달력

32024  이전 다음

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
tripwire설치 및 운영가이드

2001. 11.

장윤숙, jys@certcc.or.kr

 

1. 개요

공격자가 시스템 침입에 성공하면 다음번 침입을 쉽게 하기위해 루트킷(rootkit)이나 트로이잔 목마(trojan horse)프로그램을 설치하는 경우가 대부분이다.

루트킷에 포함되는 프로그램으로는 ps, ls, netstat, login등의 시스템 프로그램들이 있는데, 이런 루트킷은 시스템에 원래 있었던 프로그램들과 바꿔치기되서 관리자가 시스템을 점검해도 이상없게 보이도록 하고 공격자의 행동을 숨기기도 한다.

예를 들어 ps를 바꿔치기 해서 시스템 관리자가 ps를 실행시켜도 공격자가 실행한 프로그램은 보이지 않게 한다든지, ls를 바꿔치기 해서 ls로 보더라도 공격자가 만든 파일은 보이지 않도록 하는 것이다.

또한 공격자는 공격이 성공한 후 시스템의 취약점을 찾아서 패치를 해서 다른 공격자가 들어오는 것을 막기도 한다.

이렇게 침입 당한 시스템에서 어떤 파일이나 디렉토리가 수정, 변조되었는지 등을 찾는 것이 쉽지만은 않다. 혹 파일의 크기나 수정된 시간, 생성된 시간 등을 비교하여 알아낸다고 할지라도 파일의 크기나 시간정보 조차도 변조가 가능하므로 이를 믿을 수 없다.

따라서 원래 파일의 무결성을 체크할 수 있는 프로그램이 필요할 것이고, 이를 효율적으로 해주는 도구가 바로 tripwire이다.

tripwire는 MD5, SHA, CRC-32등의 다양한 해쉬 함수를 제공하고, 파일들에 대한 데이터베이스를 만들어 이를 통해 해커들에 의한 파일들의 변조여부를 판별하므로 관리자들이 유용하게 사용할 수 있다.

tripwire는 먼저 시스템에 존재하는 파일에 대해 데이터 베이스를 만들어 저장한 후 생성된 데이터베이스와 비교하여 추가·삭제되거나 변조된 파일이 있는지 점검하고 관리자에게 레포팅해주는 무결성 검사도구이다.

Top

2. tripwire 구하기

tripwire는 1992년 Purdue University의 Dr. Eugene Spafford와 Gene Kim에 의해 개발되었다. 초기의 tripwire 1.x는 오픈소스이었으나 2.x로 오면서 tripwire사에서 상용화하여 발표하고 tripwire 1.3대의 ASR(Academic Source Release)에 대해서는 공개로 배포하고 있다.

또한 tripwire사에서는 tripwire 오픈소스 프로젝트를 추진하여 Linux 시스템에서는 Open Source로 2.3대의 tripwire를 다운받아 설치할수 있다. (http://www.tripwire.org) 그러나 Solaris, Windows NT, HP-UX, IBM AIX 시스템에서 2.x를 설치하려면 상업용 버전을 이용하여야 한다. (http://www.tripwire.com)

Linux 7.x 시스템의 경우 대부분 tripwire가 설치되어 있기 때문에 다운받지 않고 설치할수 있으며, 본인은 리눅스 Linux7.0 환경에서 tripwire-2.3 버전을 설치 및 테스트하였다.

설치여부나 설치된 버전을 확인하고자 하는 경우에는 다음 명령을 이용한다.

rpm -qa | grep tripwire

만약 시스템에 설치되어 있지 않다면 tripwire 프로그램(http://www.tripwire.org)을 다운받아 설치한다.

Top

3. tripwire 설치

여기서는 rpm로 제공되는 2.3버전을 Linux 7.0에 설치할것이다.

tripwire를 rpm으로 설치할 경우 설치과정은 크게 다음의 4단계로 볼 수 있다.

1. tripwire 설정파일·정책파일 생성하기(twinstall.sh)
2. 데이터베이스 초기화 (tripwire --init)
3. 무결성 검사 (tripwire --check)
4. 데이터베이스 갱신(tripwire --update)

이제 본격적인 설치에 대해 살펴보도록 하자.

tripwire다운받기

http://www.tripwire.org에서 운영하는 시스템에 맞는 tripwire를 rpm으로 다운받는다.

압축풀기

다운로드받은 압축 파일을 푼다
# tar -xzvf tripwire-2.3-47.i386.tar.gz
압축을 풀어 생긴 tripwire-2.3-47.i386.rpm 패키지 파일을 설치한다.
# rpm -Uvh tripwire-2.3-47.i386.rpm
기본적으로 tripwire는 /etc/tripwire디렉토리에 설치된다.
/etc/tripwire 디렉토리에 생성되는 파일의 내용을 보면 다음과 같다.
-rwxr-xr-x 1 root root 603 6월 22 03:02 twcfg.txt ======> 설치를 위한 환경설정파일
-rwxr-xr-x 1 root root 10100 6월 22 03:02 twinstall.sh ======> 설치스크립트
-rwxr-xr-x 1 root root 41255 6월 22 03:02 twpol.txt ======> 정책파일

Top

tripwire 설정파일·정책파일 생성하기

# ./twinstall.sh
twinstall.sh를 실행시키면 tripwire는 site keyfile과 local keyfile을 생성하기 위한 Passphrases를 입력하도록 한다.
site keyfile은 정책파일과 환경파일을 설정하는데 사용되고, local keyfile은 tripwire 데이터베이스와 레포트 파일을 초기화하고 보호하는데 사용되는 일종의 암호의 일종이다. (passphrases는 최소 8자 이상의 문자열이어야 한다.)
설정파일·정책파일을 생성하는 과정을 살펴보면 아래와 같다.

1) keyfile passphrase를 생성하기 위해 몇 개의 passphrase를 요구한다.

Creating key files...
(When selecting a passphrase, keep in mind that good passphrases typically
have upper and lower case letters, digits and punctuation marks, and are
at least 8 characters in length.)

2) site keyfile passphrase를 입력하면 다시 한번 확인하고 키를 생성한다.

Enter the site keyfile passphrase:
Verify the site keyfile passphrase:
Generating key (this may take several minutes)...Key generation complete.
(When selecting a passphrase, keep in mind that good passphrases typically
have upper and lower case letters, digits and punctuation marks, and are
at least 8 characters in length.)

Top

3) local keyfile passphrase를 입력하면 다시 한번 확인하고 키를 생성한다.

Enter the local keyfile passphrase:
Verify the local keyfile passphrase:
Generating key (this may take several minutes)...Key generation complete.
----------------------------------------------

4) site passphrase를 이용하여 configuration file을 완성한다.

Signing configuration file...
Please enter your site passphrase:
Wrote configuration file: /etc/tripwire/tw.cfg
A clear-text version of the Tripwire configuration file
/etc/tripwire/twcfg.txt
has been preserved for your inspection. It is recommended
that you delete this file manually after you have examined it.
----------------------------------------------

5) site passphrase를 이용하여 policy file을 완성한다.

다음의 policy file이 생성되었다는 메시지와 함께 설치가 끝나게 된다.
Signing policy file...
Please enter your site passphrase:
Wrote policy file: /etc/tripwire/tw.pol
A clear-text version of the Tripwire policy file
/etc/tripwire/twpol.txt
has been preserved for your inspection. This implements
a minimal policy, intended only to test essential
Tripwire functionality. You should edit the policy file
to describe your system, and then use twadmin to generate
a new signed copy of the Tripwire policy.

Top

데이터베이스 초기화

다음의 명령어를 실행하여 데이터베이스를 초기화한다. (/usr/sbin에서)

# ./tripwire --init

이때 tripwire는 local passphrase를 요구한다.

Please enter your local passphrase:
Parsing policy file: /etc/tripwire/tw.pol

tripwire는 데이터베이스를 생성하고 그 결과를 출력한다.

Generating the database...
*** Processing Unix File System ***
Wrote database file: /var/lib/tripwire/cyber118.twd
The database was successfully generated.

설정과정이 끝났으면 twcfg.txt과 twpol.txt 파일을 삭제하거나 안전한 장소에 보관하여야 한다.

Top

무결성 검사

다음의 명령으로 시스템에 있는 파일들에 대한 무결성을 검사할수 있다.

# ./tripwire --check
Parsing policy file: /etc/tripwire/tw.pol
*** Processing Unix File System ***
Performing integrity check...
Wrote report file: /var/lib/tripwire/report/cyber118-20010629-005928.twr

무결성 검사가 끝나면 /var/lib/tripwire/report 아래에 결과 파일이 생성된다.

Top

데이터베이스 갱신

무결성 검사 후 발견되어진 변경 파일 중 침입에 의한 것이 아니라 정상적인 변화라면 기존에 만들어져 있던 데이터베이스를 갱신하여야한다.

# ./tripwire --update또는 # ./tripwire -m u

tripwire --update mode을 이용하면 데이터베이스의 재초기화 없이도 데이터베이스를 갱신할수 있다.

■ 정책파일 갱신

정책파일을 갱신하는 방법에는 tripwire --update-police과 twadmin --creat-polfile 두가지가 있다.

# ./tripwire --update-police 또는 # ./tripwire -m p /etc/tripwire/policy.txt

tripwire --update-police mode는 이전의 rule과 비교하여 새로운 rule에 대한 정보를 업데이트하는 것이므로 데이터베이스를 재초기화 하지 않아도 된다.

# ./twadmin --creat-polfile # ./twadmin --creat-polfile mypol.txt (여기서mypol.txt는 새로운 정책파일의 이름이다.)

twadmin --creat-polfile mode는 새로운 정책파일을 만드는 명령으로 이를 위해서는 데이터베이스의 재초기화가 필요하다.

Top

4. Tripwire Configuration File & Policy File Reference

4-1. 환경설정파일(Configuration File-twcfg.txt)

환경설정파일(twcfg.txt)은 tripwire유틸리티와 설정파일들이 어디에 설치되어 있는지 등에 대한 정보를 저장하고 있는데 내용을 살펴보면 다음과 같다.

ROOT =/usr/sbin
POLFILE =/etc/tripwire/tw.pol
DBFILE =/var/lib/tripwire/$(HOSTNAME).twd
REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.key
LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key
EDITOR =/bin/vi
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =3
MAILMETHOD =SENDMAIL
SYSLOGREPORTING =false
MAILPROGRAM =/usr/sbin/sendmail -oi -t

Top

아래의 표는 설정파일 변수들과 그 변수들이 무엇을 나타내는지 등에 대해 요약한 것이다.

설정파일 변수들

설명

Required

Variables

POLFILE

정책파일의 위치 지정 Initial value: /etc/tripwire/tw.pol

DBFILE

데이터베이스 파일의 위치 지정 Initial value: /etc/tripwire/$(HOSTNAME).twd

REPORTFILE

생성된 결과 파일의 위치 지정 Initial value: /var/lib/report/$(HOSTNAME)-$(DATE).twr

SITEKEYFILE

사이트키 파일의 위치 지정 Initial value: /etc/tripwire/site.key

LOCALKEYFILE

로컬키 파일의 위치 지정 Initial value: /etc/tripwire/$(HOSTNAME)-local.key

Optional

Variables

EDITOR

사용하고자 하는 편집기의 위치 지정 Initial value: /bin/vi

LATEPROMPTING

tripwire가 패스워드 요구하는 것을 가장 마지막에 하도록 설정 Initial value: false

SYSLOGREPORTING

SYSLOGREPORTING이 true로 설정되면 database initializations, integrity checks, database updates, and policy file등의 update 을 syslog에 알림. Initial value: true.

LOOSEDIRECTORYCHECKING

디렉토리 변경사항이 있는지를 출력해야 하는 것을 나타냄. 설정되어 있지 않으면 변화된 파일뿐만 아니라 그 파일이 있는 디렉토리도 결과에 출력되고 설정되면 파일의 변화만을 출력함. Initial value: false

REPORTLEVEL

twprint --print-report command로 report를 출력할 때의 레벨로서 0-4까지의 레포트레벨이 있음. Initial value: 3

Email

Notification

Variables

MAILNOVIOLATIONS

무결성 검사시 아무런 변화가 없을 때에도 email notification을 할지를 나타냄. Initial value: true

EMAILREPORTLEVEL

email report level로 0-4
Initial value: 3

MAILMETHOD

email notification을 위해 사용할 protocol명시 Initial value: SENDMAIL

MAILPROGRAM

특정 메일 프로그램의 위치 지정 Initial value: /usr/sbin/sendmail -oi -t

Top

4-2. tripwire 정책파일 (twpol.txt)

tripwire 정책파일(twpol.txt)은 tripwire가 감시할 대상(파일, 디렉토리)과 그 위치를 명시한다.

관리하는 시스템에 맞게 정책파일(twpol.txt)을 수정할 수 있는데 이는 불필요하게 들어있는 파일을 제거하고 필요한 파일은 추가함으로써 tripwire에서 쓸모 없는 결과물이 나오는 경우를 상당히 줄일수 있도록 한다.

또한 configuration script를 실행시킨 후에 정책파일을 수정하면 데이터베이스파일을 초기화하기 전에 configuration file을 재실행해야하는 번거로움이 있으므로 tripwire를 설치하기 전에 시스템에 맞게 설정하는 것이 좋다.

① policy file의 구성요소

policy file의 기본적인 구성요소는 다음과 같다.

policy file component

meaning

Rules

policy file의 기본구성요소로
무결성 검사시 시스템의 object에 대해 monitor할 properity를 명시해주는것

Stop points

무결성 검사시 스캔하지 않을 시스템의 object 명시

Attributs

이메일을 보내거나 recursion을 조정하는 rule을 수정하는 부분

Directive

하나의 policy파일을 네트웍 서버에서 사용할 때.

Variable

관리자가 편리하게 정보를 바꾸도록 설정

Top

1) rules

rules의 기본형식은 다음과 같다.

object name -> property mask;
object name 은 스캔할 디렉토리나 파일의 경로이고
property mask는 실행 혹은 실행하지 않을 object property에 대해 설정해주는 부분이다.
(여기서 ->는 object name 과 property mask를 구별해주는 기호이고 ;은 rule의 끝을 나타낸다.)
예1) 예를 들어 /etc 디렉토리 전부에 대해서 +pinug라는 property mask로 스캔하려면 다음과 같이 기술해준다.
/etc -> +pinug;
※여기서 +pinug 라는 property mask는 관리자가 정의한것으로 이렇게 관리자가 정의해서 사용할수도 있고 이미 정해져 있는 viriable을 이용할수도 있다.
이미 정해져 있는 viriable에 대해서는 5) viriable를 참고하라.
예2) /etc 디렉토리에 대해서는 관리자가 정의한 mask1으로 스캔하고 /etc/passwd 파일에 대해서만 mask2를 써서 스캔하도록 설정할 때
/etc -> $(mask1) ;
/etc/passwd -> $(mask2) ;
property mask에 대한 표는 아래와 같다.

Top

Property

Meaning

-

Ignore the following properties

+

Record and check the following properties

p

File permissions

i

Inode number

n

Number of links (i.e., inode reference count)

u

User id of owner

g

Group id of owner

t

File type

s

File size

d

Device number of the disk on which the inode associated with the file is stored

r

Device number of the device to which the inode points.
Valid only for device objects.

b

Number of blocks allocated

m

Modification timestamp

c

Inode creation/modification timestamp

l

Indicates that the file is expected to grow.
If the file is smaller than the last recorded size, it is a violation of this property.
This can be useful for log files.

a

Access timestamp
The +a property is incompatible with the hash properties(+CMSH).
To calculate the hash, the file must be opened and read,
which changes the access timestamp.
Specifying any of +CMSH will always cause a violation of the +a property.

C

CRC-32, POSIX 1003.2 compliant 32-bit Cyclic Redundancy Check.
Choose this hash for relatively high performance but relatively low security.

M

MD5, the RSA Data Security, Inc.® Message Digest Algorithm.
Choose this hash for high security.

S

SHA, part of the SHS/SHA algorithm.
Choose this hash for high security.

H

HAVAL, a strong 128-bit signature algorithm.
Choose this hash for high security.

Top

2) Stop Points

Stop Points는 무결성 검사를 하는 동안 스캔하지 않을 object에 대해 설정하는 부분이다.
기본형식은 다음과 같다.

! object name;

예) /etc/rc.d와 /etc/muttab에 대해서는 스캔하지 않고 나머지 /etc의 모든 부분에 대해서는 스캔할 때
/etc ->$(Readonly) -ar;
!/etc/rc.d;
!/etc/mnttab;

Top

3) Rule Attributes

Rule Attributes는 정책파일 전체로 무결성 검사를 하지 않고 몇 개의 rule name 에 대해서만 점검을 한다든지 policy file에 변화가 있는 부분에 대해 관리자가 이메일로 받을 수 있도록 설정하는 등의 설정을 하는 부분이다.

예1) /usr/lib rule에 변화가 있을때 email report를 xxx@xxx.com에게 보내려할때
/usr/lib -> $(ReadOnly) ( emailto = xxx@xxx.com ) ;

예2) “"rcfiles" 라는 rule에 대해서만 무결성 검사를 하고자 할때
tripwire --check --rule-name “"rcfiles"

Rule Attributes의 내용은 아래와 같다.

Attribute

Description

rulename

Associates a name with a rule.
The default value is the last element of the object name to which the rule applies.

emailto

Specifies email address(es) to which notification of any violations is sent.
The default value is none.

severity

Associates a numeric severity level with a rule.
The default value is 0. The valid range is from 0 to 1000000.

recurse

Controls recursive scanning of directories.
True (-1), false (0), and numerical values > 0 are valid.
The default value is true.

4) Directives

하나의 policy파일을 가지고 여러대의 시스템에 공유하여 사용하고자 할 때 설정해주는 부분이다.

Top

5) Variables

policy file에서는 두가지의 variable을 사용할수 있는데 Global variables은 policy file 전체에 대해서 사용할 수 있고 local variables은 정해진 section에서만 사용 가능하다.

기본 형식은 다음과 같다.

variable = value;

예1) # Define the variable
mask1 = +pinugC-a ;
# and now use it.
/home/projectA -> $(mask1) ;
/home/projectB -> $(mask1)+MSH-db ;

미리 정해놓은 Variables에 관한 표는 아래와 같다.

Variable

Definition

ReadOnly

This variable is good for files that are widely available but are intended to be read-only.
Expands to: +pinugsmtdbCM-raclSH

Dynamic

This variable is good for monitoring user directories and files that tend to change frequently.
Expands to: +pinugtd-rsacmblCMSH

Growing

This variable is useful for files that can grow, but not shrink, such as log files:
Expands to: +pinugtdl-rsacmbCMSH

IgnoreAll

This variable tracks a file’s presence or absence, but doesn't check any other properties.
Expands to: -pinusgamctdrblCMSH

IgnoreNone*

This variable turns on all properties and provides a convenient starting point for defining your own property masks.
Expands to: +pinusgamctdrbCMSH-l

Device

This variable is useful for devices or other files that Tripwire software should not attempt to open.
Expands to : +pugsdr-intlbamcCMSH

Top

5. tripwire command

① tripwire test mode

tripwire의 email notification system의 작동을 체크하기 위해 test mode로 다음의 명령어를 쓸 수 있다.

# tripwire --test --email jys@certcc.or.kr

Sending a test message to: jys@certcc.or.kr

email notification이 올바르게 작동한다면 아래의 메시지를 받을 것이다.

Subject: Test email message from Tripwire
Date: Fri 29 Jun 2001 09:06:58 +0900
From: "Tripwire(R) 2.3.0.47" <tripwire@localhost.localdomain>
To: jys@cert.certcc.or.kr

If you receive this message, email notification from tripwire is working correctly.

Top

② crontab을 이용한 주기적인 자동점검 및 e-mail을 통해 레포트 받아보기

파일 시스템에 주기적인 점검이 없으면 tripwire는 소용이 없다. 그러므로 매일 밤 tripwire로 점검하고 이를 e-mail로 받아볼수 있도록 설정한다면 보다 편리하게 tripwire를 사용할수 있다.

1) tripwire 레포트를 만들기 위하여 shell script를 만든다.

/usr/local/bin밑에 "runtripwire.sh" 라는 파일에 아래의 내용을 포함하는 파일을 만든다.
[root@cyber118 bin]# vi runtripwire.sh
#!/bin/sh
/usr/sbin/tripwire -m c | mail -s "tripwire report from linux-1" jys@certcc.or.kr

2) crontab에 추가하기

crontab -e 명령을 써서 매일 밤 1:01에 위의 script를 실행하도록 설정한다.
1 1 * * * /usr/local/bin/runtripwire.sh
이와 같이 설정했으면 매일 밤 tripwire와 실행되어 e-mail로 결과 레포트를 받을 수 있다.

아래는 실제로 점검결과를 메일로 받은 화면이다.

아래의 결과메일에서 보면 ls, netstat, ps등이 변조되었음을 확인할수 있다.

Top

③ twprint

tripwire 데이터베이스 파일들과 바이너리들은 encode되고 sign되므로 twprint 명령어를 사용함으로써 database와 report file을 text 형식으로 볼수 있다.

