시스템관리자의 쉼터, 커피닉스

시스템관리자의 쉼터, 커피닉스 - 팁, 강좌 http://coffeenix.net 시스템관리자의 쉼터 - *NIX, 보안, 네트웍 운영, IT 정보 ko ZFS 파일시스템의 snapshot(스냅샷) 기능 http://coffeenix.net/board_view.php?bd_code=1711 작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
작성일 : 2010.6.21(월)
수정일 : 2010.8.2(월) FreeBSD에서 ZFS 버전 정보 추가

ZFS 파일시스템은 snapshot(스냅샷) 기능을 제공하여, 원하면 언제든지 snapshot시점으로 복원할 수 있다. 명령어 한줄로 snapshot을 만들고, 명령어 한줄로 복원한다. snapshot 생성을 매일 1회 이상 자동으로 실행되도록 해주면, 데이터 복원에 유용할 것이다.

참고로 FreeBSD 8.0은 ZFS v13을, 8.1은 v14를 지원한다. FreeBSD 8.2 또는 9.0에서는 v15를 지원할 예정이다.
ZFS v15는 Solaris 10 update 8과 FreeBSD간의 호환성이 좋아졌으며, ZFS파일시스템에 php 코드가 있을경우에 기존보다 15~20%정도 RPS가 향상되었다.

1. snapshot 만들기

ZFS 파일시스템은 snapshot 기능을 지원한다. 따라서 파일 시스템의 백업과 특정 시점으로의 rollback(롤백)이 쉽다.
이론적으로 snapshot은 최대 2의 64제곱개까지 만들 수 있다. snapshot은 같은 스토리지 풀(파일시스템, 볼륨)의 공간을 사용한다.

snapshot을 만들어보자. snapshot시에 형식은 '...]]> 디스크 관리 / 파일시스템 / mount Mon, 02 Aug 2010 18:14:53 +0900 sort명령의 활용(아파치 access log를 시간대별로 정렬) http://coffeenix.net/board_view.php?bd_code=1710 작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
작성일 : 2010.7.9(금)

로그 파일이 한개이면 정렬할 일이 없겠지만, 여러 대에 나눠있는 로그를 통합해야 할 경우 1) 하나로 묶은 후 -> 2) 시간대별로 정렬이 필요하다. 개인적으로는 이렇게 이용하는 경우가 없지만, sort명령을 이렇게 예술적으로 활용할 수 있구나 라는 것을 알게 될 것이다.

jjun님이 소개해주신 sort명령이다.

sort -t ' ' -k 4.9,4.12n -k 4.5,4.7M -k 4.2,4.3n -k 4.14,4.15n -k 4.17,4.18n -k 4.20,4.21n 로그파일

출처 : http://www.internetofficer.com/forum/awstats-apache-installation-and-configuration/apache-logs-not-sorted-by-timestamp/

sort명령이 너무 복잡해보이는가? 아피치 access log파일을 먼저 보면 이해할 수가 있다.

aaa.bbb.ccc.ddd - - [01/Jul/2010:00:31:44 +0900] "GET / HTTP/1.1" 200 39300 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.4) Gecko/20100611 Firefox/3.6.4 ( .NET CLR 3.5.30729)"

로그 정보...]]> 웹 서버(web, httpd, apache) Mon, 12 Jul 2010 12:53:56 +0900 CVS history파일의 code 문자 http://coffeenix.net/board_view.php?bd_code=1709 작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
작성일 : 2010.6.30(수)

CVS history 파일은 다음과 같은 형태이다.

Table 6.1 The meaning of the code letters.

Letter Meaning
====== =========================================================
O Checkout
T Tag
F Release
W Update (no user file, remove from entries file)
U Update (file overwrote unmodified user file)
G Update (file was merged successfully into modified user file)
C Update (file was merged, but conflicts w/ modified user file)
M Commit (from modified file)
A Commit (an a...]]> 버전관리 / CVS Wed, 30 Jun 2010 18:30:57 +0900 Linux, FreeBSD에서 MAC Address 변경 http://coffeenix.net/board_view.php?bd_code=1708 작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
작성일 : 2010.6.8(화)

1. Linux에서 MAC Address 바꾸기

# ifconfig eth0 down (먼저 interface를 down 시킨다.)
# ifconfig eth0 hw ether AA:BB:CC:DD:EE:FF
# ifconfig eth0 (MAC Address(MAC 주소)가 변경된 것을 확인한다.)
# ifconfig eth0 up (다시 up)

네트웍을 끊었다가 설정 후 올리므로, 인터페이스가 여러 개가 아니라면 콘솔에서 작업한다.

