케이플리눅스

웹서버는 우리가 보통 쓰는 apache 2.4를 기준으로 생각했을 때 서버사양에 맞는 튜닝값을 찾아 내는 방법과 서버에서 따로 해줘야하는 설정값이 본 글의 주제입니다. 먼저 아파치 튜닝을 위해서 알아둬야하는 개념은 MPM입니다. 참고: APACHE 2.4 의 MPM 관련 글  MPM은 Multi processing module (다중 처리 모듈)의 약자입니다. 먼저 대표적은 두가지 방식이 있는데 worker 와 prefork방식이 있습니다. worker는 Thread MPM 이고 , prefork는 Process MPM 입니다. worker 방식은 확장가능성이 중심이고 prefork는 안정성 및 오래된 소프트웨어와의 호환성에 중점을 두고 있습니다. 또한 다른 사용자아이디로 여러 호스트는 서비스하는 (prebuild)와 같은 기능도 제공 됩니다. MPM은 아파치 컴파일시에 지정 할 수 있으며 (--with-mpm=worker, --with-mpm=prefork) 한 서버에서 한가지 방식의 MPM만 사용할 수 있습니다. MPM을 설정하지 않으면 다음과 같이 각 OS에 맞는 기본값이 선택됩니다. BeOS : beos Netware : mpm_netware OS/2 : mpmt_os2 유닉스 : prefork 윈도우즈 : mpm_winnt 1. worker MPM (apache 2.4 기준) 참고 : 워커 방식의 작동 방법  MPM 모듈의 지시자 ServerLimit 16 StartServers 16 MaxClients 150 MinSpareThreads  25 MaxSpareThreads 75 ThreadsPerChild  25 MaxRequestPerChild 0  ServerLimit => 구성 가능한 child 프로세스의 수 StartServers => 시작시에 초기회 되는 프로세스의 갯수 MaxClients => 동시에 접속 가능한 Client의 상한 , Process

리눅스를 처음에 설치하면 보안에 관련된 설정이 아무것도 되어 있지 않습니다. 이 글에서는 서버를 처음 설치하고 반드시 해야하는 보안 설정에 대해 다뤄보려고 합니다. 설정 내용들 중에는 자신의 서버와 환경이 맞지 않을 수도 있으니, 조심하시기 바랍니다. 보안설정 시나리오는 다음과 같습니다.  1. 원격지에서 root는 로그인을 못하도록 한다.  2. 특정한 사용자에게만 su(switch user)를 통해서 root 권한을 줄것이다.  3. 패스워드의 유효기간은 90일이고 ,  패스워드의 최고 길이는 8글자이다.  4. 패스워드는 반드시 하나 이상의 대/소문자, 숫자. 특수기호가 들어가야 한다. 1. root의 원격접속 막기 원격접속을 관리하는 sshd 의 설정파일을 통해서 제어 할 수 있습니다. /etc/ssh/sshd_config 파일에서 PermitRootLogin을 no 로 바꿔줍니다. 2. 원격접속용 일반 사용자 생성 root가 원격 접속이 불가능한 상태이므로, 원격 접속을 위한 일반 계정을 하나 생성합니다. shell ]# adduser sysadmin 리눅스는 기본적으로 모든 사용자가 su (switch user)명령을 사용해서 root로 접근이 가능하지만 우리는 특정 그룹(대표그룹 wheel)에 su의 사용권한을 줄것입니다. 그러기 위해서는 먼저 생성한 일반계정의 그룹에 wheel 그룹을 추가합니다. shell ]# usermod -G wheel sysadmin 그리고 PAM에서 wheel 그룹만 su를 사용할 수 있도록 변경해줍니다. shell ]# vi /etc/pam.d/su #%PAM-1.0 auth        sufficient  pam_rootok.so # Uncomment the following line to implicitly trust users in the "wheel" group. #auth       sufficient  pam_wheel.so t

개정 1) 서비스 정리 스크립트 수정 (multipathd, syssate 활성화)  우리가 시스템을 설치할 때 Servce with GUI 항목에서 하위의 모든 항목을 설치하는 것을 기본으로 하고 있습니다. 이 상태로 설치를 끝낸 시스템에서는 불필요하다가 느껴지는 서비스들이 작동을 하고 있으므로, 설치 후엔 최적화를 해주고 추후에 필요에 의해서 서비스를 활성화 하도록 합니다. 이유를 들어보자면 첫째, 시스템 최적화와 보안 구멍 막기가 주 이유입니다. 먼저 서비스르 리스트를 host]# systemctl list-unit-files --type service | grep enabled 명령으로 활성화 된 서비스를 확인합니다. 명령의 결과는 별도의 파일로 만드는 것을 추천합니다. host]# systemctl list-unit-files --type service | grep enabled  | awk '{print "systemctl disable " $1}' > disablelist.sh 위와 같이 별도의 파일로 만들어서 필수를 제외한 서비스에 대해서 enabled 항목을 disabled  변경합니다. 확실하게 하기 위해서 필수인 서비스는 라인에서 지우고 파일을 실행시켜서 불필요한서비스를 정리합니다. 대표적인 불필요 서비스 목록   postfix  firewalld  iscsi  atd  chronyd  auditd  autovt@  bluetooth  cups  abrt  libvirtd  mcelog  modemManager  NetworkManager  multipathd  qemu-guest-agent  smartd  spice-vdagentd 위의 서비스에서 NetworkManager를 비활성화 하면 네트워크에 접속이 안되기 때문에 위의 스크립트를 작성하기전에 NetworkManager 를 비활성화 시키고 수동으로 /etc/sysco