예1) 데이터베이스 파일을 텍스트파일로 프린트할 때
#twprint --print-dbfile > db.txt

예2) report 결과 파일을 텍스트파일로 프린트할 때
#twprint -m r --twrfile cyber118-20010703-035644.twr

(여기서 cyber118은 machine name이고 20010703-035644은 무결성검사를 한 날짜와 시간)

■ tripwire설치를 마치며

tripwire는 생성된 데이터베이스와 비교하여서 파일에 변화가 있는지 점검한다.

그러므로 이미 해킹을 당한 후 루트킷이나 백도어 등이 설치되어 있는 상태에서 tripwire가 설치된다면 tripwire는 무용지물이다. 또한 데이터베이스를 변경할수 있는 침입자는 무결성 검사도구를 파괴할수 있으므로, 무결성 검사를 위해 사용되는 데이터베이스는 승인되지 않는 변경으로부터 보호되어야 할 것이다.

Top

참고자료

· http://www.linuxsecurity.com/feature_stories/feature_story-81.html
· http://sourceforge.net/project/showfiles.php?group_id=3130tripwire-2.3.0-docs-pdf.tar.gz
· 리눅스 보안의 모든 것 (인포 북)
· Security PLUS for UNIX (포항공대 유닉스 보안 연구회 저, 영진출판사)

Top

 

자료제공 : CERTCC-KR : 한국정보보호진흥원

Posted by tornado
|
글쓴이:대한민국 apache mod_rewrite 설치시 팁조회수:2145


mod_rewrite 설치시 도움 될만한 글입니다...
이것은 처음 설치용이 아닌 사용중 추가하는 방법입니다.

cd 아파치설치디렉토리/src/modules/standard
/usr/local/apache/apxs -c -I/usr/include/gdbm mod_rewrite.c
gcc -shared -o mod_rewrite.so mod_rewrite.o -lgdbm
/usr/local/apache/apxs -i mod_rewrite.so

vi /usr/local/apache/conf/httpd.conf
#------- 아래 부분 추가 -------
LoadModule rewrite_module     libexec/mod_rewrite.so
Addmodule mod_rewrite.c
#------- 여기까지 ---------
/usr/local/apache/apachectl configtest
/usr/local/apache/apachectl restart

이렇게 하시면 에러 안나고 설치 잘 됩니다. :_)



carpoomod_rewrte 모듈에 대한 설명이 추가되었다면,
더 나은 TIP이 될수있을건데 말이죠..
04/02 13:23:07 코멘트 지우기
Murphy네. 모듈에 대한 설명이 있었으면 좋았겠네요.04/02 14:14:20 코멘트 지우기
Fencermod_rewrite 에 대한 설명은
http://httpd.apache.org/docs/
ㅡ_ㅡ;
04/02 16:34:02 코멘트 지우기
왜이제흠..apxs 로 죽어라고 mod_wirte.c 해봤는데,왜 이제 올리는거에요. 진작 올리시지..오류만나서 혼났구만T.T04/03 16:37:08 코멘트 지우기
산이설치가 조금 난해 하군요..

# apxs -a -i -c mod_rewrite.c

이렇게 하면 됩니다.
-a : active
-i : install

아 제홈에 mod_rewrite 사용예가 있습니다.
http://www.linuxchannel.net/docs/apache_virtual_user_host.txt

Posted by tornado
|

http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/admin-primer/s1-resource-rhlspec.html

2.5.레드햇 리눅스 스펙 정보

Red Hat Linux comes with a variety of resource monitoring tools. While there are more than those listed here, these tools are representative in terms of functionality. The tools are:

레드햇 리눅스는 다양한 리소스 모니터링 툴을 가지고 있다. 여기 소개하는 것은 보다 잘 알려진 것들이며 이들보다 더 많은 툴들이 존재한다.  

  • free

  • top (그리고 top의 그래픽 버전인 GNOME System Monitor 도 있다.)

  • vmstat

  • The Sysstat suite of resource monitoring tools

2.5.1. free


free 명령어는 시스템 메모리 현황을 보여준다.


Mem: 줄은 물리적인 메모리, Swap:은 스왑 메모리의 현황이다. 그리고 -/+/ buffers/cache:는 현재 시스템 버퍼에서 사용중인 물리적 메모리의 양이다.

 total used free shared buffers cached 
Mem: 255508 240268 15240 0 7592 86188 
-/+ buffers/cache: 146488 109020 
Swap: 530136 26268 503868

free는 기본적으로 그 순간의 메모리 현황을 보여주는 것이기때문에 매우 짧은 주기의 모니터링이나 메모리 관련 장애가 발생한 순간에 빠른 상황판단을 할 때 유용하다. 비록 free -s 옵션을 쓰면 메모리 현황을 반복적으로 보여주기는 하지만 그 변화를 제대로 감지하기는 힘들다.

Tip Tip
 

free -s를 좀 더 유용하게 쓰는 방법은 watch 명령어와 함께 쓰는 것이다. 예를 들어 매 2초마다 메모리 현황을 보려한다면 이렇게 해보라.

watch free

watch 명령어는 2초마다 free 명령어를 실행시킨다. 이렇게 하면 지나간 화면을 스크롤 하지 않아도 시간에 따른 메모리 현황을 좀 더 쉽게 알아볼 수 있다. 그리고 -n 옵션을 써서 화면을 갱신시키고 -d 옵션으로 바뀐 부분만 반전시킬 수도 있다.

watch -n 1 -d free

자세한 부분은 man page를 보면 알 수 있다. watch는 여러 곳에서 다양하게 응용할 수 있으므로 기억하도록 하자.

2.5.2. top

free가 메모리 관련 정보만 표시할 수 있는 반면에, top은 CPU 현황, 프로세스 통계, 메모리 현황같은 것들을  보여준다. 게다가 free와는 다르게 연속으로 갱신된다. watch free 한것처럼....그러나 watch top을 할 필요는 없다.

11:13am up 1 day, 31 min, 5 users, load average: 0.00, 0.05, 0.07 89 processes: 85 sleeping, 3 running, 1 zombie, 0 stopped CPU states: 0.5% user, 0.7% system, 0.0% nice, 98.6% idle Mem: 255508K av, 241204K used, 14304K free, 0K shrd, 16604K buff Swap: 530136K av, 56964K used, 473172K free 64724K cached PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND 8532 ed 16 0 1156 1156 912 R 0.5 0.4 0:11 top 1520 ed 15 0 4084 3524 2752 S 0.3 1.3 0:00 gnome-terminal 1481 ed 15 0 3716 3280 2736 R 0.1 1.2 0:01 gnome-terminal 1560 ed 15 0 11216 10M 4256 S 0.1 4.2 0:18 emacs 1 root 15 0 472 432 416 S 0.0 0.1 0:04 init 2 root 15 0 0 0 0 SW 0.0 0.0 0:00 keventd 3 root 15 0 0 0 0 SW 0.0 0.0 0:00 kapmd 4 root 34 19 0 0 0 SWN 0.0 0.0 0:00 ksoftirqd_CPU0 5 root 15 0 0 0 0 SW 0.0 0.0 0:00 kswapd 6 root 25 0 0 0 0 SW 0.0 0.0 0:00 bdflush 7 root 15 0 0 0 0 SW 0.0 0.0 0:00 kupdated 8 root 25 0 0 0 0 SW 0.0 0.0 0:00 mdrecoveryd 12 root 15 0 0 0 0 SW 0.0 0.0 0:00 kjournald 91 root 16 0 0 0 0 SW 0.0 0.0 0:00 khubd 185 root 15 0 0 0 0 SW 0.0 0.0 0:00 kjournald 186 root 15 0 0 0 0 SW 0.0 0.0 0:00 kjournald 576 root 15 0 712 632 612 S 0.0 0.2 0:00 dhcpcd

화면은 두가지 섹션으로 구분되는데 위쪽은 uptime, 평균 부하량, 프로세스 갯수, CPU 상태, 메모리와 스왑의 현황 통계등을 표시한다. 아래쪽은 top이 실행되고 있는 동안의 정확한 프로세스 레벨의 통계를 표시한다.

Warning Warning
 

top이 보이기는 간단하게 보이지만 사실은 그렇지 않다.  간단한 명령줄을 제공하는데 프로세스의 우선순위를 바꿀 수도 있고 kill 시그널을 날릴 수도 있다. top 실행화면에서 [?]를 누르면 도움말이 나오니 참조하기 바란다. [q]를 치면 빠져나온다.

2.5.2.1. The GNOME System Monitor — top의 그래픽 버전

GUI에 익숙한 유저들은 GNOME System Monitor 를 사용해도 좋을 것이다. top 처럼 시스템 전체 현황,  프로세스 갯수, 메모리와 스왑 현황, 프로세스 레벨의 통계를 보여주는 유틸이다.

그러나 GNOME System Monitor 는 이런 정보들을 그림으로 알기 쉽게 표시해준다. 다음은 GNOME System Monitor 에서 프로세스 리스트를 표시한 것이다.

그림 2-1. The GNOME System Monitor 프로세스 정보 표시

보여지는 각 프로세스들을 선택하고 More Info 를 클릭하면 좀 더 상세한 정보가 표시된다.

CPU, 메모리, 디스크 사용량 등을 알고 싶으면 System Monitor 탭을 선택하면 된다.

2.5.3. vmstat

시스템 성능을 간결한 형태로 보고싶으면 vmstat를 사용한다. 이 툴은 프로세스, 메모리, 스왑, I/O, 시스템, 그리고 CPU 현황을 한줄에 표시해준다.  

 procs memory swap io system cpu r b w swpd free buff cache si so bi bo in cs us sy id 1 0 0 0 524684 155252 338068 0 0 1 6 111 114 10 3 87 

프로세스 관련 필드는

  • r — CPU사용을 기다리는 실행가능 프로세스의 갯수

  • b — 인터럽트가 불가능한 슬립 상태에 있는 프로세스의 갯수

  • w — 스왑아웃됐지만 실행가능상태에 있는 프로세스의 갯수

메모리 관련 필드는

  • swpd — 사용된 가상 메모리의 양

  • free — 가용 메모리의 양

  • buff — 버퍼에 사용된 메모리의 양

  • cache — 페이지 캐쉬로 사용된 메모리의 양

스왑 관련 필드는

  • si — 디스크에서 스왑-인 된 메모리의 양

  • so — 디스크로 스왑-아웃된 메모리의 양

I/O 관련 필드는

  • bi — 블럭 장치로 보내진 블럭들

  • bo— 블럭 장치로부터 받은 블럭들

시스템 관련 필드는

  • in — 초당 인터럽트의 갯수

  • cs — 초당 문맥교환된 갯수

CPU관련 필드는

  • us — CPU가 유저레벨 코드를 실행한 시간의 비율

  • sy — CPU가 시스템 레벨 코드를 실행한 시간의 비율

  • id — 가 대기상태에 있는 시간의 비율

옵션없이 vmstat를 실행하면 단 한줄만이 표시된다. 이 줄은 시스템이 부팅된 시간부터 계산된 평균값이다.

그러나 대부분의 관리자들은 이 데이터는 신경쓰지 않는다. 대신 설정된 시간 간격에 따라 반복적으로 표시되는 통계 데이타를 이용한다. 예를 들어 vmstat 1 은 1초 간격으로 새로운 현황줄을 표시한다. vmstat 1 10 은 1초 간격으로 새로운 현황줄을 10회 표시한다.

경험있는 관리자들은 vmstat 를 리소스와 성능적인 문제를 빨리 판단하려 할 때 사용한다. 그러나 좀처럼 보이지 않는 것을 알아내려 한다면 다른 도구를 같이 사용해야 한다.

2.5.4. Sysstat Suite - 확장 리소스 모니터링 툴

여태까지 소개했던 툴이 매우 짧은 주기의 모니터링엔 도움이 되는 반면, 시스템 리소스 현황의 스냅샷을 제공하지는 못한다. 게다가 그런 간단한 툴로는 시스템의 여러 양상을 모니터링하지 못한다.

그러므로 좀 더 복잡하고 정교한 툴이 필요하게 되었고 Sysstat이 바로 그런 툴이다.

Sysstat contains the following tools related to collecting I/O and CPU statistics:

Sysstat는 다음과 같은 I/O와 CPU관련 정보를 수집하는 툴이다.

iostat

한개 이상의 디스크의 I/O 통계와 CPU 활용도의 개요를 제공한다.

mpstat

좀 더 깊이있는 CPU 통계를 제공한다.

Sysstat는 또한 시스템 리소스 활용 데이터를 수집하고 그 데이터에 기초하여 매일 리포트를 생성한다. 그 툴들은

sadc

시스템 활동 데이타 수집프로그램으로 알려져 있다. sadc는 일정한 형태의 시스템 리소스 활용데이타를 수집하고 파일로 저장한다.

sar

sadc로 생성된 데이터 파일로부터 리포트를 생성한다. sar는 데이터의 집중적인 분석을 위해 대화형으로 리포트를 화면에 표시하거나 파일로 저장할 수 있다.

2.5.4.1. The iostat command


iostat 명령어는 가장 기본적인 CPU와 디스크 I/O 통계를 제공하는 툴이다.

Linux 2.4.18-18.8.0 (pigdog.example.com) 12/11/2002 avg-cpu: %user %nice %sys %idle 6.11 2.56 2.15 89.18 Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtn dev3-0 1.68 15.69 22.42 31175836 44543290 

첫번째 줄에서는 커널 버전, 호스트이름, 현재 날짜를 표시하고 그 다음줄은 부팅 시점부터 시스템의 평균 CPU 현황을 개략적으로 표시한다. CPU 현황 리포트는 다음과 같은 비율을 포함한다.

  • 유저 모드로 사용된 시간 (어플리케이션 실행등)

  • nice로 우선순위를 변경한 프로세스가 유저모드에서 사용된 시간

  • 커널 모드에서 사용된 시간

  • 대기시간

CPU 현황 다음엔 장치 현황 리포트다. 이것은 한 줄당 각각의 개별 디스크 현황을 나타내며 다음과 같은 정보를 포함하고 있다.

  • 장치 명세를 나타낸다. dev<major-number>-sequence-number 와 같이 표시하며 <major-number>는 장치의 메이저 넘버, <sequence-number> 는 장치의 0에서 시작하는 순차(sequence)시퀀스 넘버를 나타낸다.

  • 초당 전송률 (또는 I/O 수행율)

  • 초당 읽은 512바이트 블럭의 갯수

  • 초당 쓴 512바이트 블럭의 갯수

  • 512바이트 블럭의 총 읽은 갯수

  • 512바이트 블럭의 총 쓴 갯수

이것은 단지 iostat가 보여줄 수 있는 정보의 일부분일 뿐이다. 자세한 사항은 man page를 참조하라.

2.5.4.2. The mpstat command

mpstat 명령어는 옵션없이 수행하면 iostat의 정보와 차이가 없다.

Linux 2.4.18-14smp (pigdog.example.com) 12/11/2002 07:09:26 PM CPU %user %nice %system %idle intr/s 07:09:26 PM all 6.40 5.84 3.29 84.47 542.47 

CPU가 핸들링하고 있는 초당 인터럽트 갯수를 보여주는 컬럼을 제외하면 정말 차이가 없다. 하지만 -P ALL 옵션을 사용해보면 상황은 틀려진다.

Linux 2.4.18-14smp (pigdog.example.com) 12/11/2002 07:13:03 PM CPU %user %nice %system %idle intr/s 07:13:03 PM all 6.40 5.84 3.29 84.47 542.47 07:13:03 PM 0 6.36 5.80 3.29 84.54 542.47 07:13:03 PM 1 6.43 5.87 3.29 84.40 542.47 

다중 프로세서 시스템에서 mpstat는 각각의 CPU에 대한 현황을 보여준다. CPU가 얼마나 효율적으로 사용되고있는 지 알 수 있다.

2.5.4.3. The sadc command

위에 언급했듯이, sadc 명령어는 시스템 현황 데이터를 수집하고 추후 분석을 위해 파일로 저장한다. 기본적으로 데이터는 /var/log/sa/ 디렉토리에 쌓인다. 이 파일들은 sa<dd> 의 형식으로 저장되며 <dd> 는 날짜를 나타낸다.

sadc는 일반적으로 sa1 스크립트로 실행한다. 이 스크립트는 /etc/crond.d에 위치한 sysstat 파일을 참조하여 cron에 의해 주기적으로 수행된다. sa1 스크립트는 매초단위로 sadc를 실행한다. 기본적으로 cron은 10분마다 sa1 스크립트를 실행하며 /var/log/sa/sa<dd> 파일에 일정한 시간간격으로 수집된 데이터를 저장한다.

2.5.4.4. The sar command

sar 명령어는 sadc가 수집한 데이터를 바탕으로 시스템 현황 리포트를 생성한다. 레드햇 리눅스에 설정된 바에 따르면 sar는 sadc가 수집한 데이터를 자동으로 리포트로 생성한다. 이 리포트는 sar<dd> 의 형식으로   /var/log/sa에 저장되며 <dd>는 날짜를 나타낸다.

sar는 일반적으로 sa2 스크립트에 의해 수행된다. 이 스크립트는 sysstat파일을 참조하여 cron에 의해 주기적으로 수행된다. 보통 cron은 매일 23시 53분에 sa2를 수행하며 그 날의 데이터에 대한 리포트를 생성한다.

2.5.4.4.1. 리포트 파악하기

sar 리포트의 표시형식은 여러가지 섹션으로 구성된 레드햇 리눅스의 설정에 따른다. 각 섹션은 데이터가 수집된 날짜 순으로 정렬되며 일정한 형식의 데이터를 담고있다. sadc가 매 10분 마다 초단위로 수행되도록 설정되었기 때문에 기본적인 sar 리포트는 00:00 부터 23:59까지 10분 마다 증가한다. [2]

리포트의 각 섹션은 섹션에 포함된 데이터의 개요를 먼저 설명한다. 머릿말은 일정한 간격으로 반복되어 리포팅을 거듭할 수록 데이터 해석을 더 쉽게 할 수 있도록 한다. 각 섹션은 그 섹션의 평균 데이터를 표시하며 끝맺음을 한다.

00:30부터 23:40까지 수집된 데이터의 sar 리포트 샘플이다.

00:00:01 CPU %user %nice %system %idle 00:10:00 all 6.39 1.96 0.66 90.98 00:20:01 all 1.61 3.16 1.09 94.14 … 23:50:01 all 44.07 0.02 0.77 55.14 Average: all 5.80 4.99 2.87 86.34 

이 섹션에선 CPU 현황이 표시되고있다. 이것은 iostat의 결과와 매와 흡사하다.

듀얼 프로세서 시스템에서 수집된 CPU 현황에서 생성된 섹션에서 보듯이 다른 섹션은 매 시간 단순한 한 줄 이상의 데이터 가치를 가지고 있다.

00:00:01 CPU %user %nice %system %idle 00:10:00 0 4.19 1.75 0.70 93.37 00:10:00 1 8.59 2.18 0.63 88.60 00:20:01 0 1.87 3.21 1.14 93.78 00:20:01 1 1.35 3.12 1.04 94.49 … 23:50:01 0 42.84 0.03 0.80 56.33 23:50:01 1 45.29 0.01 0.74 53.95 Average: 0 6.00 5.01 2.74 86.25 Average: 1 5.61 4.97 2.99 86.43 

레드햇 리눅스의 sar 설정은 17가지의 서로 다른 데이터를 생성하도록 되어있다. 자세한 사항은 man 페이지를 참조하기 바란다.

Notes

[1]

장치의 메이져 넘버는 ls -l 명령으로 확인할 수 있다. 예를 들어 ls -l /dev/hda를 하면,

brw-rw---- 1 root disk 3, 0 Aug 30 19:31 /dev/hda 

여기서 메이져 넘버는 3이며 파일의 그룹과 마이너 넘버 사이에 표시된다.

[2]

시스템 부하가 변하기 때문에 데이터가 수집된 실제 시간은 1-2초 정도 틀릴 수 있다.

Posted by tornado
|

출처 : http://user.oss.or.kr/lecture/view.html?num=58&page=1

procmail을 이용한 스팸 메일 필터링

작성자: 푸른바다 bluesealove AT empal.com
작성일: 2004831

요즘 들어 스팸 메일이 극성을 부리고 있습니다. 불황이라서 그런지 스패머들의 스팸 메일 발송이 더욱 극렬해지고 교활해지고 있습니다. 이메일 주소가 인터넷에 노출되는 순간 수많은 스팸 메일이 쏟아져 들어오기 때문에 이메일 주소를 'someone AntiSpam somewhere.com' 하는 식으로 @ 를 빼고 인터넷에 게재하는 경우도 적지 않지요. 중간에 @가 들어가는 순간 이메일 주소 수집 로봇이 자동으로 인식해서 스팸 메일 발송 주소로 등록하는 모양입니다.

제 동생이 어느 날 집에 들어오더니 투덜대는 것이었습니다. 인터넷에 구인공고를 냈는데 날아오는 것은 이력서가 아니고 스팸 메일이었다고 합니다. 수십 통 메일 중 정작 가치가 있는 것은 몇 통 뿐이라는 이야기지요.