RHEL, CentOS 서버에서 부팅시 자동으로 변경되도록 하려면 /etc/sysconfig/network-scripts/ 아래의 ifcfg-eth? 파일에 다음 설정을 추가한다. AA:BB:CC:DD:EE:FF 또는 aa:bb:cc:dd:ee:ff 처럼 MAC Address는 대소문자 상관이 없다.

MACADDR=AA:BB:CC:DD:EE:FF

2. FreeBSD에서 MAC Address 바꾸기

# ifconfig bce1 link AA:BB:CC:DD:EE:FF 또는
# ifconfig bce1 ether AA:BB:CC:DD:EE:FF

bce1는 interface명이므로, 서버 환경에 맞게 바꾼다.
부팅시 바로 MAC Address가 ...]]> 네트워크(network) Mon, 14 Jun 2010 18:26:39 +0900 MySQL에서 보안위해 load_file() 경로 제한하기 http://coffeenix.net/board_view.php?bd_code=1707 작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
작성일 : 2009.12.1(화)
정리일 : 2010.5.14(금)

1. SQL Injection에서 load_file() 함수의 위험

SQL Injection(SQL 인젝션) 공격에 대처하기 위해서는 다음과 같은 조치가 필요하다.

- SQL Injection공격 등 웹취약성이 없도록 프로그래밍을 하는게 우선이다. (그러나 많은 사이트에서 이부분은 뒷전이다.)
- 주기적으로 모의 테스트를 한다.
- 웹방화벽에서 UNION SELECT, UNION ALL SELECT, LOAD_FILE() 등 다양한 SQL Injection 공격 유형을 차단한다.
- 그리고, load_file() 함수의 경로 제한도 고려한다.

MySQL의 SELECT LOAD_FILE() 함수, LOAD DATA는 서버내에 있는 파일을 읽어들이는 명령이다. MySQL 데몬이 파일을 읽을 권한이 있다면, 서버내의 경로와 상관없이 어떠한 파일이라도 읽을 수 있다. 웹페이지가 SQL Injection 공격의 취약점이 있다고 할 때 다음과 같은 형식으로 쉽게 웹에서 서버 내의 파일을 확인할 수 있는 위험성이 존재한다.

select ...생략... from ...생략... UNION SELECT L...]]> MySQL Thu, 27 May 2010 21:02:10 +0900 안드로이드 어플(apk)을 웹에서 배포할 때 http://coffeenix.net/board_view.php?bd_code=1706 작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
작성일 : 2010.4.5(월)

안드로이드(Android) 어플을 웹에서 배포하기 위해서는 apk 파일에 대한 MIME type 설정이 필요하다.
아파치 웹서버(apache)의 mime.types에 다음 내용을 추가하고, 웹서버를 재실행한다.

application/vnd.android.package-archive apk

아파치 웹서버 일부 버전에는 이미 위 MIME type이 설정되어 있다.

1) apache 2.2.x : 2.2.12부터 포함
2) apache 1.3.x : 1.3.42

※ apache 1.3.x 대 버전은 2010년 2월에 발표된 1.3.42버전을 끝으로 더이상 발표되지 않는다.
]]> 웹 서버(web, httpd, apache) Tue, 27 Apr 2010 08:49:09 +0900 DSR구성을 위한 loopback 설정 http://coffeenix.net/board_view.php?bd_code=1703 작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
작성일 : 2010.3.12(금)

DSR(Direct Server Return)구성은
1) 패킷이 들어올 때는 L4스위치나 로드 밸런서(Load Balancer)를 통해서 들어오지만,
2) 패킷이 나갈 때는 L4스위치나 로드 밸런서(Load Balancer)를 거치지 않고 바로 나가는 구성이다.

loopback용 IP(L4의 DSR구성시에 VIP에 해당)가 192.168.123.20이라고 할 때 설정 예이다.

1. Linux에서 (CentOS, RHEL)

1) /etc/sysconfig/network-scripts/ifcfg-lo:0 를 설정한다. ifcfg-lo 파일을 복사해서 설정하면 쉽게 할 수 있다.