RHEL5 권고안 설치된 RAM용량 권장되는 스왑 용량 4GB 혹은 이하 2GB 4GB ~ 16GB 4GB 16GB ~ 64GB 8GB 64GB ~ 256GB 16GB 주의)140개 이상의 프로세서를 가지고 있는 시스템에서는 최소 100GB스왑공간이 권장됩니다. RHEL6,7 , RedHat Enterprise OpenStack Platform 3 , 4 권고안 설치된 RAM용량 권장되는 스왑 용량 최대절전시 스왑 용량 2GB 혹은 이하 RAM용량의 2배 RAM용량의 3배 2GB ~ 8GB RAM용량과 동일 RAM용량의 2배 8GB ~ 64GB 최소 4GB ~ RAM의 1/2배 RAM용량의 1.5배 64GB 이상 최소 4GB 최대절전을 권장하지 않음 주의) 140개 이상의 논리적 프로세서를 가진 시스템 혹은 3TB이상의 RAM을 가진 시스템에서는 최소 100GB의 스왑공간이 권장됩니다. 위의 권고는 OS상에서의 권장사항이며, 운영하려는 어플리케이션의 요구사항에 맞추어서 설정해야합니다. Hadoop 사용시에 메모리가 많이 있어도 갑자기 hadoop관련  java 프로세스가 swap을 많이 사용하는 것을 볼 수 있는데 이것은  vm.swappiness 값에 따라서 이런 경우가 생길 수 있습니다. 일반적인 vm.swappiness 값은 60으로 설정이 되어 있는데 이 값을 0으로 바꾸면 swap사용을 줄일 수 있습니다. host]# sysctl -w vm.swappiness=0 으로 설정할 수 있지만 이러게 설정하면 재부팅하면 값이초기화 되므로 영구적으로 적용하고 싶다면 /etc/sysctl.conf 에 다음과 같이 설정 할 수 있습니다. vm.swappiness=0

미디어 준비  https://wiki.centos.org/Download 위의 웹페이지에서 6.9(EOL: 30 Nov 2020)를 다운로드 받습니다. CentOS 6.9 릴리즈 노트 주요 변경 사항 1. LiveCD는 더 이상 제공되지 않습니다. LiveDVD를 USB 드라이브등에 복사해서 사용할 수 있습니다. 2. GNUTLS가 TLSv1.2를 지원합니다. (암호화를 사용하는모든 CentOS의 패키지에서 TLSv1.2를 사용할 수 있습니다.) 3. 안전하지 않은 Chiper에 대한 지원이 종료되었습니다. => MD5, SAH0, RC4 및 DH 매개변수의 사용에 영향이 있습니다. 4. 클라우드 도구인 cloud-init가 추가되었습니다.   => cloud-init패키지가 설정되지 않은 상태로 부팅을 하면 약 5분간 지연될 수 있습니다.   => cloud-init패키는 /etc/ssh/sshd_config의 설정중 패스워드로 접속가능한 부분을 no로 변경합니다.   PasswordAuthentication no 기본값으로 되어 원격지에서 ssh접속이 불가합니다. 5. UEFI지원 시스템에서 CentOS 6.x는 부트설정을 /boot/efi/EFI/redhat에 생성을 하는데, 이미 CentOS 혹은 RHEL이 설치된 시스템에서 문제가 발생할 수 있습니다. 6. CentOS 6.9의 UEFI:i386은 UEFI와 동장하지 않습니다.    UEFI환경에서는 CentOS 6.9 x86_64를 이용해 합니다.    BIOS상에서 SecureBook가 켜진 상태에서는 모든 버전의 CentOS 6.x 버전은 작동하지 않습니다.   => CentOS 6.x 버전에서 전체설치는 하는 경우에 system->base 패키지에서 tboot 패키지를 제외해야합니다.  본격적인 설치에 앞서 앞의 릴리즈 노트에 있는 사항 중 두 가지만 기억하면 됩니다. 1. UEFI 모드에서