요즘에는 특히 대출 관련 스팸 메일이 극성을 부립니다. 제 메일 박스로 들어오는 스팸 메일 제목을 몇 개 예를 들어보겠습니다.

직장인 전문대출상담
직장인만 대출해드립니다
(-
-)남성단련 무료 트레이닝 체험
건강지킴이 가시오피외3종 무료 선착순증정

저도 참을만큼 참다가 스팸 메일 필터링에 나섰습니다. 여기저기 게시판을 둘러보니 다들 스팸 메일 필터링 때문에 머리를 쥐어짜고 계신 듯합니다. 하기야 이 정도로 스팸 메일이 쓰레기더미로 곳곳에 쌓여있는 걸 보면 더 이상 참는 게 비정상적으로 보일 만도 하군요.

일단 제 목적은 저한테 메일을 포워딩해주는 리눅스 서버에서 제목 필터링 등 간단한 설정을 통해 스팸 메일을 어느 정도 막아보자는 것입니다. 설정이 복잡해지면 현재 가동 중인 서버에 영향을 줄 수 있고 시간도 그리 넉넉치 않고 해서 milter 같은 본격 스팸 메일 필터링 프로그램을 사용하기보다는 시스템에 기본으로 깔려있는 procmail 등을 사용해 간단하게 설정해보는 것입니다.

sendmail.cf
문법을 이용한 스팸메일 차단은?

'
간단하게'를 만족시키려면 (서버에 센드메일이 깔려있다면) 제일 먼저 떠오르는 것이 sendmail.cf 같은 설정 파일을 통해 제목을 필터링하는 것입니다. 센드메일 설정 파일의 복잡성은 악명이 높긴 하지만 어쩌면 소기의 목적을 달성할 수 있을 지도 모른다는 생각이 들어 인터넷을 검색해보고 다음의 자료를 찾았습니다.

http://oops.org/?t=lecture&sb=sendmail&n=7
(cf
문법을 이용한 스팸메일 차단)

이대로 따라해보니 영어 제목은 필터링이 되는데 한글 제목은 필터링이 되지 않는다는 것을 확인했습니다. 가령 'sales' 같은 제목은 필터링해서 반송할 수 있지만, '판매' 같은 단어는 필터링할 수 없습니다. 한글 인코딩 문제도 있는 것 같고 센드메일에서 이런 인코딩까지 고려해서 필터링해주는 서비스는 해주지 않는 것 같습니다. 따라서 sendmail.cf 파일을 통한 한글 제목 필터링은 성공할 수 없었습니다.

milter
는 너무 복잡해!

그래서 참고한 자료가 KLDP의 한글 리눅스 팁 프로젝트의 이메일 부분입니다.

http://kltp.kldp.org/stories.php?topic=16

(한글 리눅스 팁 프로젝트: 이메일)

여기에 보면 'sendmail 에서 milter 사용해서 약간의 스팸과 바이러스 막기'라는 글이 있는데 메일 본문까지 검색해서 스팸 메일을 차단하는 방식으로, 시스템에 깔린 센드메일과 동일한 센드메일 소스를 가져와서, milter가 센드메일과 붙을 수 있도록 컴파일해줘야 하는 등 다소 복잡합니다. 제가 본격 시스템 관리자라면 시도해보겠지만 그렇지 않아서 컴파일까지 하는 방법은 일단 보류했습니다. 자신이 있는 분은 한번 시도해보시기 바랍니다. 하지만 중요한 업무를 처리하는 서버에서는 상당한 주의가 필요합니다.

procmail로 스팸 메일을 잡자!


위에 언급한 게시판에 보면 'procmail 을 이용해 스팸메일 필터링하기' 라는 글에 쓰레드 글이 붙어 있음을 알 수 있습니다. procmail을 사용한 필터링에 필요한 정보를 기본적으로 제공하고 있습니다.

procmail
의 장점은 센드메일을 사용하는 리눅스 시스템에 대부분 깔려있을 가능성이 많아서 따로 설치하지 않아도 된다는 점입니다. 이 경우 센드메일에서 procmail을 호출할 수 있도록 기본으로 설정되어 있기 때문에 아주 간단하게 작업을 할 수 있습니다.

저의 경우 데스크탑에 코어리눅스2004 워크스테이션을 사용하는데 여기에도 깔려 있군요. 그리고 서버로 사용하는 레드햇 리눅스 최근 버전에도 procmail 패키지가 기본으로 설치되어 있습니다. 센드메일 패키지에 필요한 부속 패키지로 그냥 따라다니는 모양입니다. procmail에서 사용하는 formailprocmail 패키지에 들어있기 때문에 따로 설치할 필요가 없습니다.

rpm -qa | grep procmail
명령을 사용하면 현재 시스템에 procmail 패키지가 설치되어 있는지 알 수 있습니다. 또는 한텀 같은 쉘에서 procmail 이나 formail을 입력하고 탭 키를 눌러보면 해당 바이너리를 실행할 수 있는지 알 수 있습니다.

먼저 메일 제목을 인코딩 해야지!

, 이제 필요한 것은 한글 제목을 인코딩하는 데 필요한 hcode 입니다. 다른 인코딩 프로그램을 사용할 수 있지만 여기서는 구하기 쉬운 hcode를 사용하기로 하겠습니다. hcode 제작자 는 이전 hcode 버전에 심각한 보안 문제가 있으니 hcode 세번째 버전을 사용하라고 강력히 경고합니다. 그리고 버그 픽스된 버전이라도 시스템 전역에서 사용하지 말 것을 추천하고 있습니다. 가급적이면 자신의 계정에서만 hcode를 사용하라는 이야기지요. 시스템의 중요도에 따라 이것을 판단할 수 있겠습니다. 아래에서 언급하는 사이트의 자료는 버그 픽스된 것입니다. hcode와 간단한 예제는 다음에서 다운로드받을 수 있습니다.

http://www.intosea.com/
(hcode
를 이용한 spam 메일 차단 방법 및 hcode 자료)

이 사이트는 익스플로러 접근을 허용하지 않으니 모질라 등의 브라우저를 사용해서 들어가야 합니다. 이 사이트의 자료마당-리눅스 메뉴로 들어가서 hcode로 검색을 하면 자료가 나오니 내려받으시면 됩니다. 이 자료실 게시판에서 말하는 것처럼 해도 간단하게 procmailrc 파일을 설정해서 사용할 수 있습니다만, 다소 복잡한 문제가 남습니다. 이것은 뒤에 설명을 드리겠습니다.


bunzip2 hcode_spam_filter.tar.bz2
tar xvf hcode_spam_filter.tar

이런 식으로 압축을 풀면 파일 세 개가 나옵니다.


procmailrc.example : procmailrc 예제파 일로 그대로 사용해도 됨
hcode-2.1.3-2ea.i686.rpm : hcode RPM 바이너리
hcode-2.1.3-2ea.src.rpm : hcode RPM 소스

대부분의 경우 바이너리를 설치하면 될테니 rpm 소스는 사용할 일이 잘 없을 겁니다.


rpm -Uvh hcode-2.1.3-2ea.i686.rpm

이런 식으로 바이너리 rpm 을 설치할 수 있습니다.

<>

, 이제 어떻게 해야하나?

이제 필요한 소프트웨어는 다 구비를 했습니다
. /etc/mail/sendmail.mc 파일에 procmail 단어를 포함한 줄이 몇 줄 있는가 확인해 봅니다. 또는 아래 명령을 실행했을 때 이와 비슷하게 출력이 나오면 센드메일에서 procmail을 사용할 수 있도록 설정이 된 것입니다.

# cat /etc/mail/sendmail.mc | grep procmail

define(`PROCMAIL_MAILER_PATH',`/usr/bin/procmail')dnl
FEATURE(local_procmail,`',`procmail -t -Y -a $h -d $u')dnl
MAILER(procmail)dnl

참고로 sendmail.mc sendmail.cf가 너무 복잡하고 읽기 힘든 코드로 되어 있기 때문에 이를 쉽게 생성할 수 있도록 하는 설정 파일입니다. 대부분 sendmail.mc를 통해 설정한 다음 sendmail.cf를 생성하지, 직접 sendmail.cf를 손대지 않는 것이 좋습니다.

그리고 /etc/procmailrc 란 파일도 시스템에 있을 겁니다. 기본 설정 파일로 특별한 필터링을 하지는 않는 상태로 되어 있습니다.

이제는 기본 환경 구비는 끝났습니다. 마지막 설정만 남은 것입니다. 이제 센드메일이 메일을 받으면 procmail에게 권한을 넘겨줘 사용자 홈디렉토리의 .procmailrc 파일에 설정된 대로 실행하거나 시스템 전역의 /etc/procmailrc 파일의 지시사항 대로 실행할 겁니다.

간단히 테스트를 해보겠습니다. 위의 hcode를 내려받은 곳에서 설명한 대로 procmailrc.example/etc/procmailrc 파일이나 ~/.procmailrc 파일로 복사하고 /var/mail/spam이라는 파일을 만들어 둡니다.

% cp procmailrc.example ~/.procmailrc
% su
# touch /var/mail/spam
# chmod a+rw /var/mail/spam

이러면 스팸 메일들이 /var/mail/spam이라는 곳에 쌓입니다.


남은 문제는
?

일단 aliases 문제가 걸립니다. 즉 센드메일이 이메일을 받으면 /etc/mail/aliases 파일에 나열된 이메일 주소로 바로 보내버리기 때문에 필터링이 안됩니다. 가령 webmaster라는 주소를 몇 군데 다른 주소로 aliases 해놓았다면 webmaster 계정의 .procmailrc 파일을 참고도 하기 전에 해당 주소로 곧장 보내버리기 때문에 기대했던 필터링은 물건너가고 맙니다.

두번째 문제는 ~/.forward 파일 문제입니다. 보통 자기 계정으로 날라오는 이메일을 다른 곳으로 포워딩하는 데 사용하는 설정 파일인데 이 또한 필터링을 거치기도 전에 바로 해당 이메일 주소로 보내버리기 때문에 기대했던 필터링은 무위로 끝나고 맙니다. .forward 자체에 대해서도 몇 가지 이슈가 있습니다. .forward 파일을 그룹이 쓰기 가능하면 센드메일에서 호출을 하지 않는다고 하는군요. 저도 .forward 사용을 시도해보다가 필터링이 안되는 관계로 포기하고 말았습니다.

그럼, 이제 어떻게 해야 할까요?


기본 지식부터 쌓기

먼저 센드메일과 procmailrc 구동 방법에 대한 약간의 지식이 있으면 좋습니다. 이러한 정보는 아래에서 찾을 수 있습니다.

http://wiki.kldp.org/wiki.php/LinuxdocSgml/Sendmail-KLDP
sendmail 이야기

http://www.feep.net/sendmail/tutorial/
영문, sendmail Tutorial

http://userpages.umbc.edu/~ian/procmail.html
영문, Mail Filtering with Procmail

첫번째 한글 자료는 센드메일의 기본 구동 방법을 배우는 데 좋은 자료입니다. 두번째 영문 자료는 센드메일의 동작방법을 그림으로 보여주기 때문에 꽤 유익합니다. 마지막 자료는 procmailrc를 통한 필터링 방법을 초보자를 대상으로 쉽게 설명하고 있기 때문에 ‘강추!’입니다. 일단 기본적인 지식을 쌓았다면 다음으로 넘어가볼까요?

procmailrc 파일 건드리기

센드메일은 메일을 받으면 사용자 홈 디렉토리의 .procmailrc 파일을 살펴보고, 이 파일이 있으면 이 파일이 시키는 대로 실행을 합니다. 이 파일이 없으면 /etc/procmailrc 파일의 내용대로 실행합니다. 따라서 aliases 파일의 해당 알리아스 항목과 홈 디렉토리의 .forward 파일의 내용을 제거하고 순수하게 procmailrc 파일만으로 작업을 하는 게 여러 모로 권장할 만합니다. 즉 한군데서 모든 작업을 함으로써 여기저기에서 설정 작업을 할 필요가 없다는 말이지요.

위의 세번째 링크 자료는 정말 읽어보시기 바랍니다. procmailrc에 대해 이렇게 쉽고 유익하게 설명된 자료는 다른 데서 찾아보기 힘듭니다. 저도 그 문서에서 procmailrc 파일 설정법을 배웠고, 이후 내용도 그것을 참고해서 진행하겠습니다.

먼저 제가 작성한 procmailrc 파일을 중심으로 검토해보겠습니다. 간간히 아까 hcode와 함께 내려받았던 procmailrc 예제 파일도 들여다보겠습니다.

.procmailrc 파일의 제일 위에는 기본 환경 설정 부분입니다.


PATH=/usr/bin:/usr/local/bin:/bin

MAILDIR=$HOME/.mbox
DEFAULT=$HOME/.mbox/webmaster
LOGFILE=$MAILDIR/log
SHELL=/bin/sh

PATH.procmailrc 내부에 지정된 실행 파일이 있는 경로를 지정하는 것입니다. 보통 이 정도로 지정해 놓으면 문제 없습니다. MAILDIR은 메일을 저장할 공간으로 저는 홈디렉토리의 .mbox/ 디렉토리를 만들었습니다.

DEFAULT는 날아오는 메일을 기본으로 저장하는 파일을 지정하는 부분입니다. 저는 .mbox/webmaster 파일을 touch webmaster 명령으로 만들어 두었습니다. 그냥 빈 파일을 만드는 것은 touch 명령을 사용하면 됩니다.

LOGFILE은 날아오는 메일을 어떻게 분류했는지 기록하는 파일입니다. 저는 .mbox/log 파일로 지정했습니다. SHELL은 내부에서 사용하는 쉘을 지정한 것입니다.

일단 이렇게 기본 환경 설정이 끝나면 날아오는 메일의 제목을 인코딩해야 합니다. 제각기 다른 코드로 날아오는 메일을 인코딩해야 문자열을 비교할 수 있겠지요.


#
인코드되어 날아오는 헤더를 디코드 하는 부분.

:0 Efhw
*^(Subject|From|Cc):.*=\?EUC-KR\?(B|Q)\?
|formail -c | hcode -dk -m

:0 Efhw
*^(Subject|From|Cc):.*=\?ks_c_5601-1987\?(B|Q)\?
|formail -c | hcode -dk -m

이 부분은 우리가 내려받은 예제 파일의 내용을 그대로 사용했습니다. ‘:0’은 아래 조건에 맞는 명령을 실행한다는 지시자로 특정 조건을 검색하고 처리를 하려면 첫머리에 적어줘야 합니다. 뒤의 Efhw은 저도 잘 모르는 옵션인데 글자 한자한자가 특정 행동을 지시하는 옵션입니다. ‘*’는 조건 검색 시에 앞부분에 적어주는 지시자고, ‘^’는 정규표현식으로 문자열 첫머리를 의미합니다. ‘()’는 한 집단으로 묶는 것이고 ‘|’or 연산자입니다. ‘.’는 글자 한자를 의미하고 ‘*’는 앞서 나온 글자가 0번 이상 반복되는 것을 의미합니다. 즉 ‘*^(Subject|From|Cc).*’는 헤더 첫머리에 Subject 이나 From이나 Cc라는 글자가 나오고 그 다음에 아무 문자나 한개 이상이 나온 다음에 EUC-KR 류의 문자열을 검색하는 것입니다. 이 조건에 합당하면 다음 명령을 실행합니다.

여기서 ‘|’는 기존 내용물을 파이프로 넘겨준다는 것입니다. formail 프로그램이 -c 옵션으로 기존 내용물을 받아서 처리한 다음 hcode가 다시 이것을 받아서 적절한 처리를 한다는 명령입니다. 그 다음 부분도 ks_c_5601-1987 헤더 문자열에 대해 비슷한 처리를 하는 부분입니다.

이 부분은 잘 모르면 바꿀 필요가 없을 것으로 보입니다. 이후 부분이 우리가 신경을 써야할 부분입니다.


#
제목부분에 지정된 문자열이 걸리면, spam계정으로 메일전송

:0
* ^Subject: .*(광고|홍보|-|목록입니다|리스트입니다|성인 정보|몰카|\[.*\]|\[.*\]|\[.*\]|\(.*\)|\(.*\))
trash

:0
* ^Subject: .*(대출|대출해|전문대출|직장 인|무료로|로또|무료 상담|전용대출|전문상담|유망 직|공짜로|공짜|최신 유행|발송기|광고|자격 증|직장인대출|직장인대출상담|코웨 이|판매|트레이닝|건강 지킴이|랭킹닷컴|성인영화|성인 방송|성인소설|-|link exchange|PARTNER|유 망직종|0순위|전문컨설팅|최저 수수료|자연의힘|대출상담|카드 연체|신용불량|상담신청|자동 차|연체|카드|돈 마련|상담신청|숙취|다이 어트|신용대출전문|체질|대출 상품|돈이|취업|수수 료|관리사|시험)
trash

...이하 생략...

원본 문서를 워드로 작성해서 html 파일로 몇 번 변환하는 과정에서 ( ) 안 한글 문자열 사이에 공백이 많이 들어갔군요. 헤아리시고 봐주시기 바랍니다. 아울러 나머지 부분은 상단의 다운로드를 통해 봐 주시기 바랍니다. 강좌를 올리는 데 약간 문제가 있습니다.

Posted by tornado
|

한글인터넷주소와 퓨니코드(Punycode). 그리고, 한글도메인

1. 한글인터넷주소란?

- 한글인터넷주소란 각종 웹브라우저(Ex. MS-Explorer, Mozilla, Nescafe 등)상에서

웹페이지에 접속하기위해 기존에 사용(입력)하던 영문URL이나, IP대신 한글로 해당 업체의

회사명, 상품명, 개인명, 특정숫자를 입력하여 해당 인터넷 홈페이지를 연결시켜주는

서비스명입니다. 현재 국내에서는 넷피아에서 한글인터넷주소에 관련한 전반적인

업무를 수행하고 있으며, 별도의 프로그램 설치(각종 Plug-in, ActiveX Control 등) 절차없이

사용할 수 있는 유일한 한글주소 서비스인 것같습니다.

2. 한글도메인이란?

- 한글인터넷주소와 유사한 서비스로 한글인터넷주소에서는 사용이 필요없는

[www]와 [.com]이 앞뒤로 붙게되며, 별도의 Plug-in을 설치하여야 사용이 가능하다는 것입니다.

한글도메인의 경우 넷피아의 한글인터넷주소와는 달리 "www.한글주소.com" 의 형태로 사용해야

하기때문에 한글인터넷주소에 비해 사용방법이 불편하고, 별도의 프로그램을 설치해야하는

번거로움이 있는 것같습니다. 한글도메인은 미국의 Verisign사에서 주도적으로 운영하는

서비스로 이 서비스를 처음 사용하려면 별도의 프로그램을 설치해야하며, 국내에서는

WHoIS등에서 업무를 제휴하고, 서비스하고 있는 듯합니다.

(아무래도 외국 기업에서 운영하는 서비스보다는 국내기업에서 서비스하는 것을 등록하는 것이

나라사랑..한글사랑이 아닐까 합니다.)

3. Punycode란 무엇인가?

- 다국어 도메인의 표준화 작업이 이루어지기전에는 넷피아의 한글인터넷주소나 Verisign의 한글

 

도메인의 연결 방식이 [레이스코드]와 [퓨니코드]를 병행해서 사용할 수밖에 없었기때문에 사용자

 

입장에서는 DNS Setting부터 등록에 이르기까지 여러면에서 불편함과 애로사항이 많이 발생하였습

 

니다.

하지만, 올해(2004년) 한글인터넷주소와 한글도메인 변환 방식이 '퓨니코드(Punycode)'로 표준화

 

되어 보다 편리한 한글인터넷주소 사용에 많은 도움이 될것으로 예상됩니다. 퓨니코드라고 하는 것

 

은 인터넷에서 현재 7Bit로 표현되던 영문자를 8Bit 값의 한글로 변환해 주는 체계이며, 표준이 확정

 

되기 전에 '레이스코드'를 사용하던 한글도메인의 경우는 '퓨니코드'로 변경해야 정상적으로 기존

 

의 인터넷 홈페이지에 접속할 수  있다고 합니다. 한글인터넷주소나 한글도메인 변환방식이

 

Punycode 로 표준이 확정된 만큼 한글인터넷주소를 등록 사용하게되면, 기존에 Verisign사에서 제

 

공하던 한글도메인만 가지고 있던 사용자의 홈페이지도 별도의 프로그램 설치없이 접속이 가능하

 

겠네요...

요약)

한글인터넷주소 등록시 Punicode의 예)

a. 삼성: www.xn--cg4bki.co.kr
b. 엘지: www.xn--pi5bm5e.com
c. 진로: www.xn--2o2b913a.com
d. 밤바다: www.xn--2j1b67omb.com

☆ 기존에 영문URL없이 한글도메인을 등록하신 분들이 한글인터넷주소를 사용하기위해서는
[www.한글도메인.com]형식의 URL을 등록하는 것이 아니라 [www.한글도메인.com]을 Punycode로
변환해서 등록하게되면, 한글인터넷주소를 등록해서 사용이 가능하다고 합니다.
WHoIS에서도 한글인터넷주소를 병행해서 사용하려면 어떻게해야하는지 문의하였더니,
불친절한 태도와 무성의한 답변으로 인해서 무슨 내용인지 제가 알아들을 수가 없었던 관계로
병행 사용이 완벽하게 이루어지는지에 관해서는 언급을 피하도록 하겠습니다.

