로 설치된 화면.

yum install 설명할 것이 없기에.. 생략하였습니다.

-. 설치 후 서비스를 기동해줘야 정상적으로 접속이 가능합니다.

systemctl start grafana-server

(Amazon Lin2 환경이며, CentOS 7과 동일하다고 생각하면 됨)

사용 포트는 3000번을 사용하며, Private 환경에 구축하였기에 OpenVPN 접속 후 해당 환경에 접속 가능합니다.

(혹여나..Private IP인지 아닌지를 모르는 분이 해당 IP를 입력할 수 있을 거란 생각에..)

4. Grafana 설치 후 화면

-. 간단하게 범할 수 있는 실수도 같이 넣습니다.

Security Group 인바운드 수정 안하면 안되는거 아시죠..?

-. Inbound 정책 추가 후 초기 화면

초기 접속 정보는 admin / admin 입니다.

5. UI 접속 후 기본 세팅

-. Data sources에 접속

-. Access Key 및 Secret Access Key 입력!

(Access Key를 입력하면 Key의 권한에 따라 많은 것이 뚫릴 수 있기에 가렸습니다...)

위와 같은 에러 발생했으며, 저의 경우는 IAM User 생성 시, 권한 문제였습니다. 권한은 CloudWatchReadOnlyAccess 필요!

권한 변경 후 정상 작동 확인

6. 대시보드 설정

-. New dashboard 설정(add an empty panel)

Query Mode 에서 선택 -> CloudWatch Metric으로 진행하였으므로, 선택.

기타 Region 등을 원하는 것으로 선택하여 진행하면 됩니다.(선택 시, 리스트 확인가능하여 생각보다 쉽습니다.)

Alias를 통해 네이밍을 쉽게 할 수 있습니다.

* 추가 Panel 설정을 통해 위와 같이 점으로 출력되는 부분을 Line으로 변경할 수 있습니다.

Connect null value에서 'Always' 선택하면 위와 같이 우리가 아는 그래프로 출력됩니다.

*추후 k8s 환경에서 Grafana 환경 구축하는 방법도 테스트 후 포스팅 예정입니다.

*******추가로******

Grafana 환경과 같이 자주 언급되는 Prometheus가 있습니다.

Prometheus는 k8s에서 가장 많이 사용되는 오픈소스 기반 모니터링 시스템입니다.

Prometheus -> 모니터링 수집 담당

Grafana -> 시각적 UI 담당

따라서, 프로메테우스는 추후 k8s를 통한 그라파나 환경 구축 진행 시, 다시 언급하도록 하겠습니다.

1. server.xml 설정 변경 및 iptables 설정 추가

-. 톰캣의 server.xml을 수정하여 포트 리다이렉트 하는 방법입니다. 물론 iptables 명령어도 사용해야하지만..

위 화면이 초기에 화면입니다.

테스트를 하기위해 저는 기본 포트도 8080에서 8090으로 변경하였으니, 참고 부탁드립니다 :)

**** proxyPort="81" 추가 (해당 부분은 추가하지 않아도 iptables에서 리다이렉트시키는 것 확인함... 필요 없을 것으로 보이나, 추가 확인 필요.)

**** iptables 정책 추가

iptables -t nat -A PREROUTING -p tcp --dport 81 -j REDIRECT --to-port 8090

#81포트로 들어올 경우, 8090포트로 리다이렉트 처리

2. Tomcat 서비스 포트 확인

포트 8090으로 LISTEN 중인 것 확인됩니다. 포트 81은 작동중이 아님.

서비스 접속은 81포트 동작하는 것으로 보이지만, 실제로 내부에서는 81포트로 들어오는 서비스는 8090포트에서 동작하는 중 입니다.

3. ALB와 Route53 서비스를 사용하여 서비스 확인!

-. ALB의 기능은 사용하지 않고, 81 포트로 인입 시, 81 포트로 Forwarding하는 기능만 사용하였습니다.

위와 같은 리스너만 추가하였습니다!

**해당 작업을 진행하면서 ALB의 Security Group, EC2의 Security Group은 잘 확인하시기 바랍니다.

'www.taek.gq' 레코드를 추가하여, 연결 완료!

0. 들어가며..

Yum을 통해 쉽게 설치할 수 있으며, RPM(Redhat Package Manager)을 통해 매우 간단하게 확인할 수 있음.