[ 형식 ]

DEVICE=lo:0
IPADDR=< VIP >
NETMASK=255.255.255.255
NETWORK=< 네트웍대역 >
BROADCAST=< Broadcast IP >
ONBOOT=yes

[ 설정 예 ]

DEVICE=lo:0
IPADDR=192.168.123.20
NETMASK=255.255.255.255
NETWORK=192.168.123.0
BROADCAST=192.168.123.255
ONBOOT=yes

2) /etc/sysctl.conf 에 다음을 추가한다. (커널 2.6)

net.ip...]]> 시스템 관리 / 서버운영 Thu, 25 Mar 2010 08:14:21 +0900 TaskSet 으로 Process의 사용 CPU를 지정해 보자! http://coffeenix.net/board_view.php?bd_code=1702 TaskSet은 프로세스가 사용할 CPU(CPU affinity) 를 보여주거나 지정해준다.

■ 사용 방법

taskset [options] [mask | list ] [pid | command [arg]...]

mask는 Process가 사용할 CPU 값을 나타내며 16진수로 표현이 된다.

0x00000001 는 0번 프로세스(CPU)의 사용을 나타내며

0x00000003 는 0번과 1번 프로세스(CPU)의 사용을 나타내며

0xFFFFFFFF 는 모든 프로세스(CPU)의 사용을 나타냅니다.(0 ~ 31번..)

물론, mask를 프로세서(CPU)의 숫자로 표현할 수도 있다. mask를 프로세서(CPU)의 숫자로 나타내기 위해서는 주요 옵션의 "-c, --cpu-list " 옵션을 사용해주면 된다.

■ 주요 옵션

-p, --pid
operate on an existing PID and not launch a new task

-c, --cpu-list
specifiy a numerical list of processors instead of a bitmask.
The list may contain multiple items, separated by comma, and
ranges. For example, 0,5,7,9-11

* 위의 옵션들은 보여주간, 세팅할때 동일하게 사용되어 진다.

■ 명령어의 다양 한 예

1) 해당 프로...]]> 서버운영 Thu, 04 Mar 2010 17:48:35 +0900 apache에서 proxy IP를 real IP로 바꿔 저장하기 http://coffeenix.net/board_view.php?bd_code=1701 작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
작성일 : 2010.2.25(목)

웹서버 앞단에 proxy서버를 두거나 Citrix Netscaler등의 장비를 사용할 경우에, 웹서버에는 클라이언트 IP가 남지 않고, proxy 서버나 장비의 IP가 로그에 남게 된다. 이 때 X-Forwarded-For HTTP 헤더나 임의로 지정한 헤더에 있는 클라이언트 IP정보를 뽑아서 웹로그에 남기기도 한다.

다음은 아파치에서 LogFormat을 설정한 예이다. 첫번째줄은 기본적으로 제공하는 combined 포맷, 두번째줄이 IP를 저장할 필드에 X-Forwarded-For헤더의 IP정보로 대체하는 포맷이다.

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" realiplog

CustomLog "...생략..." realiplog

그러나 두번째줄의 LogFormat 설정을 하더라도 error log에는 여전히 proxy IP가 남게 된다. 이를 해결할 수 있는 아파치용 mod_rpaf 모듈이 있다. 이 모듈을 이용하면, proxy 서버 IP나 장...]]> 웹 서버(web, httpd, apache) Wed, 03 Mar 2010 19:14:55 +0900 ports로 설치한 프로그램을 패키지로 만들기(FreeBSD) http://coffeenix.net/board_view.php?bd_code=1700 작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
작성일 : 2010.2.19(금)

1. 설치 패키지 정보 보기와 패키지 파일 만들기

아주 기본적인 이야기 부터 시작하겠다. FreeBSD유저라면 모르지 않을 것이다.
FreeBSD에서 설치된 패키지 목록을 볼 때 pkg_info명령으로 확인한다.

# pkg_info
apache-2.2.14_5 Version 2.2.x of Apache web server with prefork MPM.
autoconf-2.62 Automatically configure source code on many Un*x platforms
... 생략 ...

그리고, 설치된 패키지를 패키지 파일(.tbz)로 만들 때는 pkg_create 명령으로 만든다.

# pkg_create -b apache-2.2.14_5
# ls
apache-2.2.14_5.tbz

2. 설치된 패키지 중에 의존적인 것까지 모두 패키지 파일로 만들기

지정한 패키지가 의존하고 있는 패키지(Depends on)들까지 모두 패키지 파일로 만드려면 어떻게 해야할까?
man page에 나와 있는 다음 옵션들이 답을 준다.

-b, --backup pkg-name
...]]> 패키지 관리 / 패치 / rpm Tue, 02 Mar 2010 19:11:52 +0900