4. Punycode 환경의 Named.conf 셋팅 방법(한글도메인이 [www.밤바다.com]일 경우)

+++++++++++++++++++++++++++++++++++++++++++++++
zone "xn--2j1b67omb.com“ {
type master;
file "Zone 파일 참고.zone";
};

zone "회사IP.in-addr.arpa" {
type master;
file "db.Zone 파일 참고";
};

zone "0.0.127.in-addr.arpa" { //프록시 구성
type master;
file "db.127.0.0";
};

zone "." {
type hint;
file "db.cache";
};

+++++++++++++++++++++++++++++++++++++++++++++++

Posted by tornado
|

awstats 를 여러 가상 도메인에서 사용할 경우..


각각의 로그 파일들의 이름을 정확히 httpd.conf 에서 명시하고..


awstats 가 설치된 디렉토리(ex : /etc/awstats ) 에 awstats 설정 파일을 적용시킬 가상 도메인 이름으로 복사 하고 설정 파일 내용중 LogFile , SiteDomain 등의 내용을 가상 호스트에 맞게 수정한다.


그리고 http://도메인/awstats.pl?config=적용이름

으로 호출하면 된다. 무지 간단한걸~~


근데 DB 입출력 보다 무지 느린듯 ...

Posted by tornado
|
Posted by tornado
|

보안에 문제가 많을 듯 ㅡㅡ


--stdin 이라는걸 오늘 첨 알았음... 리눅스 계열 밖에 없는듯 합니다.


FreeBSD 에는 없넹..


================================================================================

파일 이름 : uadd.sh

퍼미션     : 700

사용법     : uadd.sh 아이디 패스워드

================================================================================

#!/bin/bash
userId=$1;
userPasswd=$2;

# User Add
/usr/sbin/useradd $userId

echo $userPasswd | /usr/bin/passwd --stdin $userId



 

================================================================================

파일 이름 : chpwd.sh

퍼미션     : 700

사용법     : chpwd.sh 아이디 패스워드

================================================================================

#!/bin/bash
userId=$1;
userPasswd=$2;

echo $userPasswd | /usr/bin/passwd --stdin $userId

================================================================================

파일 이름 : duser.sh

퍼미션     : 700

사용법     : duser.sh 아이디

================================================================================

#!/bin/bash

userId=$1;

userdel -r $userId



쓰고보니 허접의 극치를 달리는군 ㅡㅡ


Posted by tornado
|
질문,광고 등록 절대금지! 질문은 Q&A로
글쓴이:jyuvenia [서버]대량 메일 발송???조회수:7304

jyuvenia


대량의 메일이 발송되지 않는다고 호소를 하는군요.

:)

덕분에 그 문제에 관하여 이곳을 검색해보니...

별 방법이 전부 동원이 되는군요.

결과론적으로 몇백통씩 끊어서 보내는것이 사실상 전례가 된듯

합니다.

솔직히 약간 당황스럽습니다.

개인적으로 아직까지 몇만통을 한번에 그냥 보내도 빠짐없이

잘 가는데 왜 그런 문제들이 일어나서 끊어 보내는 일이

발생하는지 잘 이해가 가질 않았습니다.

대부분 조급하신 분들이 많은 관계로 방법 부터 거론하면..

1. sendmail 은 8.10.x 이상의 버전을 사용

2. /var 의 파일시스템은 저널링 파일 시스템 이어야 함 (ReiserFS, ext3)

3. Multiple Queues 를 사용


위 3가지면 충분합니다.

3번을 사용하기 위한 설정 밥법은 sendmail.cf 에서

O QueueDirectory

라는 행을 찾아서

O QueueDirectory=/var/spool/mqueue/q*

으로 변경을 하시거나 추가를 하시기 바랍니다.

그 다음 /var/spool/mqueue 에 q1 애서 q6 정도 까지 만들어 줍니다.

# cd /var/spool/mqueue
# mkdir q1 q2 q3 q4 q5 q6
# chown root.mail q*

그다음 sendmail 을 재시작 하면 되겠죠?

참고로 Multiple Queues 의 장점은

1. 고성능
2. 병렬 큐 처리
3. 파일 시스템 결점 보완

입니다.

더 자세한 부가적인 설명을 원하신다면 kldp.org 를 참고하시거나

http://kldp.org/~yong  

으로 가보세요.. 특히 http://kldp.org/~yong 사이트는 개인적으로

아주 좋아하는 사이트 입니다.

국내 리눅스계에 공헌을 아주 많이 하신 분이죠 :)

사이트 또한 정말 멋집니다.   :)

역시 성질 급하신 분은 http://kldp.org/~yong/misc/sendmail/

로 바로~~~~

 

 

 

Ext2 가라~!

Posted by tornado
|

뻘짓거리.. ㅡㅡ;

OS/LINUX 2004. 12. 16. 15:42

어제 잘 되던 CVS 가 갑자기 먹통...


내 이클립스 셋팅 불량인줄 알고.. 셋팅 싹~! 지우고 다시 구성..


그래두 안됨 ㅡㅡ


nmap 으로 열린 포트 검사해보니.. 2401 포트 안보임 ㅡㅡ 대략 난감...


혹시나 해서 iptables 보니 ...


헐.... 2401 포트 막아놨네 ㅡㅡ ... 이거 막으면 어쩌라고 ㅡㅡ


포트 막을때는 왜 막았는지 주석좀 답시다.






Posted by tornado
|

##

## httpd.conf -- Apache HTTP server configuration file

##

 

 

httpd.conf 파일은 크게 세부분으로 나누어져 있다.

    Section 1: Global Environment  : 아파치 전체적인 영향이 미치는 설정
    Section 2: 'Main' server configuration : 주 서버에 대한 설정
    Section 3: Virtual Hosts : 가상 호스트에 대한 설정

 

     ### Section 1: Global Environment

전제환경설정 파트로 Section 1에서 설정하는 것들은 아파치 웹서버에

전반적인 영향을 미친다.

 

ServerType standalone

서버의 구동방법으로는 standalone과 inetd방식이 있는데,  standalone
방식은 하나의 웹데몬(아파치서버)이 클라이언트의 접속을 모두 처리하는
방식으로 응답속도가 빠른 방법으로 주로 이방식을 사용한다. inetd 방식은
inetd라는 시스템의 /etc디렉토리 끝에 존재하는 inetd라는 슈퍼데몬이
클라이언트의 접속요구가 있을 때마다 웹서버를 구동하는 방식이다.
일반적으로 응답속도가 빠르고 효율적인 standalone으로 설정하여 사용한다.


ServerRoot "/usr/apache"

아파치서버의 홈디렉토리를 지정하며 절대경로로 지정한다. 이후로 나오는
대부분의 패스들은 이 경로에 대한 상대경로로 지정이 된다. 예를 들어
환경설정파일, 에러로그파일등의 상대경로의 기준이 되는 위치이다.


LockFile logs/accept.lock

아파치 컴파일시 USE_FCNTL_SERIALIZED_ACCEPT나

USE_FLOCK_SERIALIZED_ACCEPT으로 컴파일 했을 때 사용되는
LockFile의 경로지정시에 사용된다. 가급적 기본값으로 사용한다.

    LockFile /usr/apache/logs/httpd.lock


PidFile logs/httpd.pid

PidFile 설정은 ServerType을 Standalone으로 설정했을때만 유효한
것으로 아파치 서버의 프로세스가 생성되어 있을 때 그 프로세서ID(PID)를
기록하는 파일을 지정한다.  당연히 아파치서버가 재시작되거나 과부하로
인해 PID가 바뀌게 될 경우에는 이 파일의 PID값도 바뀌게 된다.  즉
다시말해서 여기서 지정된 파일(httpd.pid)에 실행되고 있는 아파치서버의
프로세스번호(PID)값이 기록된다고 하면 정답이다. ServerRoot를 기준으로한
상대경로로 지정된다.  절대경로로 지정하려면 "/"로 시작하는 절대경로를
적어주면 된다.

    PidFile /usr/apache/logs/httpd.pid

 

ScordBoardFile /usr/apache/logs/httpd.scoreboard

내부 서버 프로세서 정보를 저장하는데 사용된다. 모든 아키텍쳐가 이것을 필요로 하진 않는다.


ResourceConfig conf/srm.conf
AccessConfig conf/access.conf

아파치 서버의 환경설정파일은 3개이다. au httpd.conf, srm.conf, access.conf
가 그것이다. 그러나 하나의 설정파일로 하는 것이 효율적이기 때문에
지금은 httpd.conf파일안에 3개의 파트(Section)로 나누어서 하나의
파일안에서 설정을 하고 있다. srm.conf와 access.conf파일의 내용은 현재
비어있는 상태이지만, 필요하다면 이 파일 내에도 설정을 할 수 있다.
아파치 서버가 실행이 될 때는 httpd.conf, srm.conf, access.conf 순으로
언제나 이 3개의 파일을 모두 읽고 난뒤에 실행이 되기 때문이다. 만약 이
두 개의 파일을 서버가 무시하도록 하려면 다음과 같이 하거나 "#"으로 붙여
두면 주석처리되어 무시된다.

    #ResourceConfig /usr/apache/conf/srm.conf
    #AccessConfig /usr/apache/conf/access.conf

   
Timeout 300

클라이언트의 요청에 의해 서버와 연결이 되었을 때 클라이언트와
서버간에 아무런 메시지가 발생하지 않았을 때 오류로 처리될 시간을
초단위로 설정한다. 초기값은 1200이며 보통은 300초로 지정을 한다.
네트웍의 속도가 나쁠수록 수치값은 높게 설정하는 것이 좋다.

 

KeepAlive On

접속한 채로 특별한 요청없이 지속적인 연결을 허용할 것인지를 설정한다.
허용하지 않으려면 off

 

MaxKeepAliveRequests 100

클라이언트가 접속된 시간동안 아파치서버에 요청할 수 있는 최대의
개수를 지정한다. 0을 지정하면 제한없음을 의미하며, 서버의 성능향상을
위하여 가능한 높은 값이 좋다.
 
KeepAliveTimeout 10

아파치 서버는 같은 접속상태의 클라이언트에서 여기서 지정한 초만큼의
요청이 없었을 때 접속을 끊게 된다.

 

MinSpareServers 5
MaxSpareServers 10

아파치 웹서버는 성능향상과 빠른 응답속도를 위해 유휴서버(현재 서비스대기 중인

프로세스)를 만들게 되는데 이 유휴서버의 개수는 시스템의 상황에 따라 달라지게 된다.

유휴서버가 MinSpareServers의 개수(5) 보다 적게되면 추가로 생성을 하게 되며 MaxSpareServers의 개수(10)보다 많게 되면 죽이게 된다.

즉, 유휴서버의 개수를 적절히 조절하기 위한 것이라 생각하면 된다.


StartServers 5  

아파치 웹데몬이 구동될 때 자식프로세스를 몇 개로 할 것인가를 지정한다.

시작할 때 동시에 띄우게 될 웹데몬의 개수이다. 그러나 웹데몬이 구동되고 난 뒤엔 시스템의 상황(부하율등)에 따라 대부분 합리적인 개수만큼 동적으로 생성되었다가 죽기도 하므로 큰 의미를 가지는 것은 아니다.

 

MaxClients 150

아파치웹서버에 접근할 수 있는 클라이언트의 최대갯수는 이 상한값으로
제한한다. 여기서 지정한 개수이상의 클라이언트의 요청이 생긴다면
아파치는 응답하지 않고 이 요청을 무시한다.  이를 제한하는 이유는
시스템의 자원을 아파치 웹서버가 무한정 차지하는 것을 방지하기 위한
것이다.

 

MaxRequestsPerChild 30

아파치 웹서버의 자식프로세스들이 클라이언트의 요청 개수를 지정한다.
만약 자식프로세스가 이 값만큼의 클라이언트요청을 받았다면 이 자식프로세스는 자동으로 죽게된다. 이 값이 0으로 설정이 된다면 자식프로세스가 자동으로 죽는일은 없을 것이다. 그러나 0아닌 다른 값으로 설정함으로서 프로세스의 수를 적절히 조절하여 시스템의 부하조절과 자원낭비를 어느정도 방지 할 수 있다.

 

Listen 3000
Listen 12.34.56.78:80

사용자 Request를 대기하는 port 시스템의 기본값이외에 다른 IP Address와 포트에 대해서도 연결할 수 있도록 해 준다. 환경설정파일(httpd.conf) 맨뒤에 나오는 가상호스트(Virtual
Host)부분에서 설정되는 가상호스트를 설정하기 위해 필요하다.


BindAddress *

서버가 응답할 수 있는 IP Address를 설정하는 것이다. 하나의 시스템에
있는 아파치웹서버 하나로 여러 웹서버처럼 관리하는 웹호스팅서비스등에서
많이 이용하는 것으로 여러 IP Address를 인식할 수 있게 한다. "*"으로
설정이 되었다면 모든  IP Address에 대해 응답할 수 있으며, IP Address를
지정한다면 지정한 IP Address에 대해서만 응답할 수 있게 된다.  여러개의
IP Address를 ISP로부터 할당받아서 웹호스팅서비스를 하고자 한다면
이부분에서 지정해 주면된다. 이 설정파일의 맨 뒷부분에 나오는
<VirtualHost>~</VirtualHost>부분의 IP bind 가상호스트부분에서 아파치
웹서버가 응답할 수 있도록 하려면 여기서 IP Address를 지정해 줘야 한다.

 

Dynamic Shared Objdec(DSO) support

DSO로 빌트된 모듈의 기능을 사용하기 위하여 쓰인다.

DSO 매카니즘에 대하여 상세히 알고 싶으면 http://httpd.apache.org/docs/dso.html을 읽기 바란다. httpd binary에 이미 설치된 모듈리스트르 알고 싶으면 httpd -l 을 실행한다.

로드된 모듈의 순서는 중요하기 때문에 변경시 주의를 요한다.
  ex) LoadMule foo_module libexec/mod_foo.so

 

ExtendedStatus On

server-status로 아파치웹서버의 상태를 상태를 모니터링 할 때
"자세한상태정보"기능을 제공할 것인지(On) 아닌지(Off)를 설정하는 것이다.

 

 

     ### Section 2: 'Main' server configuration

Section 2에서 설정하는 항목들은 아파치의 주된서버가 사용할 값들을
지정한다. <VirtualHost>에 정의된 가상호스트들에서 지정하지 않는 것은
여기서 지정된 값이 기본값으로 적용된다. 또한 여기서 지정하는 값을 각
<VirtualHost>내에도 지정할 수 있으며 이경우엔 각<VirtualHost>내에서
지정한 값이 우선적용된다.

 

Port 80

아파치웹서버의 기본포트를 지정한다. 특별하게 사용하는 것이 아니라면
80번으로 해둬야 한다. 사용가능한 포트는 0 ~ 65535이며 1024이하의
포트번호는 시스템에서 특별하게 예약되어 있으므로 80번 이외의 다른
포트를 사용하려면 1024이상의 포트번호를 지정해서 사용해야 할 것이다.
특별한 지정이 없다면 <VirtualHost>에 정의된 각각의 가상호스트들의
기본포트가 된다. 만약 <VirtualHost> 내에서 Port가 지정이 된다면 그
포트번호가 우선한다.

(특별히 PORT를 따로 지정해 줄 필요가 있을 때는 따로 지정해 주며,
이때는 웹서버로 접근할 때 반드시 따로지정한 PORT번호로 접근해야 한다.
예를들어 Port 1234로 지정했다면, 접근시 : http://www.domain.co.kr:1234
로 접속해야한다. 단, 80번은 default이므로 Port번호를 입력하지 않아도
도메인만으로 그냥 접근할 수 있다. 예: http://www.domain.co.kr )

 

SSL Support

SSL을 제공하고자 할때 HTTP port와 HTTPS port를 listen해야 한다.

    <IfDefine SSL>

    Listen 80

    Listen 443

    Listen 8888

    </IfDefine>

 

User nobody
Group nobody

아파치 웹데몬이 요청을 받았을 때 여기서 지정한 user와 group으로
응답을 하게된다. 이 설정은 ServerType이 Standalone방식이며, 아파치의
실행이 root권한으로 실행이 되었을 때 유효한 것이다. 많은
웹서버관리자들이 nobody로 설정을 해 두고 있으며, 만약 시스템에 nobody
user가 없다면 새로생성(useradd)을 해야 할 것이다. 단, root로 설정하는
것은 절대로 있어서는 안되며 nobody이외의 다른 시스템사용자 id로 지정을
한다면 정말 신중히 모든면(시스템 보안 및 자원사용등)에서 깊게 고려를
해봐야 한다.

 

ServerAdmin webmaster@www.domain.co.kr

여기서 지정하는 email address는 웹문서 로딩에러등의 문제에서
클라이언트측으로 보내질 메일주소값이다. 대부분
웹서버관리자의 email address로 설정을 한다.

 

ServerName new.host.name

클라이언트에게 보여주는 호스트이름을 지정한다. www를 쓰지않는
호스트에서 www를 쓰는 것처럼 보이게 할 수 있다. 예를 들어
bbs.manualand.co.kr을 www.manualand.co.kr로 지정해서 쓸 수 있다.
이곳에 IP Address를 적게 되면 클라이언트에는 Ip Address를 보여준다.

 

DocumentRoot "/usr/local/apache/htdocs"

아파치 웹서버의 웹문서가 있는 경로를 지정한다. 예를 들어
"http://www.manualand.co.kr/index.html"의 초기 문서라면 이 초기문서의
절대 경로는 여기서 지정된 "/usr/local/apache/htdocs/index.html"이 된다.
경로의 맨 마지막에 "/"를 추가해서는 안된다. Alias를 사용하여 다른 위치를
지정할 수도 있다.

 

<Directory />
    Options FollowSymLinks
    AllowOverride None
</Directory>      
                

<Directory>에서 지정되는 값에 대한 옵션은 다음과 같은 의미를 가지고
있다.
        None : 일단 모든허용을 하지 않는다.
        All : 모든허용을 한다.
        Indexes :
        Includes :
        FollowSymlinks :
        ExeCGI :
        MultiViews :


UserDir public_html

<IfModule mod_userdir.c>

    UserDir public_html

</IfModule>

하나의 아파치 웹서버에서 여러 사용자의 홈페이지를 별도로 만들어
관리할 때 필요한 개별 가입자의 홈페이지 디렉토리이름이다. 예를 들어
sspark이란 계정가입자의홈페이지는 "http://manualand.co.kr/~sspark"라는
홈페이지를 가지고 있을 때 sspark의 계정에서 "public_html"이란
디렉토리가 홈디렉토리가 되어 이 디렉토리에 있는 초기문서 index.html을
불러서 보여주게 된다.

 

<Directory /home/*/public_html>
    AllowOverride FileInfo AuthConfig Limit
    Options MultiViews Indexes SymLinksIfOwnerMatch
IncludesNoExec
    <Limit GET POST OPTIONS PROPFIND>
        Order allow,deny
        Allow from all
    </Limit>
    <Limit PUT DELETE PATCH PROPPATCH MKCOL COPY
MOVE LOCK UNLOCK>
        Order deny,allow
        Deny from all
    </Limit>
</Directory>

계정사용자의 홈페이지(public_html)의 접근에 대한 옵션을 지정한 것이다.


DirectoryIndex index.html

디렉토리만을 지정했을 경우에 그 디렉토리에서 찾게될 문서의 순서를
지정해 준다. 즉, 디렉토리 이름만을 지정하더라도 여기서 지정한
index.html을 찾아서 웹브라우즈에 보여준다. 여러개의 파일을 지정할 수
있으며, 이런 경우에는 순서대로 찾아서 보여준다. 예를 들어
"DirectoryIndex index.html index.htm"로 지정했다면 먼저 "index.html"을
찾아서 있다면 이 파일을 로딩하고, "index.html"이 없다면 "index.htm"을
찾아서 로딩해 준다.

    <IfModule mod_userdir.c>

        DirectoryIndex index.html

    </IfModule>

 

AccessFileName .htaccess

디렉토리별로 접근제어할 정보(ID, Password)를 담고 있는 파일을
지정한다. 디렉토리별로 인증을 거쳐서 접근할 수 있는 설정을 하기위한
것이다. 예를 든다면 어떤 홈페이지의 전부나 혹은 일부에로 접근하려고 할
때 ID, Password를 묻는 창이 뜨면서 맞게 입력한 경우에만 접근허용하는
것이다.  보안상의 이유로 이 파일의 이름을 다른 이름으로 바꾸로 싶다면
".htaccess"대신에 다름이름을 적어주면 된다.

 

<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
</Files>

바로위에서 설정한 파일(".htaccess")의 내용을 볼 수 없게 할 때 사용하는
옵션이다. 보안상의 이유로 이 옵션은 설정해 두는 것이 좋다. 만약 이
옵션을 주석처리해 둔다면 ".htaccess"파일에 대한 보안은 누구도 장담할 수
없을 것이다.