패키지 관리 툴은 설치와 삭제 등을 사용자가 쉽게 작업할 수 있도록 도와주는 역할을 함

우선 RPM은 레드햇 계열에서만 사용이 가능하니, 리눅스 계열에 따라 패키지 관리를 진행하면 됨.

 CentOS는 Redhat 계열이기 때문에 정상적으로 RPM을 통한 패키지 관리 가능

위와 같이, Ubuntu는 apt로 사용 가능하다는 문구가 출력됨.(apt : Advanced Packaging Tool)

(정정)Ubuntu는 apt를 통해 rpm을 설치해야함. apt을 통해 rpm 대체가 가능. (2020-07-17)

1. 어떤 계열의 리눅스를 사용하는지 확인(Redhat? Debian?)

- 내가 사용하고 있는 Linux가 무엇인지 확인하는 방법은 매우 간단하다. 얼마 전에도 글을 작성했지만, /etc에는 시스템의 거의 모든 설정이 들어있기 때문에 /etc 디렉토리를 통해서 현재 사용중인 OS 확인이 가능하다.

명령어 : cat /etc/os-release

혹시나, 'Red Hat 계열이 아닌 경우는 어떻게 확인하지..?'라는 의문이 생길 수 있기 때문에 Ubuntu 환경에서도 동일한 방법으로 OS를 확인하여 보았음.

2. Apache가 설치되어있는지 확인

명령어 : rpm -qa httpd, yum list httpd

해당 명령어가 궁금한 경우 rpm --help 를 통해 내용을 확인할 수 있습니다.(바로 아래 참고)

아파치가 설치된 경우에 출력되는 list는 아래 설치 완료 후 나올 예정.

3. Apache 설치하기

명령어 : yum install httpd

Apache 뿐 아니라, 어떠한 패키지를 설치하고자 한다면 Root 권한이 있는 계정으로 접속해야 한다. Root 계정이 아니라고 해서 잘못되는 건 아니고, 단순히 아래와 같은 문구가 뜰 뿐..

계정을 su 계정으로 변경 후 위 명령어를 다시 입력하면 정상적으로 설치가 진행됨

어느 정도의 용량이며 설치를 진행할 것인지를 묻는 글이 나온다. 물론 'y'

하단에 'Complete!' 문구를 본다면 설치가 완료된 것.

명령어 : rpm -qa httpd, yum list httpd

맨 위에 있는 설치 전과 비교했을 때, 'httpd-2.4.6-93.el7.x86 64'를 확인 가능.

4. 서비스 시작하기

명령어 : service httpd start

'service httpd start' == 'systemctl start httpd.service' 와 같은 명령어이며, Redirecting 된 것임(기본설정)

1. WEB-LB와 mod_proxy & mod_jk를 통한 서버 구성
 -. WEB-Server의 Apache에 mod_jk 혹은 mod_proxy 설정을 통해 로드밸런싱 가능.
 -. WEB-Server와 WAS-Server 간의 통신 에러 발생 시, src IP 확인이 가능함.
   (src IP가 확인 가능할 경우, 통신이 비정상적인 상황에서 통신 확인 가능)

2. WEB-LB와 WAS-LB를 통한 서버 구성
 -. 통신 에러 발생 시, WEB, WAS간의 통신 에러인지, LB와 WAS간의 통신 에러인지 확인 불분명.
   (WAS-Server에서 확인 시, LB IP가 출력됨)
 -. 이벤트 등으로 인한 WAS-Server 증설 시, 추가 설정이 적음.

 -. AWS&AZURE TAM 또한, 해당 형식으로 아키텍쳐 구성 추천

Apache
 1. WEB-Server를 구동시키는 역할
 2. mod_jk 또는 mod_proxy 설정을 통하여 WAS에 로드밸런싱을 할 수 있음.(Apache와 Tomcat 연동)
   *mod_jk 
        -. 발전된 로드 밸런서 / 패킷 사이즈 8K 이상 지원
        -. 별도 모듈을 빌드하고 관리 필요
    mod_proxy
        -. 패킷 사이즈 8K 이상 지원하지 않음
        -. 도메인 모델 클러스터링을 지원하지 않음
        -. 별도 모듈이 필요 없음


Tomcat
 1. WAS-Server를 구동시키는 역할