 

CacheNegotiatedDocs

디폴드로 아파치는 content와 연관된 각각의 document에 "Pragma: no-cache"를 보낸다.

이것은 proxy 서버가 document에 cache를 사용하지 않을것인지를 묻게 된다.

이 라인을 주석처리 하면 documents에 cache를 허용할수 있게 된다.

#CacheNegotiatedDocs


UseCanonicalName On

On으로 설정하면, self-referencing URL을 만들때마다 "canonical" name 형식에 따른 hostname과 port를 사용할것이다.

Off로 설정하면 아파치는 가능하면 client가 제공한 hostname과 port를 사용할것이다.

이것은 또한 CGI 스크립트의 SERVER_NAME과 SERVER_PORT에 영향을 준다.

 

TypesConfig conf/mime.types

웹서버의 mime type을 지정한 파일을 지정한다. mime.types파일은 서버에
의해 리턴될 수 있는 파일명과 mime형식을 기술해 놓은 파일이다.

  <IfModule mod_mime.c>

       TyperConfig /usr/apache/conf/mime.types

   </IfModule>

  

DefaultType text/plain

mime.types 파일에 정의 되어있지 않은 파일형식에 대한 요청을 받았을 때
알 수 없는 문서타입에 대하여 사용할 기본적인 mime 타입을 정해둔다.

 

<IfModule mod_mime_magic.c>

    MIMEMagicFile /usr/apache/conf/magic

</IfModule>

mod_mime_magic module은 서버에서 type별 정의된 다양한 hints를 사용할수 있게 해준다.

MIMEMagicFile은 hint가 정의된 위치를 알려준다.


HostnameLookups Off

웹서버의 로그(access_log)를 지정하는 Format에서 "DNS Lookup"으로
지정하였을 때, domain으로 남길 것인가, IP Address로 남길 것인가를
지정한다. Default로 Off는 IP Address로 남기는 것이며, Domain으로 변경할
필요가 없으므로 on으로 설정한 것보다는 속도가 조금빠르다.on으로 하게
되면 IP address를 IP Domain으로 변환해야 하므로 속도가 조금 느릴 수
있다.

 

ErrorLog /usr/apache/logs/error_log

아파치 웹서버의 에러로그 기록파일을 지정한다.  참고할 사항은 맨마지막에 설정하는 <VirtualHost>부분에서 각서버에 대한 에러파일을 지정해 두지 않으면 그에 대한 에러로그도 여기에 기록되며, 지정해 두게 되면 그에 해당하는 로그는 이 파일에 기록되지 않는다.

 

LogLevel warn

바로위에서 설정한 에러로그 파일에 얼마나 자세하게 적을 것인지를
결정한다. 다음에 해당하는 순서대로 중요도가 정해진다.

" debug → info → notice → warn → error → crit → alert → emerg "

 

SetEnvlf Request_URI \.gif dontlog

SetEnvlf Request_URI server-status dontlog

아래에서 사용할 CustomLog에서 사용자지정 환경변수 지정을 사용할수 있다.

해당 항목에 대해서는 log파일에 추가되지 않음.

 

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\"
\"%{User-Agent}i\"" combind
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

바로 아래에서 사용할 CustomLog에서 사용할 몇가지 로그형식의 별명을 정한 곳이다.
웹서버의 관리자나 서버관리자는 이 부분을 특히 유심히 봐둬야 한다.
웹서버의 로그를 어떤 식으로 남길 것인가를 결정하는 Format을 지정하는 곳이다.

원하는 정보를 지정해서 볼 수 있으므로, 관리자에게 필요한 Format으로 설정해야 하며,

또한 접속통계를 내기에 적당한 Format으로 설정해 둬야 한다.

 

CustomLog /usr/apache/logs/access_log common env=!dontlog

위에서 정한 로그형식(여기선 common)대로 로그를 남기게 된다.
맨마지막에서 지정하는 <VirtualHost>부분에서도 아파치 1.3.9버전 부터는
CustomLog를 가상호스트별로 지정할수 있도록 CustomLog를 제공한다.
<VirtualHost>에서 CustomLog를 지정하지 않으면 여기서 지정한 형식대로
로그를 남기게 되며 <VirtualHost>부분에서 CustomLog를 지정했을
경우에는 여기서 지정한 로그형식은 무시된다.

 

#CustomLog  /usr/apache/logs/referer_log referer
#CustomLog  /usr/apache/logs/agent_log agent
#CustomLog  /usr/apache/logs/access_log combined

위에서 지정한 4가지의 로그형식(combind, common, referer, agent)중에서
원하는 부분의 #(주석행)을 제거하면 지정된다.

 

ServerSignature On

Optionally하게 서버가 생성하는 문서(error documents, FTP directory listings, mod_status and mod_info output etc., but not CGI generated documents)에 서버 버전과 가상호스트 이름을

포함하는 라인을 추가한다. 
"EMail"로 설정하면 mailto에 의해 SeverAdmin에 링크된다.

ON | OFF | EMail

 

EBCDIC configuration:

Fujitsu-Siemens' BS2000/osd, IMB's OS/390, IMB's TPF 과 같은 메인프레임에서만

EBCDIC 코드셋을 사용한다.

아래의 디폴트 설정은 bianary 파일이 ASCII 머신에  저장될때 text 파일이 EBCDIC에 저장된다구 가정한다. 따라서 일반적인 POSIX 툴이나 grep, sort를 이용하여 조작할수 있다.

    EBCDICConver tByType On=InOut text/message/multipart/

    EBCDICConver tByType On=In      application/x-www-form/urlencoded

    EBCDICConver tByType On=Inout  application/postscript model/vrml

    EBCDICConver tByType Off=InOut

ASCII HTML 문서와 EBCDIC HTML 문서를 동시에 사용하고자 한다면, ASCII 문서에 전환을 위한 파일 확장자를 사용할수 있다.

    AddType            text/html  .ahtml

    EBCDICConvert Off=InOut  .ahtml

 

Alias /icons/ "/usr/local/apache/icons/"

필요한 만큼의 디렉토리 별칭을 만들어 쓸 수 있다. 사용하는 형식은 다음과 같다.
Alias fakename(가상이름) realname(진짜이름)

fakename이 /로 끝나면 서버는 그것이 표현된 URL을 요구할것이다.

fakename이 /로 끝나면 realname도 /로 끝나야 한다.

fakename이 /를 생략하면 realname로 /를 생략해야한다.

 

    Alias /icons/ "/usr/local/apache/icons/"

 

    <Directory "/usr/local/apache/icons">
          Options Indexes MultiViews
          AllowOverride None
          Order allow,deny
          Allow from all
    </Directory>

 

ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

ScriptAlias는 서버스크립트를 포함한다. ScriptAlias는 실제디렉토리 안에
들어있는 문서를 서버에 의해 응용프로그램으로 취급되어 실행되는 것을
제외하고는 근본적으로 Aliases와 같다.

 

Redirect old-URi new-URL

client에게 서버의namespace에 문서가 더이상 존재하지 않을때 clinet에게 재위치된 문서가

어디에 있는지 알려준다.

    Format: Redirect old-URI new-URL


IndexOptions FancyIndexing

IndexOPtions는 디렉토리목록을 표시할 때 사용할 옵션을 지정한다.
Standard는 표준적인 디렉토리를 나타내며, FancyIndexing은 좀더 예쁜
디렉토리목록을 표시해 준다.

 

AddIcon*

아래에서 지정하는 AddIcon으로 시작하는 설정은 바로위에서 설정한
디렉토리인덱싱 옵션을 FancyIndexing으로 한 경우에 해당하며 디렉토리
목록을 표시할 때 각 파일 확장자에 따라서 어떤 아이콘을 선택하여 보여줄
것인지를 지정한다.

AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip
AddIconByType (TXT,/icons/text.gif) text/*
AddIconByType (IMG,/icons/image2.gif) image/*
AddIconByType (SND,/icons/sound2.gif) audio/*
AddIconByType (VID,/icons/movie.gif) video/*

AddIcon /icons/binary.gif .bin .exe
AddIcon /icons/binhex.gif .hqx
AddIcon /icons/tar.gif .tar
AddIcon /icons/world2.gif .wrl .wrl.gz .vrml .vrm .iv
AddIcon /icons/compressed.gif .Z .z .tgz .gz .zip
AddIcon /icons/a.gif .ps .ai .eps
AddIcon /icons/layout.gif .html .shtml .htm .pdf
AddIcon /icons/text.gif .txt
AddIcon /icons/c.gif .c
AddIcon /icons/p.gif .pl .py
AddIcon /icons/f.gif .for
AddIcon /icons/dvi.gif .dvi
AddIcon /icons/uuencoded.gif .uu
AddIcon /icons/script.gif .conf .sh .shar .csh .ksh .tcl
AddIcon /icons/tex.gif .tex
AddIcon /icons/bomb.gif core

AddIcon /icons/back.gif ..
AddIcon /icons/hand.right.gif README
AddIcon /icons/folder.gif ^^DIRECTORY^^
AddIcon /icons/blank.gif ^^BLANKICON^^


DefaultIcon /icons/unknown.gif

여기서 지정한 확장가가 아닌 경우에 여기서 지정한 기본아이콘으로
보여준다.

 

AddDescription "GZIP compressed document" .gz
AddDescription "tar archive" .tar
AddDescription "GZIP compressed tar archive" .tgz

AddDescription은 서버가 생성한 인덱스의 파일 뒤에 간단한 설명을
표시할 때 사용한다. 이 설정은 IndexOptions가 FancyIndexing으로
설정되었을때만 표시되며, 설정형식은 다음과 같다.
형식 : AddDescription "표시할 설명" 파일확장자

 

ReadmeName README

ReadmeName은 디렉토리목록표시 뒤에 붙여서 보여줄 README파일의
이름을 지정한다.(일종의 꼬릿말)

 

HeaderName HEADER

HeaderName은 디렉토리목록표시 앞에 붙여질 파일의 이름을 지정한다.
(일종의 머릿말)

 

IndexIgnore .??* *~ *# HEADER* README* RCS CVS *,v *,t

디렉토리목록을 인덱싱할 때 제외할 파일명을 지정한다. 즉 디렉토리
목록에 포함하지 않을 파일을 지정한다. 쉘스타일의 와일드카드(*, ?)가
허용된다.

 

AddEncoding x-compress Z
AddEncoding x-gzip gz tgz

AddEncoding은 특정브라우즈(Mosaic/X 2.1+)에서 받고있는 중에 정보에
대한 압축해제를 할 수 있도록한다. 단 모든 웹브라우즈에서 이 기능을
제공하는 것은 아니다.

 

AddLanguage en .en
AddLanguage fr .fr
AddLanguage de .de
AddLanguage da .da
AddLanguage el .el
AddLanguage it .it

AddLanguage는 문서의 언어를 지정하게 한다.

 

LanguagePriority en fr de

언어의 우선순위를 내림차순으로 지정한다.

 

AddType application/x-httpd-php3 .php3
AddType application/x-httpd-php3-source .phps
AddType application/x-tar .tgz

AddType은 mime.types의 실제 편집없이도 mime을 설정할 수 있다.

또한 특정 type에 특정 files을 만들게도 할수 있다.

 

AddHandler cgi-script .cgi

AddHandler는 파일확장자를 처리기(Handler)에 매핑(연결)시켜주게 된다.

서버 측면의 include나 CGI outside ScriptAliased directories를 사용하려면

이 라인을 주석처리 하면 된다.

 

AddType text/html .shtml
AddHandler server-parsed  .shtml

server-parsed HTML 파일을 사용하려고 할때

 

 

 

#AddHandle send-as-is asis

Apache의 send-asis HTTP 파일특성의 사용을 위해서는 이 라인을 주석처리할것.

 

#AddHandle imap-file map

server-parsed imagemap 파일을 사용하려고 할때

 

SSI(Server Side Include)문서를 인식하게 하기위한 설정이다. SSI코드가
들어가 있는 문서는 확장자가 *.shtml이다. 시스템의 날짜와 카운터등
CGI프로그램을 하지 않아도 HTML문서에서 단 몇줄로 CGI의 효과를 낼 수
있는 SSI기능을 인식하게끔 하는 설정이다.


#Format: Action media/type /cgi-script/location
#Format: Action handler-name /cgi-script/location

Action은 매칭되는 파일이 호출될때마다 스크립트를 실행시킬 수 있도록
미디어 타입을 정의한다.

 

MetaDir .web

MetaDir은 아파치가 찾을 메타정보파일들의 디렉토리이름을 지정한다. 이
파일들은 문서를 전송할 때 포함되는 HTTP 헤더정보가 포함되어 있다.

 

MetaSuffix .meta

MetaSuffix는 메타정보를 포함하고 있는 접미어의 이름을 지정한다.


에러발생시 응답을 정의할 수 있는 방법을 3가지 나타내고 있다.

    1) 일반적인 텍스트

ErrorDocument 500 "The server made a boo boo.

    2) 지역적인 방향전환

ErrorDocument 404 /missing.html
ErrorDocument 404 /cgi-bin/missing_handler.pl

    3) 외부 방향전환

ErrorDocument 402
http://some.other_server.com/subscription_info.html


  다음의 BrowserMatch는 keepalives기능을 쓰지못하게 하며 HTTP
헤드방식을 설정한다.

BrowserMatch "Mozilla/2" nokeepalive

  이 설정은 Netscape 2.x 또는 이를 따르는 브라우즈에 대하여 KeepAlive
기능을 쓰지 못하게한다.

BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0
force-response-1.0

  이 설정은 잘못구현된 HTTP/1.1과 301또는 302반응에 대하여
KeepAlive를 적절히 제공하지 못하는 마이크로소프트 인터넷익스플로러
4.0b2d에 관한 것이다.

BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0

  위의 3가지 설정은 기본적인 1.1반응도 처리하지 못하며 HTTP/1.0 스팩을
제한하고 있는 브라우즈에 대하여 HTTP/1.1반응을 하지 못하게 한 것이다.

<Location /server-status>
    SetHandler server-status
    Order deny,allow
    Deny from all
    Allow from www.manualand.co.kr
</Location>

  서버의 상태를 점검할 수 있게하는 설정이다. 이는
"http://www.manualand.co.kr/server-status"와 같은 형식으로 서버의 상태를
점검할 수 있다. "6장. 아파치서버 모니터링"편에서 자세히 설명되어 있다.
여기서 지정한 "SetHandler server-status"의 설정으로 인해 서버
모니터링을 할 수 있는 것이다.

<Location /server-info>
    SetHandler server-info
    Order deny,allow
    Deny from all
    Allow from www.manualand.co.kr
</Location>

  이설정을 위해서는 mod_info.c가 적재되어야 하며, 이는
"http://www.manualand.co.kr/server-info"와 같은 방식으로 서버의 정보를
볼 수 있다. 위에서 설정한 server-status와 함께 실행중인 웹서버의
상태점검을 위한 것이다.

<Location /cgi-bin/phf*>
    Deny from all
    ErrorDocument 403 http://phf.apache.org/phf_abuse_log.cgi
</Location>

  아파치 1.1이전 버전의 오래된 버그에 대한 악용이 있을시에는 지정한곳
(http://phf.apache.org/phf_abuse_log.cgi) 으로 방향을 전환시킨다.


<IfModule mod_proxy.c>
ProxyRequests On

  아파치 웹서버를 Proxy서버로 사용할 때 on을 해줘야 한다. 즉   
프락시서버 지시자로서 프락시서버를 on 시킨다.

<Directory proxy:*>
    Order deny,allow
    Deny from all
    Allow from .your_domain.com
</Directory>

ProxyVia On

  HTTP/1.1 "Via:"헤드처리를 활성화시킬 것인지 비활성화 시킬것인지를
지정한다. Off, On, Full, Block중 하나가 올 수 있으며 Full은 서버버전을
포함하며, Block은 나가는 모든 것에 대해 Via:헤더를 제거한다.

CacheRoot "/usr/local/apache/proxy"
CacheSize 5
CacheGcInterval 4
CacheMaxExpire 24
CacheLastModifiedFactor 0.1
CacheDefaultExpire 1
NoCache a_domain.com another_domain.edu joes.garage_sale.com

  이 설정은 캐시기능을 활성화 하기 위한 것이다.

### Section 3: 가상호스트 설정

  여러분의 시스템에서 여러개의 도메인이나 호스트네임을 설정하여
관리하고자 한다면 <VirtualHost>부분을 설정해 줘야 한다. 가상호스트에
대한 정보는 http://www.apache.org/docs/vhosts/를 참조해 보면 좀더
자세한 정보를 얻을 수 있다.  '-S'옵션을 사용함으로써 가상호스트의 설정에
대한 점검을 할 수 있다.  name-based 가상호스트를 사용하길 원한다면
적어도 한 개이상의 IP Address를 정의할 필요가 있다. "4-2절의 내용"과
"10장.웹호스팅 서비스를 위한 가상호스트"편에서 자세히 설명되어 있다.

NameVirtualHost 12.34.56.78:80
NameVirtualHost 12.34.56.78

<VirtualHost www.manualand.co.kr>
    ServerAdmin webmaster@manualand.co.kr
    DocumentRoot /home/sspark/public_html
    ServerName www.manualand.co.kr
    ErrorLog /home/sspark/public_html/aw/error_log
    CustomLog /home/sspark/public_html/aw/access_log common
</VirtualHost>

        ServerAdmin은 해당서버의 관리자 전자우편이며,
        DocumemtRoot는 해당서버의 홈디렉토리이며,
        ServerName은 해당서버의 도메인이며,
        ErrorLog는 해당서버의 에러파일 위치이며
        CustomLog는 로그파일위치와 포맷을 지정한 것이다.

<VirtualHost _default_:*>
</VirtualHost>

  Default 가상호스트 설정으로 위에서 설정되지 않은 다른 모든 호스트에
대해서 응답을 하고자 할 경우설정해 준다.

'OS > LINUX' 카테고리의 다른 글

[phpschool 펌] [서버]대량 메일 발송???  (0) 2004.12.17
뻘짓거리.. ㅡㅡ;  (0) 2004.12.16
[엠파스 펌] netstat 에서 state 설명  (0) 2004.12.02
[펌] FreeBSD설치 안내서  (0) 2004.11.11
[펌] Installing Oracle9i on FreeBSD  (0) 2004.11.11
Posted by tornado
|
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
-a 모든 커넥션 - 모든 접속 및 listen 포트 정보 알아내기
-e Ethernet 통계정보
-n 주소와 포트 정보
-p proto 지정된 프로토콜과 관련된 커넥션 정보
   netstat -s -p tcp 3 (tcp관련된 패킷량을 3초 마다 다시 보여주기)
-r 라우팅 테이블 정보
interval 통계 정보를 지정 시간마다
 

netstat 상태확인시 서버 프로그램에서는 connection갯수가 11개이고
                   클라이언트 쪽에는 conection갯수가 10개인 경우
서버와 클라이언트가 연결을 끊을때
1. 클라이언트가 서버에게 연결을 끊겠다고알린다.
2. 서버는 클라이언트에게 알았다고 대답한다.
3. 클라이언트는 이 응답을 받고 연결을 끊는다.
4. 하지만 서버는 연결을 바로 끊지않고 일정시간동안 연결을 유지시킨다
   - 서버가 클라이언트로부터 연결을 끊겠다는 신호를 받고 알았다고 응답패킷을
     보냈는데 클라이언트가 이것을 받지 못하고 다시 서버측에 연결을 끊겠다고 신호를 보낼때가 있다.
     이때 서버쪽에서 바로 연결을 끊어버렸다면 이 신호를 무시하게 될테고,
     클라이언트는 연결을 끊기 위해 서버쪽에 계속 신호를 보낼수 있기 때문이다.

State
state는 TCP Connection state를 말하는 것으로 아래와 같은 의미를 가진다.
CLOSED      - TCP 소켓의 최초상태
              또는 서버로 SYN을 보낸후 SYN-ACK를 못 받아서 TIME OUT 된 상태
CLOSE_WAIT  - 애플리케이션이 FIN패킷을 받고 ACK를 보낸상태
SYN_SENT    - TCP소켓을 성립시키기 위해 SYN 패킷을 서버쪽으로 보낸 상태
ESTABLISHED - SYN을 보내고 SYN-ACK를 받은후 ACK패킷을 서버쪽으로 보낸 상태
FIN_WATE_1  - 소켓 종료를 위해 FIN 패킷을 보낸 상태
FIN_WAIT_2  - FIN 패킷을 보내고 FIN_ACK를 받은 상태
TIME_WAIT   - FIN_WAIT_2에서 상대가 FIN을 보내고 그것에 대해 ACK로 답한후의 상태
              LAST_ACK이 손실될 경우를 대비해서 2MSL을 대기한 후 CLOSED로 바뀐다.

LISTEN
서버 애플리케이션이 적재되어 수동적인 모드로 포트를 개설하였음을 의미.
TCP는 연결 요청이 수신 되기를 기다림

SYN-SENT
로컬 시스템의 클라이언트 애플리케이션이 원격 호스트에 능동적인 개설을
요청. TCP는 Synchronize flag 를 설정한 시작 세그먼트를 전송 하였으며, 원격 시스
템도 역시 Synchronize flag 를 설정한 시작 세그먼트로 응답할 것을 기다림.

SYN-RECEIVED
서버의 TCP가 원격 클라이언트로부터 Synchronize flag가 설정된 시작 세
그먼트를 수신하였고 자신의 시작 세그먼트로 응답 하였으며, 그 세그먼트에 대한 확인
메세지를기다림.

ESTABLISHED
가상회선이 작동. 3단계 핸드셰이킹 과정이 완료되면 두 시스템은 이 상태
에 들어감.

FIN-WAIT-1
로컬 애플리케이션은 가상 회선에 능동적인 종결을 요청하였으며, TCP는
Finish flag가 설정된 종결 세그면트를 전송. 그러나 TCP는 아직도 원격 시스템이 세그
먼트에 대한 확인 메세지와 자신만의 종결 세그먼트로 응답하기를 기다림. 회선이 완
전히 종결될 때까지 원격 시스템으로부터 데이터는 수신하지만, 추가적인 데이터를 전
송하지는않음.

COLSE-WAIT
(FIN-WAIT-1 의 설명과 같이) Finish flag 가 설정된 종결 세그먼트가 수신
되었고 로컬 TCP는 그 세그먼트에 대한 확인 메세지를 송신 시스템에 전송함. 그러
나 로컬 TCP는 로컬 애플리케이션에서 작업을 종료하지않아 자신의 종결 세그먼트를 생
성하지 못함
 
FIN-WAIT-2
(FIN-WAIT-1 의 설명과 처럼) 로컬 TCP는 Finish flag 가 설정된 종결 세그
먼트를 전송하였으며, (WAIT-CLOSE 의 설명대로) 원격 시스템으로 부터 그 세그먼
트에 대한 확인 메세지를 수신함. 그러나 원격 애플리케이션이 아직 작업을 종료 하지 않
아 원격TCP가 자신의 종결 세그먼트를 생성하지 못하고 있는 상태임.
 
LAST-ACK
(FIN-WAIT-1의 설명과 같이) Finish flag 가 설정된 종결 세그먼트가 수신되
었고, 로컬 애플리케이션은 회선의 종결에 합의하여 자신도 종결을 요청함. 그 결과
로컬 TCP는 Finish flag 가 설정된 자신의 종결 세그먼트를 전송 하였으며, 이 세그먼
트에 대한 확인 메세지가 수신되면 종결됨.
 
CLOSING
이 상태는 흔하지 않으며, 일반적으로 세그먼트가 네트워크에서 분실되었다
는것을 나
타냄. 이런 경우 로컬 TCP는 (FIN-WAIT-1 의 설명과 같이) Finish flag 가
설정된 종결 세그먼트를 전송 하고 (LAST-ACK 의 설명과 같이) 원격 시스템의 종결
세그먼트도수신하였지만, FIN-WAIT-1 단계에서 전송한 세그먼트에 대한 확인 메세지
가 수신되지않은 상태임. 이 상태는 보통 확인 메세지가 전송 도중 분실되었다는 의미임.
 
TIME-WAIT
회선의 종결 절차가 완결되었으나 TCP 는 분실되었을지 모르는 느린 세그
먼트를 위해 당분간 소켓을 열어 놓은 상태로 유지. 이 상태는 새로운 연결이 기존의 연결
에서 사용된 일련번호를 다시 사용하는 것을 막음. 원격 시스템이 종결하는 호스트
로부터 더이상 데이터를 수신할 가능성이 없으므로, 이 상태는 능동적인 종결을 요청
한 호스트에서만 나타남.
 
CLOSED
아무일도 발생하지 않음. 회선은 종결되었고, TCP는 그 가상 회선에 사용하
였던 모든자원을 놓아줌. 이 상태를 보여줄 수 있는 가상 회선이 없으므로 아무 일도
발생하지 않음.

'OS > LINUX' 카테고리의 다른 글

뻘짓거리.. ㅡㅡ;  (0) 2004.12.16
[펌] [Apache] httpd.conf 환경설정  (0) 2004.12.08
[펌] FreeBSD설치 안내서  (0) 2004.11.11
[펌] Installing Oracle9i on FreeBSD  (0) 2004.11.11
[펌] FreeBSD 5.0 설치하기  (0) 2004.11.11
Posted by tornado
|

FreeBSD설치 안내서 입니다.

pdf포맷이고 한글이며 저작권에 관해서는 파일내를 참고하세요...

'OS > LINUX' 카테고리의 다른 글

[펌] [Apache] httpd.conf 환경설정  (0) 2004.12.08
[엠파스 펌] netstat 에서 state 설명  (0) 2004.12.02
[펌] Installing Oracle9i on FreeBSD  (0) 2004.11.11
[펌] FreeBSD 5.0 설치하기  (0) 2004.11.11
[펌]sendmail 인증 사용하기..  (0) 2004.11.05
Posted by tornado
|

Copy & Paste 가 제대로 안되서 그냥 pdf파일로 만듬


내가 FreeBSD를 설치를 하고 거기에 Oracle까지 설치를 하게 될줄은 몰랐음...


재미있긴했으나...


OS를 설치하는건 역시 노가다였음-_-

'OS > LINUX' 카테고리의 다른 글

[엠파스 펌] netstat 에서 state 설명  (0) 2004.12.02
[펌] FreeBSD설치 안내서  (0) 2004.11.11
[펌] FreeBSD 5.0 설치하기  (0) 2004.11.11
[펌]sendmail 인증 사용하기..  (0) 2004.11.05
[bbs.kldp.org에서 펌] 분할 압축하기...  (0) 2004.10.14
Posted by tornado
|

r1.2과 현재 버전의 차이점

FreeBSD(프비라고 부르겠다)는 분명 편리하고 강력한 OS 임에도 불구하고, 우리나라에는 많이 알려지지 않은 것이 사실이다. 그 이유에는 관련 자료나 번역 문서의 부족도 한 몫 할 것이다.
이 문서에서는 프비를 설치하는 과정을 설명한다. 각 과정마다 캡처를 해서 구성했기 때문에 이해하기 쉬울 것이다. 나는 프비 5.1 을 VMware 에 설치했다. 현재 최신 버전은 5.2 이지만, VMware 에서 원활히 설치가 안되는 관계로 5.1 로 설치했다. 비록 VMware 로 설치했지만, 일반 서버나 데스크탑에서와 거의 같을 것으로 생각한다.
이 문서에서는 프비를 설치하는 과정을 설명한다. 각 과정마다 캡처를 해서 구성했기 때문에 이해하기 쉬울 것이다. 나는 프비 5.1 을 vmware 에 설치했다. 현재 최신 버전은 5.2 이지만, vmware 에서 원활히 설치가 안되는 관계로 5.1 로 설치했다. 비록 vmware 로 설치했지만, 일반 서버나 데스크탑에서와 거의 같을 것으로 생각한다.
우선 프비를 다운로드 받아야 한다.

[ftp://ftp4.kr.freebsd.org/pub/FreeBSD/releases/i386/ISO-IMAGES/]
@@ -187,7 +187,7 @@

http://fat81.org/moniwiki/images/freebsd_install/39.GIF

나의 경우는 VMware를 사용해서 설치를 하고 있기 때문에 '29. VMWare guest OS (generic)' 을 선택했다. 예전에는 xfree86에서 VMware을 지원하지 않았기 때문에, 설치후에 vmware-tool 을 설치해서 따로 잡아주어야 했지만, xfree86 4.3.x 에서 부터는 공식적으로 지원하고 있다. 참 좋아졌다. ^^;
나의 경우는 vmware를 사용해서 설치를 하고 있기 때문에 '29. VMWare guest OS (generic)' 을 선택했다. 예전에는 xfree86에서 vmware을 지원하지 않았기 때문에, 설치후에 vmware-tool 을 설치해서 따로 잡아주어야 했지만, xfree86 4.3.x 에서 부터는 공식적으로 지원하고 있다. 참 좋아졌다. ^^;

http://fat81.org/moniwiki/images/freebsd_install/40.GIF



들어가기 전에 #

FreeBSD(프비라고 부르겠다)는 분명 편리하고 강력한 OS 임에도 불구하고, 우리나라에는 많이 알려지지 않은 것이 사실이다. 그 이유에는 관련 자료나 번역 문서의 부족도 한 몫 할 것이다.
이 문서에서는 프비를 설치하는 과정을 설명한다. 각 과정마다 캡처를 해서 구성했기 때문에 이해하기 쉬울 것이다. 나는 프비 5.1 을 vmware 에 설치했다. 현재 최신 버전은 5.2 이지만, vmware 에서 원활히 설치가 안되는 관계로 5.1 로 설치했다. 비록 vmware 로 설치했지만, 일반 서버나 데스크탑에서와 거의 같을 것으로 생각한다.
우선 프비를 다운로드 받아야 한다.


CD 설치를 할 것이므로 받은 파일을 CD로 굽도록 한다.

설치 하기 #

CD롬 부팅을 하면, 아래 그림이 뜬다. 이는 프비 5.x 들어서부터 생긴 부팅화면인데, 옆에 서있는 데몬(프비의 마스코드다)가 귀엽기만 하다 ^^;
총 7개의 메뉴가 있다. 간단히 설명을 하자면, 다음과 같다.

번호 설명
1 기본적인 부팅이다. 일반적으로 설치를 할때 선택한다.
2 ACPI 기능을 활성화 시켜서 부팅한다.
3 안전모드로 부팅한다.
4 싱글 모드로 부팅한다. 비상시에 사용한다.
5 verbose logging 모드로 부팅한다.
6 부트로더 프롬프트로 빠져나간다.
7 재부팅한다.

http://fat81.org/moniwiki/images/freebsd_install/1.GIF

앞에서 1 번을 선택하고 성공적으로 부팅하면 다음과 같이 설치 화면이 뜬다. 여기서도 각 메뉴에 따라서 설명하자면, 다음과 같다.

번호 설명
Standard 가장 기본적인 설치 방법이다.
Express 좀더 빠른 설치 방법이다. 전문가에게 권장
Custom 설치하고 싶은 것만 설치할 수 있는 방법이다. 역시 전문가에게 권장
Configure 설정을 추가하거나, 변경하고 싶을 때 선택한다.
Doc 설치 관련 문서를 볼 수 있다.
Keymap 키보트 타입을 설정한다.
Options 설치옵션을 보거나 설정할 수 있다.
Fixit 비상모드로 고칠때 선택한다.
Upgrade 소프트웨어를 업그레이드 할 때 선택한다.
Load Config 설치 설정 파일을 읽어 들인다.
Index 함수를 검색한다.

http://fat81.org/moniwiki/images/freebsd_install/2.GIF

위에서 'Standard' 를 선택하면 아래와 같이 FDISK 화면이 나온다. 여기서는 프비를 설치할 전체 파티션 하나만 정해주면 된다. 혹시나 리눅스에서 처럼 각 파티션을 지정주지 않아도 된다. 나중에 각각의 파티션을 지정하는 부분이 있다.

http://fat81.org/moniwiki/images/freebsd_install/3.GIF

프비를 설정할 전체 파티션을 정했으면, 그 파티션을 'Set Bootable' 로 설정해준다. 모든 설정이 끝났으면, 'Q' 를 눌러서 다음 단계로 넘어가자.

http://fat81.org/moniwiki/images/freebsd_install/4.GIF

부트로더 설정 화면이다. 여기서는 하드에 프비만 설치를 할 것이기 때문에 'Standard' 를 선택한다. 만일 동일 하드에 다른 파티션에 다른 OS 가 설치되어 있다면, '?BootMgr' 이나 'None' 을 선택한다.

http://fat81.org/moniwiki/images/freebsd_install/5.GIF

다음은 앞에서 설정해준 전체 파티션에서 각각의 세부적인 파티션으로 지정해주는 단계이다.

http://fat81.org/moniwiki/images/freebsd_install/6.GIF

파티션을 지정해 줄때 주의할 점이 있다. 리눅스와 같이 루트(/) 파티션과 스왑 파티션만으로 설치를 하게 되면, 다음에 부팅이 안된다는 점이다.
내가 삽질을 했던 부분인데, 나중에 알게된 사실이지만, 프비에서는 최소한 / , swap , /var , /usr 파티션으로 나눠주어야 한다.

http://fat81.org/moniwiki/images/freebsd_install/7.GIF

다음은 설치 유형을 지정해주는 부분이다. 여기서는 'All' 을 선택했다. 각자 자신에 목적에 맞게 선택하면 된다.

http://fat81.org/moniwiki/images/freebsd_install/8.GIF

설치할 매체를 지정해주는 부분이다. 보다시피 프비는 여러가지 설치매체를 지원한다. 앞에서 우리는 CD로 구웠기 때문에 'CD/DVD' 를 선택한다.

http://fat81.org/moniwiki/images/freebsd_install/9.GIF

프비 베이스 시스템이 설치되고 있는 모습이다.

http://fat81.org/moniwiki/images/freebsd_install/10.GIF

설치가 완료되면, 아래와 같이 설치가 성공했다는 축하 메세지가 뜬다. 아직 설치가 끝난 것이 아니다. 이제 시작에 불과하다.

http://fat81.org/moniwiki/images/freebsd_install/11.GIF

랜카드를 설정해주는 과정이다. 위와 같은 메세지가 뜨지 않았다면, 불행하지만, 프비에서 인식을 못했다는 얘기다. 왠만하면, 프비에서 지원하는 랜카드를 쓰기를 권장한다. 'Yes' 로 선택한다.

http://fat81.org/moniwiki/images/freebsd_install/12.GIF

아래 그림과 같이 맨 위에 잡힌 랜카드 종류와 장치명이 보일 것이다.

http://fat81.org/moniwiki/images/freebsd_install/13.GIF

각자 네트워크 환경에 맞게 설정을 해주면 된다. 유동 IP 라면, DHCP를 선택하면 되고, 고정 IP 라면, STATIC을 선택하면 된다.

http://fat81.org/moniwiki/images/freebsd_install/14.GIF

다음은 네트워크 게이트웨이 서버로 사용할 것인지를 묻는다. 여기서는 'No' 를 선택한다.

http://fat81.org/moniwiki/images/freebsd_install/15.GIF

다음은 inetd 서비스 데몬을 설정할 것인지를 묻는다.

http://fat81.org/moniwiki/images/freebsd_install/16.GIF

익명(anonymous)으로 FTP 서버에 접속이 가능하게 할 것인지를 묻는다.

http://fat81.org/moniwiki/images/freebsd_install/17.GIF

NFS(network file system)을 설정할 것인지를 묻는다.

http://fat81.org/moniwiki/images/freebsd_install/18.GIF

보안 레벨을 설정하는 부분이다. 프비는 보안설정을 상, 중, 하로 설정할 수가 있다. 따로 지정을 해주지 않으면 중간으로 선택이 된다.

http://fat81.org/moniwiki/images/freebsd_install/19.GIF

나의 경우 따로 지정을 해주지 않았기에 'Moderate' 에 대한 설정을 하고 있다. 센드메일(sendmail) 과 SSH 를 허용한다.

http://fat81.org/moniwiki/images/freebsd_install/20.GIF

시스템 콘솔을 설정할 수 있다. 나는 'No' 를 선택했다.

http://fat81.org/moniwiki/images/freebsd_install/21.GIF

시스템 시간을 세팅해주는 부분이다. 여기서는 'Yes' 를 선택했다.

http://fat81.org/moniwiki/images/freebsd_install/22.GIF

시간을 CMOS 에 지정되어 있는 설정으로 사용할 것인지 아니면, 따로 설정을 해줄 것인지를 지정한다. 여기서는 'No' 를 선택했다.

http://fat81.org/moniwiki/images/freebsd_install/23.GIF

여기서는 현재 살고 있는 지역을 선택해주면 된다. 시스템 시간대를 맞추기 위한 설정이다.

http://fat81.org/moniwiki/images/freebsd_install/24.GIF

프비에서 리눅스 애플리케이션을 실행시킬 수 있도록 하게 하는 라이브러리를 설치하겠는지를 묻는다. 여기서는 'Yes' 를 선택했다.

http://fat81.org/moniwiki/images/freebsd_install/25.GIF

다음은 마우스 설정이다. X window 를 사용한다면, 반드시 있어야 한다. 마우스가 있다면, 'Yes' 를 선택한다.

http://fat81.org/moniwiki/images/freebsd_install/26.GIF

마우스의 종류나 타입(type)를 정해주는 곳이다. 2 번(Enable)을 선택해서 마우스 포인터가 제대로 나오는지, 잘 움직이는 지를 확인한다.

http://fat81.org/moniwiki/images/freebsd_install/27.GIF

X server 를 설치 여부를 묻는다. 여기서는 'Yes' 를 선택했다.

http://fat81.org/moniwiki/images/freebsd_install/28.GIF

X server 를 설치하기 위해 설정을 해주어야 한다. 모두 X server 설정을 위한 도구지만, 각각 설정하는 방법들이 다르다. 나는 4번(xf86config)을 선택했다.

http://fat81.org/moniwiki/images/freebsd_install/29.GIF

현재 마우스 데몬이 실행되고 있고, '/dev/sysmouse' 로 선택해주면 된다.

http://fat81.org/moniwiki/images/freebsd_install/30.GIF

본격적인 xf86config 프로그램이 실행되었다. 'Enter' 입력해서 다음 단계로 넘어간다.

http://fat81.org/moniwiki/images/freebsd_install/31.GIF

마우스 설정이다. 여기서는 '1. Auto' 선택한다.

http://fat81.org/moniwiki/images/freebsd_install/32.GIF

에뮬레이션 3버튼을 사용할 것인가 여부를 묻는 과정이다. 여기서는 'y' 를 선택했다.

http://fat81.org/moniwiki/images/freebsd_install/33.GIF

마우스 장치를 지정해주는 부분이다. 앞에서 것과 같이 그냥 'Enter' 치고 넘어가면 기본적으로 '/dev/sysmouse' 로 설정된다.

http://fat81.org/moniwiki/images/freebsd_install/34.GIF

키보드 설정이다. '1. Generic 101-key PC' 선택한다.

http://fat81.org/moniwiki/images/freebsd_install/35.GIF

키보드 언어를 설정하는 부분이다. 'Korean' 이 없으므로, '1. U.S. English' 을 선택한다.

http://fat81.org/moniwiki/images/freebsd_install/36.GIF

모니터 설정이다. 정확히 현재 모니터의 해상도를 모른다면, 가장 근접한 값을 선택하면 된다. 하지만 개인적으로 모니터 메뉴얼을 보고 정확한 값을 입력하는 방법을 권장한다.

http://fat81.org/moniwiki/images/freebsd_install/37.GIF

수평 해상도를 설정하는 부분이다.

http://fat81.org/moniwiki/images/freebsd_install/38.GIF

그래픽 카드를 설정하는 부분이다. 자신의 그래픽카드의 정보를 정확히 알고 있다면, 굳이 xfree86 이 지원하는 그래픽 카드 목록을 안봐도 되겠지만 보는 것을 강력 추천한다.

http://fat81.org/moniwiki/images/freebsd_install/39.GIF

나의 경우는 vmware를 사용해서 설치를 하고 있기 때문에 '29. ?VMWare guest OS (generic)' 을 선택했다. 예전에는 xfree86에서 vmware을 지원하지 않았기 때문에, 설치후에 vmware-tool 을 설치해서 따로 잡아주어야 했지만, xfree86 4.3.x 에서 부터는 공식적으로 지원하고 있다. 참 좋아졌다. ^^;

http://fat81.org/moniwiki/images/freebsd_install/40.GIF

그래픽 카드 메모리를 지정해준다.

http://fat81.org/moniwiki/images/freebsd_install/42.GIF

해상도를 설정한다.

http://fat81.org/moniwiki/images/freebsd_install/43.GIF

가상(virtual) 화면이 물리(physical) 화면보다 클때 사용할 것이지를 물어본다. 여기서는 'y' 선택했다.

http://fat81.org/moniwiki/images/freebsd_install/44.GIF

색상의 수를 설정한다.

http://fat81.org/moniwiki/images/freebsd_install/45.GIF

이제 모든 X 설정이 끝났다. /etc/X11?/XF86Config 파일에 설정 내용을 저장할 것이지를 묻는다.

http://fat81.org/moniwiki/images/freebsd_install/46.GIF

X Manager 를 선택할 차례다. 프비는 많은 X Manager 를 지원하고 있다. 여기서는 'GNOME 2' 선택했다.

http://fat81.org/moniwiki/images/freebsd_install/47.GIF

여기서는 패키지를 선택해서 설치하는 과정이다. 보면 알겠지만, 프비가 지원하는 애플리케이션 엄청나게 많은 것을 알 수 있다. 필요한 것만 체크해서 설치하면 된다.

http://fat81.org/moniwiki/images/freebsd_install/48.GIF

일반 계정 유저를 만들기를 권하고 있다. root 로 로그인해도 되지만, 이것은 매우 위험하다.

http://fat81.org/moniwiki/images/freebsd_install/49.GIF

마지막으로 위에서의 과정에서 설정을 수정한다거나, 제거한다거나, 추가할 것이 있으면, 'Yes' 를 선택한다.

http://fat81.org/moniwiki/images/freebsd_install/50.GIF

이렇게 해서 길고긴(?) 프비 설치를 모두 마쳤다. 재부팅을 하고 나면, 프비 5.1 이 여러분을 맞이할 것이다.

'OS > LINUX' 카테고리의 다른 글

[펌] FreeBSD설치 안내서  (0) 2004.11.11
[펌] Installing Oracle9i on FreeBSD  (0) 2004.11.11
[펌]sendmail 인증 사용하기..  (0) 2004.11.05
[bbs.kldp.org에서 펌] 분할 압축하기...  (0) 2004.10.14
[펌] SNMP개요및 설치,운용  (0) 2004.08.21
Posted by tornado
|

엠파스 블로그에서 펌~~



/etc/mail/sendmail.mc 에서 아래 부분을 수정한다.

# vi /etc/mail/sendmail.mc

127.0.0.1 부분을 찾아 삭제
TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')
위 두줄앞에 있는 dnl 을 삭제

# m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
# /etc/rc.d/init.d/sendmail restart

설정이 완료된 순간부터 access.db 의 내용은 무시되며
서버 로그인 정보를 이용하여 메일 보내기가 가능해진다.

아웃룩 설정부분에서 아래부분을 체크한다.

'계정속성 -> 서버' 아래쪽에 있는 '보내는 메일 서버' 의 '인증필요' 부분을 체크.

'OS > LINUX' 카테고리의 다른 글

[펌] Installing Oracle9i on FreeBSD  (0) 2004.11.11
[펌] FreeBSD 5.0 설치하기  (0) 2004.11.11
[bbs.kldp.org에서 펌] 분할 압축하기...  (0) 2004.10.14
[펌] SNMP개요및 설치,운용  (0) 2004.08.21
한글 putty  (0) 2004.08.13
Posted by tornado
|
see2002
novice
novice


가입: 2003년 2월 11일
올린 글: 74

올리기시간: 2003년8월27일 8:41    주제: 인용과 함께 답변

저의 경우, split을 사용해서 분할합니다.

< 분할압축(650메가단위)예 >
코드:
tar -cvzf filename.tar.gz
split -b 650m filename.tar.gz filename.tar.gz_

< 압축해제 >
코드:
cat filename.tar.gz_* | tar -xvzf -

'OS > LINUX' 카테고리의 다른 글

[펌] FreeBSD 5.0 설치하기  (0) 2004.11.11
[펌]sendmail 인증 사용하기..  (0) 2004.11.05
[펌] SNMP개요및 설치,운용  (0) 2004.08.21
한글 putty  (0) 2004.08.13
[펌] temp..정리하기전..  (0) 2004.08.11
Posted by tornado
|
SNMP개요및 설치,운용
Posted on 2003/4/23
Topic:
네트웍 프로그래밍
article_SNMP_개요위키 홈으로

SNMP

윤 상배

dreamyun@yahoo.co.kr

교정 과정
교정 0.8 2003년 4월 20일 21시
최초 문서작성


1절. 소개

개인적으로 최근들어 SNMP에 관심을 가지게 되었다. (실은 상당히 오래되었지만) 그래서 앞으로 몇부? 에 걸쳐서 SNMP관련 강좌를 개설하고자 한다. 강좌는 SNMP개요및 설치운용에서 부터 시작해서 프로그래밍을 통해서 SNMP응용 애플리케이션을 제작하고, 확장 MIB(뒤에 설명한다)를 작성하는 것 까지를 다룰것이다.

이번글은 그중 첫번째 글로 SNMP개요와 설치및 운용에 대한 글이다. 설치및 운용은 실제 어떻게 작동되는지 눈으로 확인하는 차원의 수준에서 이루어질 것이며, 설치되는 snmp애플리케이션의 상세설치와 높은 수준에서의 운용에 대해서는 언급하지 않을것이다. 이러한 것들은 (필요할경우)해당 snmp애플리케이션의 메뉴얼을 참고해서 개인적으로 학습해야만 할것이다.

여기에서 얻은 지식은 나중에 SNMP애플리케이션을 제작하는 밑거름이 될것이다.


2절. SNMP개요

2.1절. SNMP란 무엇인가

SNMP는 Simple Network Management Protocol의 약자이다. 해석을 해보자면 간단한 네트워크관리를 위한 규약 인데, 말그대로 SNMP는 네트워크관리를 위한 용도로 사용되는 프로토콜이다. 가장 앞에 Simple라는 단어가 붙어있는데, 진짜로 간단한 프로토콜인지 아닌지는 사람에 따라 약간씩 차이가 있을수 있다. 필자가 보기엔 그리 복잡한 프로토콜은 아닌것 같은데, 어떤 사람들은 매우 복잡한 프로토콜 이라고 말하는 사람들도 있다.

그럼 먼저 SNMP가 나타난 배경에 대해서 알아보도록 하겠다. SNMP가 쓰이기 전에 일반적으로 사용되는 네트워크 관리는 ICMP에 의존했었다. ICMP는 Network계층의 프로토콜로써, 운영체제에 관계없이 사용할수 있는 간단한 프로토콜이였다. 이 프로토콜을 이용해서 우리는 네트워크로 연결된 각각의 호스트가 작동하고 있는지, 작동한다면 어느정도의 응답시간을 가지고 작동하는지 등의 간단한 정보를 얻을수 있었으며, 초기에는 이정도로도 필요한 네트워크 관리가 가능했었다. ICMP를 이용한 가장 유용한 도구는 아마도 ping 프로그램일 것이다.

그러나 인터넷의 사용이 보편화되고 네트워크에 연결된 호스트의 수가 증가하자 거기에 따라서 네트워크 구성역시 복잡해지고, ICMP만을 가지고는 이러한 네트워크의 관리를 효율적으로 할수 없게 되었다.

그래서 몇가지 프로토콜에 대한 연구가 진행되었고, SGMP, HIMS, CMIP/CMIS등이 제안되게 되었다. 이중에서 SGMP를 발전시킨 SNMP가 사실상 네트워크 관리를 위한 표준적인 프로토콜로 자리잡게 되었다. 다른 프로토콜들이 사용되지 않은데에는 몇가지 이유가 있었다. CMIP/CMIS는 너무 방대하고 너무 복잡했으며, HEMS의 경우에는 실제 적용사례가 적었기 때문이다.

어쨋든 SNMP는 거의 대부분의 운영체제에서 사용되어 지고 있다. 여러분이 사용하는 Linux, 그밖의 대부분의 유닉스와, 윈도우계열 운영체제는 기본적으로 SNMP프로토콜을 사용하는 도구들을 제공하고 있다. 그외에도 router등 TCP/IP를 네트워크 프로토콜로 사용되는 운영체제들 역시 SNMP는 필수적으로 제공하고 있다.


2.2절. SNMP로 할수 있는 것들

SNMP를 이용해서 할수 있는 것들은 다음과 같다.

네트워크 구성관리

네트워크상의 호스트들이 어떤 구조를 이루고 있는지 지도를 그리는게 가능하다.

성능관리

각 네트워크 세그먼트간 네트워크 사용량, 에러량, 처리속도, 응답시간 등 성능 분석에 필요한 통계정보를 얻어낼수 있다.

장비관리

SNMP의 주목적이 네트워크관리관리 이기는 하지만 SNMP특유의 유연한 확장성을 이용하여서 시스템정보(CPU, MEMORY, DISK 사용량)의 정보를 얻어올 수 있도록 많은 부분이 확장되었다. 이 정보는 네트워크문제를 해결하는데 큰도움을 준다. 예를들어 특정 세그먼트의 네트워크 사용량이 갑자기 급증했는데, 특정 호스트의 CPU사용율까지 갑자기 증가했다면, 우리는 해당 호스트에서 문제가 발생했을것이란걸 유추해낼수 있을것이다.

보안관리

정보의 제어 및 보호 기능, 최근버젼인 SNMP3는 특히 정보보호를 위한 기능이 향상되었다.


2.3절. SNMP를 통한 망의 구성

SMTP는 인터넷상에서 메시지를 교환하기 위한 프로토콜로 사용되며, 주로 전자메일 교환을 위해서 사용되는 프로토콜이다. 그러나 SMTP는 어디까지나 프로토콜일 뿐이며, 실제 메시지를 인터넷상에서 주고 받기 위해서는 SMTP프로토콜을 사용하는 SMTP서버(Sendmail같은)와 SMTP클라이언트(mutt, pine같은)가 준비되어 있어야만 한다.

SNMP역시 그자체로는 프로토콜일 뿐이며 SNMP프로토콜을 활용해서 실제 네트워크 관리 정보를 얻어오기 위해서는 응용 애플리케이션이 준비되어있어야만 한다. 보통의 네트워크프로토콜을 사용하는 애플리케이션이 서버/클라이언트 모델로 구성되듯이 SNMP역시 서버와 클라이언트로 구성된다.

그림 1. SNMP망 관리 시스템

일반적으로 SNMP망 에서는 서버/클라이언트라고 부르지 않고 snmp manager/snmp agent라고 부른다. snmp agent는 관리대상이 되는 시스템에 설치되어서 필요한 정보(네트워크 혹은 시스템)를 수집하기 위한 snmp 모듈(혹은 애플리케이션) 이며, snmp manager은 snmp agent가 설치된 시스템에 필요한 정보를 요청하는 snmp 모듈이다. snmp agent는 서버, snmp manager은 클라이언트로 생각하면 이해하기가 좀더 수월할 것이다(그러나 반드시 agent가 서버, manager이 클라이언트가 되는건 아니다. 그냥 개념적으로 이해만 하고 있도록 하자).

2.4절. MIB에 대해서

SNMP는 네트워크를 관리하기 위한 프로토콜이다. 그렇다면 무엇을 관리할 것인가(관리객체)를 결정해야 할것이다. 관리객체를 결정했다면, 이러한 관리객체를 효과적으로 관리하기 위해서 이를 분류해야 할것이다. 이게 바로 MIB이다.

MIB는 Man In Black의 줄임말이 아니다. Management Information Base의 줄임말인데, 관리되어야할 자원 객체의 분류된 정보를 말한다. 관리되어야할 객체는 시스템정보, 네트워크사용량, 네트워크 인터페이스정보 등이 된다.

이 MIB객체들은 관리하기 편하도록 Tree구조를 가지게 된다. 다음은 MIB의 일반적인 구조이다.

그림 2. MIB계층 구조

MIB는 위에서 처럼 계층적인(디렉토리) 구조를 가지게 된다(위의 그림은 MIB를 설명하기 위해 일부만을 표시하고 있다). 예를들어서 agent가 설치되어 있는 시스템으로 부터 시스템부가정보(sysDescr)를 얻어오길 원한다면 ISO.org.dod.internet.mgmt.mib-2.system.sysDescr과 같은 식으로 manger에서 데이타를 요청하면 된다.

위의 MIB계층 구조를 보면 각 MIB옆에 숫자가 있는것을 볼수 있다. 이 숫자가 OID번호이다. 즉 sysDescr의 OID값은 1.3.6.1.1.2.1.1.1 이 될것이다. OID번호를 이용하는 이유는 MIB고유 문자열을 통해서 원하는 데이타를 가져오기위해서는 아무래도 요청이 길어질수가 있기 때문이다.

MIB는 IANA(Internet Assigned Number Authority)라는 단체에서 관리하며 표준적으로 사용되고 있다. 그럼으로 표준적인 MIB구현을 위해서는 IANA에서 OID를 부여받아야만 한다. 그래야 전체네트워크상에서 다른 여러가지 MIB와 중복되지 않고 사용이 가능할것이다.

작은 정보: cisco과 같은 대중적인(거의 표준이나 마찬가지인) 제품들은 모두 자체적인 MIB를 구현해서 IANA에 등록하여 사용하고 있다. 여러분이 cisco 라우터등의 SNMP정보를 접근할수 있다면 cisco MIB가 등록되어 있음을 확인할수 있을것이다. 확인하는 방법은 다음 강좌에서 따로 언급하도록 하겠다.

MIB는 계층적 구조를 가짐으로 필요에 따라서 확장해서 사용이 가능하며, (물론 프로그래밍 능력이 있어야 하지만)때에 따라서는 자체 회사내에서만 사용가능하거나 제한된 네트워크 영역의 네트워크상황을 관제하는 제품을 위한 MIB를 추가해야 하는경우가 생길수 있을것이다. 그래서 사설로 MIB를 만들어서 사용할수 있는 여지를 남겨두었다. (마치 독립된 지역네트워크를 위해 사설IP를 사용하는 것처럼) 이러한 사설 MIB는 private(4)의 enterprises(1)에 정의해서 사용할수 있다. 여러분이 그리 대중적이지 않은 그래서 IANA에 등록되지 않은 어떤 장비의 고유 SNMP정보를 얻어오고 싶다면 업체에 문의하거나, 메뉴얼을 확인하는 정도로 쉽게 SNMP정보를 얻어올수 있다.

현재 MIB는 버젼 2까지나와 있으며, 버젼의 구분을 위해서 MIB-1, MIB-2로 부르고 있다. MIB-2는 MIB-1의 확장판으로 MIB-1의 모든 객체를 포함하여 약 171개의 객체들을 더 포함하고 있다. 최근의 제품들은 대부분 MIB-2를 지원하고 있다. 물론 위에서 말했듯이 독자적인 MIB를 만들어서 사용할수 있으며, 이를 확장 MIB라고 부른다.


2.5절. SNMP 프로토콜의 동작과 구성

현재 SNMP는 버전 3가지 나와있는 상태이지만 아직까지는 버젼2가 가장 널리 사용 되고 있다. 필자역시 SNMP 버젼 2에 대한 경험이 많은 관계로 버젼2를 기준으로 설명하도록 하겠다.

SNMP는 기본적으로 네트워크 정보를 수집하는데 그 목적이 있는데, 수집하는 몇가지 각각 다른 방법이 있다. 일반적으로 생각해서 우리가 생활중에 얻게 되는 정보는 우리가 요구해서 발생하는 정보와(신문을 구입한다든지, 인터넷으로 서핑을 하는등) 뉴스속보와 같은 형식으로 중요한 일이 있을때 발생하는 정보가 있을것이다. 또한 단지 정보를 얻는데 그치지 않고 정보를 입력하기도 한다.

SNMP정보수집역시 기본적으로 위의 일상생활에서의 정보수집과 같은 방식으로 이루어진다. 이하 snmp manager은 manager로 snmp agent는 agent로 부르도록 한다.

GET

manager에서 agent로 특정 정보를 요청하기 위해서 사용한다.

GET NEXT

기본적으로는 GET과 같은일을 한다. 그러나 SNMP에서 각정보들은 계층적 구조로 관리된다. 위의 MIB계층 구조를 나타낸 이미지에서 우리는 system(1)계층밑에 있는 모든 정보를 가져오고 싶을 때가 있을것이다. 그럴경우 GET NEXT를 사용할수 있다.

SET

manager에서 agent로 특정 값을 설정하기 위해서 사용한다.

TRAP

agent에서 통보해야될 어떤 정보가 발생했을때(임계치를 넘는네트워크자원 사용등) manager에게 해당 상황을 알리기 위해서 사용한다. 위의 다른 요청들이 동기적 요청이라면 이것은 비동기적 사건을 알리기 위해서 사용되어진다.

SNMP프로토콜은 기본적으로 어떤 정보를 요청하는 메시지와 이에 대한 응답메시지로 이루어지며 다음과 같은 구조를 가지고 있다.

표 1. SNMP 메시지

Version Community name SNMP PDU
Version은 말이 필요없다. SNMP프로토콜의 버젼번호를 나타낸다. Community name은 메니저와 에이전트간의 관계를 나타내는데, 인증, 접근통제등의 목적으로 사용된다. 보통은 간단하게 public을 사용한다. PDU 는 Physical Data Unit의 줄임말인데, 실제 전송되는 필요한 정보들을 담고 있는 Unit이다. Unit 이라고 하는 이유는 실제 전송되는 정보들의 부가 속성을 나타내기 위한 몇가지 값들을 포함하고 있기 때문이다. PDU는 PDU 타입(GET인지 Set인지 GET Next인지, TRAP인지등)과, Request-id, 실제보내고자 하는 데이타등(OID와 OID에 대한 값들)으로 구성되어 있다.

SNMP를 통해서 전달되는 메시지들은 기본적으로 UDP를 이용하게 된다. 바로위에서 PDU는 Request-id를 포함하고 있다고 했는데, 데이타그램처리방식인 UDP의 단점을 극복하기 위해서 사용되는 값으로, 각 메시지의 요청번호를 표시한다. 그래야만 수신된 SNMP메시지가 어떤 요청에 대해서 수신된 메시지인지 확인이 가능할것이기 때문이다.


3절. SNMP 설치 및 운용

그럼 실제로 시스템에 SNMP(agent와 manager 애플리케이션)을 설치해서 정보를 가져오는걸 간단히 테스트 해보도록 하겠다.

설치는 Linux(Kernel-2.4.x)에서 ucd-snmp로 할것이다. 위에서 설명했듯이, SNMP는 manager과 agent로 운영되게 되는데, 테스트의 편의를 위해서 하나의 시스템(localhost)에서 manager와 agent를 운용하도록 하겠다.


3.1절. ucd-snmp 설치

ucd-snmp는 net-snmp.sourceforge.net에서 얻을수 있으며 애플리케이션 관련 정보들도 얻을수 있다. ucd-snmp는 현재 버젼 5.x대까지 진행되어 있는데, 5.x부터는 net-snmp로 이름을 바꾸고 개발되어지고 있으며, 4.x버젼까지를 ucd-snmp라고 부르고 있다. 필자는 익숙한 ucd-snmp(버젼 4.x)를 설치하도록 할것이다. 비록 net-snmp가 최신이긴 하지만 별로 다루어본적이 없고, 대부분의 경우 아직까지는 ucd-snmp가 많이 사용되어지고 있기 때문이다. 최신이 아니라고 불만을 가질 필요는 없다. 근본적으로 net-snmp와 ucd-snmp간의 차이는 없으며, 우리의 목적은 최신의 snmp애플리케이션을 테스트하는게 아닌 snmp의 기능과 원리를 이해하고 이를 이용해서 필요한 응용 애플리케이션을 작성하는 것이기 때문이다.

위의 URL에서 ucd-snmp를 다운받아서 압축을 풀고 컴파일 하도록 하자. 컴파일 하는중에는 아마도 아무런 문제가 없을것이다. 컴파일은 매우 일반적인 방법을 따른다. 적당한 디렉토리에 압축을 풀고 ./configure, make, make install 하면된다.

	[root@localhost src]# tar -xvzf ucd-snmp-4.2.6.tar.gz [root@localhost src]# cd ucd-snmp-4.2.6 [root@localhost ucd-snmp-4.2.6]# ./configure  [root@localhost ucd-snmp-4.2.6]# make [root@localhost ucd-snmp-4.2.6]# make install			
헤에... 너무 간단하지 않은가 ?


3.2절. SNMP AGENT 실행

make install 까지 했다면 agent와 manager프로그램이 모두 설치되어 있을 것이다. 그리고 여기에 더불어 개발자를 위한 각종 라이브러리와 헤더파일들도 설치된다. 이 라이브러리와 헤더파일들은 개발할때 필요하며 다음 강좌에서 다루게 될것이다.

ucd-snmp는 agent 프로그램으로 snmpd를 제공한다. agent환경을 제대로 만들려면 복잡해보이는(사실은 그리 복잡하다고 볼수없는) 설정파일을 만들어줘야 하지만 이것은 각자의 몫이다. net-snmp프로젝트 홈페이지에서 제공하는 메뉴얼을 참고하기 바란다. 어쨋든 현재로써는 단지 snmpd를 띄우는 정도로 snmp agent환경을 만들수 있다.

[root@localhost root]# snmpd			
이것으로 snmp를 테스트할 최소한의 agent환경이 구축되었다.


3.3절. SNMP MANAGER 테스트

3.3.1절. 동기적인 데이타 요청 - snmp get, get next

GETGET NEXT는 동기적인 정보요청을 위해서 사용한다. manager에서 agent에 대해서 정보를 요청했을때 해당 정보를 agent에서 보내주는 방식이다. GET은 단일정보요청을 위해서 사용하며, GET NEXT는 해당 계층의 하위에 있는 모든 정보의 요청을 위해서 사용된다.

ucd-snmp는 이러한 정보요청을 위한 manager프로그램으로 snmpgetsnmpnext, snmpwalk를 제공한다.

snmpget은 이름에서 알수 있듯이 agent로부터 특정한 정보를 얻어내기 위해서 사용한다. 정보를 얻기 위해 필요한 기본정보는 agent가 설치되어 있는 서버의 주소(혹은 이름) 와 커뮤니티(권한을 위한)이름 그리고 얻기 원하는 정보의 OID번호 혹은 MIB의 계층이름이다. 예를들어서 localhost로부터 public권한을 가지고 sysDescr(시스템 부가정보)정보를 얻어오고 싶다면 아래와 같이 하면 된다.

 [root@localhost /root]# snmpget localhost public system.sysDescr.0system.sysDescr.0 = Linux localhost 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686				
혹은 MIB이름대신에 OID번호를 사용해도 된다.
 [root@localhost /root]# snmpget localhost public 1.1.0 system.sysDescr.0 = Linux localhost 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686				

snmpwalk는 해당 MIB의 하위계층에 있는 모든 정보를 요청한다. 예를들어 system MIB의 하위 계층에 있는 모든 OID에 대한 정보를 요청하길 원한다면 아래와 같이 하면된다. 이게 가능한 이유는 snmpwalk가 정보를 요청하기 위해서 snmp메시지를 만들때 PDU타입을 GET NEXT를 사용하기 때문이다. 나중에 직접구현하게 될것이다. 지금은 구현에 신경쓰지 말자.

[root@localhost /root]# snmpwalk localhost public systemsystem.sysDescr.0 = Linux localhost 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686system.sysObjectID.0 = OID: enterprises.ucdavis.ucdSnmpAgent.linuxsystem.sysUpTime.0 = Timeticks: (2685699) 7:27:36.99system.sysContact.0 = yundream@joinc.co.krsystem.sysName.0 = localhostsystem.sysLocation.0 = myhome system.sysORLastChange.0 = Timeticks: (0) 0:00:00.00....				
system하위의 모든 OID에 대한 정보를 얻어오고 있음을 확인할수 있다.

snmpgetnext는 snmpwalk의 기능 축소판정도로 볼수 있을것이다. 즉 MIB계층구조에서 현재 요청한 OID의 다음 OID의 정보를 가져온다. 예르들어 system.sysDescr.0에 대한 정보를 요청하면 다음 OID인 system.sysObjectID.0의 정보를 요청하게 될것이다. 이게 가능한 이유는 snmpwalk와 마찬가지로 내부적으로 GET NEXT를 이용하고 있기 때문이다. snmpwalk가 더이상 얻을수 없을때까지 OID를 요청하는것과 달리 snmpgetnext 바로다음의 OID만을 요청한다.

 [root@localhost /root]# snmpgetnext localhost public system system.sysDescr.0system.sysDescr.0 = Linux localhost 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686system.sysObjectID.0 = OID: enterprises.ucdavis.ucdSnmpAgent.linux				


3.3.2절. 비동기적인 데이타 요청 - snmp trap

기본적으로 GET, GET NEXT를 통한 데이타요청은 일정한 polling시간을 가지고 manager에서 agent로 필요한 정보를 요청하는 방식이다. 그러나 이걸 이용해서는 비동기적으로 발생하는 정보를 수집할수가 없다.

이러한 비동기적인 정보는 여러가지가 될수 있다. 예를들면 특정 네트워크 세그먼트에 문제가 생겼다거나 디스크나 메모리용량을 과다하게 사용하고 있다거나(많은 운영체제의 경우 시스템정보까지도 snmp를 통해서 얻을수 있도록 허용하고 있다)하는 사건들은 비동기적으로 발생할것이다. 이럴경우에는 agent에서 manager측으로 사건을 통보해야 할것이다. 이렇게 agent에서 manager측으로 비동기적으로 사건을 통보하는 것을 SNMP TRAP라고 한다(간단히 말해서 경고메시지 보내는거다).

ucd-snmp에서는 이러한 trap정보를 전송하고 받기 위해서 snmptrapdsnmptrap를 제공한다. snmptrapd는 agent에 제공되는 데몬프로그램으로 manager에서의 trap데이타 발생을 기다린다. snmptrap는 agent에 설치되어서 사용될수 있으며 trap데이타를 manager로 전송하는 일을한다.

이 snmptrap은 꽤 유용하게 사용할수 있다. 간단하게 스크립트로 만들어서 어떤 파일이 변조되었을경우 trap정보를 manager쪽으로 발생시킨다거나, 프로세스 갯수가 일정갯수 이상 초과했을때 이를 전송한다든지 하는 기능을 비교적 간단하게 추가시킬수 있을것이다.

다음은 ucd-snmp에서 제공하는 trap애플리케이션을 이용한 간단한 테스트이다. 먼저 snmptrapd를 manager측에서 실행시켜야 한다. 이 애플리케이션은 옵션없이 실행할경우 데몬모드로 실행되며 표준출력을 시키지 않음으로 다음과 같이 옵션을 주고 실행시켜서 일반모드(forground)에서 받은 trap정보를 표준출력하도록 실행시키도록 하자.

[root@localhost root]# snmptrapd -f -P2003-04-23 00:13:34 UCD-snmp version 4.2.6 Started.				
이제 agent측에서 snmptrap를 이용해서 trap정보를 manager로 전송해보도록 하자.
[root@localhost root]# snmptrap -v 2c -c public localhost "" ucdStart sysContact.0 s "yundream"				
그러면 manager로 system.sysContact.0="yundream" 과 같은 정보가 전달되는걸 확인할수 있을것이다.

이들 ucd-snmp에서 제공하는 애플리케이션들의 자세한 사용법은 메뉴얼 페이지를 참고하기 바란다.


4절. 결론

이상 SNMP의 개념과 개념의 이해를 위해서 실제 사용되는 snmp애플리케이션을 설치해서 간단히 운영테스트까지 해보았다. 이러한 운영테스트를 위해서 ucd-snmp를 사용했는데, 다음 강좌는 ucd-snmp에서 제공하는 snmplib를 통해서 snmp애플리케이션을 만드는 법을 다루도록 하겠다.

'OS > LINUX' 카테고리의 다른 글

[펌]sendmail 인증 사용하기..  (0) 2004.11.05
[bbs.kldp.org에서 펌] 분할 압축하기...  (0) 2004.10.14
한글 putty  (0) 2004.08.13
[펌] temp..정리하기전..  (0) 2004.08.11
[펌] 20만통 메일과 sendmail  (0) 2004.07.09
Posted by tornado
|

한글 putty

OS/LINUX 2004. 8. 13. 12:02

한글 putty~~~

 

 

 

 

'OS > LINUX' 카테고리의 다른 글

[bbs.kldp.org에서 펌] 분할 압축하기...  (0) 2004.10.14
[펌] SNMP개요및 설치,운용  (0) 2004.08.21
[펌] temp..정리하기전..  (0) 2004.08.11
[펌] 20만통 메일과 sendmail  (0) 2004.07.09
[허접] 내부 IP MSN 차단 .... ㅡㅡ  (0) 2004.07.07
Posted by tornado
|

DMZ (DeMilitarized Zone)

 

외부에서 엑세스가능한 서버들의 네트웍을 할당해 놓은 곳

 

방화벽의 종류중에, Screened subnets 라는 종류에서
앞뒤로 방화벽을 설치해 놓고, 중간에 서버를 가져다 놓는데,

이 부분을 DMZ 라고 부른다.

 

더 자세한 것은 방화벽을 찾아보면 자세히 나와있습니다.

 

컴퓨터 네트웍에서, DMZ란 회사의 사설 네트웍과 외부의 공중 네트웍 사이에, 중립 지역으로서 삽입된 컴퓨터 호스트, 또는 소형 네트웍을 말한다. 이것은 외부의 사용자들이 회사의 중요 데이터를 가지고 있는 서버에 직접 접속하는 것을 방지한다 (이 용어는 1950년 초 한국전쟁 후 남북한 사이에 조성된 지리적 완충지역을 부르는 말로부터 유래되었다). DMZ를 두는 것은 선택 사항이지만, 방화벽 보다 더 안전한 방법이며, 게다가 프록시 서버로서의 역할도 효과적으로 수행한다.

 

소규모 회사를 위한 대표적인 DMZ 구성에서, 별도의 호스트 컴퓨터가 사설 네트웍 내의 사용자들로부터 웹사이트 또는 공중 네트웍 상의 다른 회사 컴퓨터의 접속에 관한 요청을 받는다. 그리고 나서 DMZ 호스트는 공중 네트웍에 관한 이러한 요청을 위해 세션을 개시한다. 그러나, DMZ 호스트는 사설 네트웍 내로 들어오는 세션은 개시할 수 없다. DMZ 호스트는 오직 요청된 패킷들을 내부로 전달하는 것만이 가능하다.

 

회사 외부의 공중네트웍의 사용자들은 오직 DMZ 호스트만을 액세스할 수 있다. DMZ 호스트에는 일반적으로 외부 세계에 서비스할 수 있도록 회사의 웹페이지를 가지고 있을 수 있지만, 그 외 회사의 어떠한 다른 데이터도 제공하지 않는다. 그러므로, 만약 외부의 사용자가 DMZ 호스트의 보안을 뚫고 침입한 경우, 웹페이지는 훼손될 수 있지만, 그 외 회사의 다른 어떠한 정보도 노출되지 않는다. 라우터 제작으로 유명한 시스코에서, DMZ를 설정하기 위한 제품을 판매하고 있다.

 

----------------------------------------------------------------------------------------

보안에서 DMZ란 우리나라에 있는 비무장지대와 같습니다.

말그대로 무장을 하지 않는 다는 것이죠.
그렇다면 왜 무장을 하지 않는가?

그 이유는
주로 DMZ는 방화벽과 연관해서 사용이 되어지는데
기본적으로 방화벽은 네트웍을 보호하는 하드웨어나 소프트웨어입니다.
즉 방화벽은 불법적인 침입에 대하여 필터링을 하는 놈이라고 생각하시면 되겠죠?

그러면 DMZ 를 왜 구성하는가?

그 이유는 바로 서비스에 있습니다.
여러분의 회사나 학교의 네트웍에는 외부로 노출되어야 할 서버나 PC들이 있습니다.
예를 들어 웹서버나 홈페이지 서버, 기타 로긴 서버나 인터넷에서 자신의 네트웍의 서버자원
을 사용해야 하는 서버들이 있겠지요.

그러면 이 서버들을 방화벽 아래에 두게 되면 어쩔수 없이 사용하는 포트를 열어야 합니다.
그렇겠죠? 웹서비스는 HTTP를 열어주어야 하고 FTP서비스는 FTP 포트를 열어주어야 합니다.
이런 식으로 방화벽에 DMZ를 구성하지 않고 서버와 클라이언트PC들을 하나의 네트웍으로 구성하면
보안에 HOLE 이 생길 소지가 있다라는 것입니다.

즉 웹서비스의 열려진 HTTP 포트를 통해서 해킹이 가능해지면 이를 통해 내부클라이언트 PC까지도
손쉽게 해킹이 가능하게 됩니다.

그러므로 DMZ를 구성하게 되는 것이지요.

열어줘야 할 것들은 DMZ를 구성해서 따로 네트웍을 할당 하는 것입니다.
그러면 DMZ에서 로컬 네트웍으로의 침입이 불가능하게 되는 것이죠.

인터넷 -> DMZ : OPEN (필요한 서비스만)
DMZ -> 로컬네트웍 : CLOSE (DMZ 서버를 통해서 로컬네트웍으로의 불법적인 침입 방지)
로컬네트웍 -> DMZ : OPEN (필요한 서비스만)
인터넷 -> 로컬네트웍 : CLOSE (로컬네트웍 보호)

이런 식의 정책적용이 기본적인 방화벽의 DMZ 관련 정책입니다.

가장 기본적으로 DMZ를 구성하는 경우는 아래와 같습니다.

방화벽에 NIC를 3장 달아서
하나는 인터넷, 다른 하나는 DMZ, 나머지 하나는 로컬네트웍으로 연결을 시켜주는 것이죠.

마지막으로 다시 정리해보면
DMZ는 외부에서 엑세스 가능한 서버들의 네트웍을 할당해 놓은 곳이며
DMZ를 구성함으로써 로컬네트웍의 보안을 가져갈 수 있다.

----------------------------------------------------------------------------------------

간단히 말해 비무장 지대입니다.

네트워크 상에서 여러가지 보안 정책을 쓰지 않는 구역을 말하는데..

물론 방화벽을 걷어 버리는 것은 아닙니다.

하지만, 포트가 다 열리고, 중간에 필터링을 없애는 거죠..

공용네트워크가 있다면, 대게 포트필터나, 방화벽 등등으로 제한들이 걸려 있습니다.

보안상의 문제도 있고, 트래픽 관리상의 목적도 있겠죠..

이러한 네트워크에서 특정 PC 를 DMZ 로 놓게 되면, 포트가 모두 열리게 되고, 필터제한을

일시적으로 제거 할 수 있습니다.

물론 이런건 설정 하기 나름이구요..DMZ 를 한다 하더라도, 불법패킷에대한 방화벽 기능등은

유지가 되구요..물론 이것 역시 설정하기 나름이겠지만..암튼..이런 제한을 풀어버리는 역활을

DMZ 라 합니다.

물론 DMZ 설정을 해 두면 보안상으로 치명적일 수 있겠죠?..

생각 나는대로 적습니다..

----------------------------------------------------------------------------------------

DMZ 를 세팅하기 위해서는 내부적인 IP 가 고정으로 변환해야 한다는 것이고,
케이블 모뎀이 외부로 부터 연결시켜 주는 IP 는 개인이 임의적으로 설정할 수
없습니다.

또한 케이블 모뎀을 통해서 인터넷이 되는 것이기 때문에, 사용자가 IP 설정에서
임의의 IP 를 설정해 놓는다 해도, 그 IP 로 설정이 되는 것이 아니라, 인터넷
서비스 없체에서 모뎀으로 동적으로 뿌려주는 IP 를 이용하게 됩니다.

따라서 IP 공유기에서 DHCP 사용을 하지 않으시고, 아이피를 192.168.1.x 이런식으로
고정해서 내 컴퓨터에 설정해 주시면 DMZ 사용하는데는 이상이 없을것 같습니다.

추가로, 개개인별로 고정 IP 를 사용하게 되면, 어떤 문제가 있느냐 하고
질문 하셨는데, 인터넷 서비스 없체는 고객의 수만큼 충분한 IP 를 가지고
있지 않고, 그때 그때 필요로 하는 고객에게 IP 를 주는 식으로 효율성을
높이고 있으며, 또 고정 IP 를 주게 되면, 다운로드 위주의 대역폭을 설정해
놓은 모뎀이 개개인들의 서버 사용으로 인해서 업로드 트레픽이 많아 지게되어
전체적으로 속도 저하를 가져 오게 되어서, 고정 IP 를 주지 않는 것으로 알고
있습니다.

도움 되셨길..^^

 

 

 

포트포워딩

 

포트와 아이피는 별게 입니다.

사실상 특별한 보안상의 문제나 isp 업체에서 해당 포트를 막아 놓지 않은 이상 굳이 포트를 변경할 필요는 없을듯 합니다.

기본 포트가 아니면 다른 사람들이 접속할때 마다 포트를 지정해줘야 하므로 불편하죠. 그냥 기본 포트로 하는 것이 좋습니다.

다만 공유기에서 DMZ 기능을 제공하느냐의 문제입니다.
DMZ 기능이란 공유기에 할당된 ip 주소를 하위 피씨의 사설아이피로 직접 연결해 주는 기능으로, 포트별로 여러대의 피씨에 할당해줄수도 있습니다.

만약 공유기가 DDNS 기능까지 지원한다면, 외부에서 접속할때 수시로 바뀌는 아이피 주소가 아닌 업체에서 할당받은 도메인 명으로 항상 접속 할수 있습니다.

아이피 주소는 그냥 현재 상태 그대로 두셔도 됩니다.
가지고 계신 공유기가 외부 관리는 지원하는 것으로 보아 DDNS 까지 지원하지 않을까 싶긴 한데요. 메뉴얼의 dmz 기능과 DDNS 기능부분을 참조하세요.

더 궁금하신 사항은 쪽지로..

----------------------------------------------------------------------------------------

유동 아이피라 하면 DHCP서버에서 자동으로 아이피를 할당 받는 것을 말합니다.

만에 하나 현재 이용하고 있는 초고속 인터넷 서비스가 B&A 같은 사설아이피를 할당받은 네트워크라면 서버 구축이 불가능하나, 공인 아이피를 할당 받았을 경우는 DDNS( Dynamic Domain Name Server) 를 이용해서 구축이 가능합니다.

DNS 는 아이피로 된 피씨의 주소를 도메인 명으로 연결해주는 서비스인데 유동아이피일 경우 DNS에서 질문자의 피씨를 찾을수 없게되기 때문에 DNS 서비스는 불가합니다. 하지만 질문자의 서버에 DDNS 클라이언트 프로그램을 설치해서 수시로 DNS서버로 아이피의 현재 상태를 전송해준다면 서비스가 가능해지죠. 이렇게 클라이언트에서 아이피 정보를 수시로 보내서 갱신하여서 고정된 이름으로 접속 할수 있도록 해주는 것은 DDNS 서비스 라고 합니다.

추가정보로 가정에서 공유기를 통해서 피씨를 서버로 사용하는 것은 불가능하였지만, 요즘 공유기의 기능으로 DMZ 기능을 이용하면 공유기에서 내부에 연결된 사설 아이피의 피씨로 무조건 연결하도록 임의로 설정하여 서버로써의 활용도 가능합니다. 일부 제품에서는 DDNS서비스 까지 무료로 지원해주고 있습니다.

DDNS 서비스는 몇군데 업체에서 하고 있지만 DNS 서버의 트래픽이 적을 수록 본인의 컴퓨터로 연결되는 속도는 빨라집니다. 가입할때 신경을 쓰셔야 할부분입니다.

DDNS 서비스를 이용하면 FTP 뿐만 아니라 웹서버, 터미날 서비스로 외부에서 내 컴퓨터를 직접 작동하여 끄는것등의 작업까지 가능합니다. 

예 할 수 있습니다.
FTP서버를 설치하는데는 유동이든 고정이든 전혀 문제가 없습니다.

여기서 유동이란 말은 그 아이피(서버로 사용하는 컴의 주소)가 자주 바뀔 수 있다는 말이죠. 유동아이피에는 임대기간이라는것이 있습니다. 아이피를 받은 시간으로부터 몇시간동안 똑같은 아이피를 부여하게끔 DHCP 서버에서 지정을 해줍니다. 다시 말해서 오늘 주소는 "10.125.8.115" 였던것이 임대기간이 지난 내일은 "10.125.8.125" 로 바뀌어 버리는 것입니다. FTP 서버(웹서버도 마찬가지 입니다)가 설치되어 돌아가더라도 그 주소를 모른다면 (다른 이들이 찾지 못한다면) 무용지물이겠지요. 해서 유동아이피라면 사용하기가 힘들다는 겁니다. 매번 현재 주소를 사용자들에게 알려줘야 하기때문이죠. 이게 바로 문제점이 되겠구요.

여기에 따른 해결책으로는 아이피를 고정아이피로 바꾸는 방법, 그리고 많은 분들이 말씀하셨지만 네이밍 서비스를 이용하는 방법이 있겠지만 돈이 듭니다(사야하죠).

그밖에 유동아이피를 고정아이피처럼 사용할 수 있는게 바로 포워딩입니다. 조그만 프로그램이 사용하고자 하는 서버 피씨에 상주해서 아이피가 바뀔때마다 (보통 얼마 시간만에 업데이트하라고 정해놓습니다) 포워딩해주는 호스트에 정보를 전달해주지요.
즉, 10.125.8.115 을 abc.no-ip.com 으로 매핑 해놓고 만일 아이피가 바뀌면 바뀐아이피(만약 바뀐주소가 10.125.8.125 이라면)로 또다시 10.125.8.125 를 abc.no-ip.com 이런식으로 매핑을 시켜줍니다. 그래서 외부 사용자들은 abc.no-ip.com 이라는 도메인 하나로 접속이 가능하게 되는 것이지요.

이런 포워딩을 서비스해주는 곳은 많이 있습니다.
http://www.no-ip.com
http://www.codns.com/korean
http://xdns.co.kr
검색사이트에서 유동아이피로 검색 해보시면 많이 찾을 수 있을 것입니다. 개인적으로는 이 방법을 씁니다.

 

 

유동 ip를 사용할 경우의 문제점
: ftp서버의 ip가 유동 적으로 변함으로 하여 ftp client가 어떤 ip로 접근해야 하는지를 알 수 없으므로 ftp 서비스가 거의 불가능함

해결방안
: dynamic DNS의 사용
ftp client는 domain name으로 ftp 서버에 접속함
ftp 서버는 유동적인 자신의ㅣ ip를 항상 DDNS(dynamic DNS)서버에 알려줌으로 해서 DNS query가 들어 왔을 때 실시간으로 바뀌는 서버의 ip address를 ftp client에게 알려줌.

DDNS 사용시 필요한 점
: DDNS 서비스를 할 서버가 필요함 ftp서버에는 DDNS client program이 설치 되어 실시간으로 ftp 서버의 ip address를 DDNS 서버에 전송하고 DDNS 서버는 update된 ip address를 DNS의 domain과 매칭 시키는 작업을 함

'OS > LINUX' 카테고리의 다른 글

[펌] SNMP개요및 설치,운용  (0) 2004.08.21
한글 putty  (0) 2004.08.13
[펌] 20만통 메일과 sendmail  (0) 2004.07.09
[허접] 내부 IP MSN 차단 .... ㅡㅡ  (0) 2004.07.07
[펌] 프로세스죽이기  (0) 2004.07.07
Posted by tornado
|