Category:설정방법

Asterisk – 해킹 시도 Fail2Ban 으로 차단하기

Posted on 2015-03-31by CoCoCategories:설정방법

Fail2Ban (with iptables) And Asterisk

Page Contents

Fail2Ban

Fail2Ban is a limited intrusion detection/prevention system. It works by scanning log files and then banning IPs based on the entries in those logs. Note that Digium is moving away from writing security information to log files, and is now using AMI events. Consider fail2ban a short-term solution only.

You can get Fail2Ban, as well as more documentation, at www.fail2ban.org. At the time this is being written, the current release is 0.8.4.

Fail2Ban With Asterisk

The following describes how to setup Fail2Ban to protect an Asterisk PBX from SIP brute force attempts and scans utilizing the iptables firewall.

SECURITY NOTE: fail2ban is rather limited in its ability to detect attacks against asterisk.
More info http://forums.asterisk.org/viewtopic.php?p=159984
Consider a more comprehensive product like the free edition of SecAst www.generationd.com

Easy Install Script for Fail2ban version 0.8.4 / Red Hat

This script was written by Cédric Brohée in order to simplify and accelerate the integration of the solution in a basic Asterisk configuration on Red Hat.
Do not hesitate to read the bash script and make changes to match your own configuration.

Before running it, you will have to do chmod 755.

Download script with new dedicated sources :

Installing

Log into the system and su – root, or sudo -i to get a root shell on Ubuntu.

CentOS/Red Hat (this method may install an older version of fail2ban):

Install rpmforge or optionally fetch the fail2ban rpm directly from rpmforge.
Install fail2ban using yum:

yum install fail2ban

Debian/Ubuntu:

apt-get install fail2ban

Source installation:
Change directories to /usr/src:

cd /usr/src

Download and extract Fail2Ban (check for newer releases):

wget http://sourceforge.net/projects/fail2ban/files/fail2ban-stable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2/download
tar jxf fail2ban-0.8.4.tar.bz2

Enter the Fail2Ban directory you just extracted:

cd fail2ban-0.8.4

Make sure python and iptables are installed:

CentOS/Red Hat:

yum install python iptables

Debian/Ubuntu:

apt-get install python iptables

Install Fail2Ban:

python setup.py install

Install the Fail2Ban init script (for source installations):

Centos/Red Hat (if you installed via yum/rpm, the init script has already been installed):

cp /usr/src/fail2ban-0.8.4/files/redhat-initd /etc/init.d/fail2ban
chmod 755 /etc/init.d/fail2ban

For other distributions’ init scripts, please refer to documentation specific to them.

Configure Fail2Ban

We need to create a configuration for Fail2Ban so that it can understand attacks against Asterisk.

Create a new filter configuration for Asterisk:

touch /etc/fail2ban/filter.d/asterisk.conf

The contents of /etc/fail2ban/filter.d/asterisk.conf should be the following:

Generic (without using /var/log/asterisk/security)


# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf


[Definition]

#_daemon = asterisk

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

# Asterisk 1.4 use the following failregex

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - ACL error (permit/deny)
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
            NOTICE.* <HOST> failed to authenticate as '.*'$
            NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
            NOTICE.* .*: Sending fake auth rejection for device .*\<sip:.*\@<HOST>\>;tag=.*

# In Asterisk 1.8 use the same as above, but after <HOST> add :.* before the single quote. This is because in Asterisk 1.8, the log file includes a port number which 1.4 did not.

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

If you’re having issues with your system not banning properly when the “Registration from” section in your log file contains a quotation mark (“) as in this example:


[2011-04-07 17:53:11] NOTICE[7557] chan_sip.c: Registration from '"69106698"<sip:69106698@123.123.123.123>' failed for '123.123.123.123' - No matching peer found

Add the following line, with the others above, in asterisk.conf:

NOTICE.* .*: Registration from ‘\”.*\”.*’ failed for ‘<HOST>’ – No matching peer found

Recently noticed attacks:


[2011-06-21 17:53:11] NOTICE[7557] chan_sip.c: Registration from '"XXXXXXXXXX"<sip:XXXXXXXXXX@123.123.123.123>' failed for '123.123.123.123' - Wrong Password

Adding the following line will block these attempts:

NOTICE.* .*: Registration from ‘\”.*\”.*’ failed for ‘<HOST>’ – Wrong password

Using new /var/log/asterisk/security

For this you will need an Asterisk that comes with the new Asterisk Security Framework (Asterisk 10+). You will also need to enable the log output in logger.conf by adding or uncommenting the line “security => security”. Likewise, you willl also need to ensure the date format has been changed in logger.conf to “dateformat=%F %T”.


# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf


[Definition]

#_daemon = asterisk

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

failregex = SECURITY.* SecurityEvent="FailedACL".*RemoteAddress=".+?/.+?/<HOST>/.+?".*
            SECURITY.* SecurityEvent="InvalidAccountID".*RemoteAddress=".+?/.+?/<HOST>/.+?".*
            SECURITY.* SecurityEvent="ChallengeResponseFailed".*RemoteAddress=".+?/.+?/<HOST>/.+?".*
            SECURITY.* SecurityEvent="InvalidPassword".*RemoteAddress=".+?/.+?/<HOST>/.+?".*

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Next edit /etc/fail2ban/jail.conf to include the following section so that it uses the new filter. This does a 3-day ban on the IP that performed the attack. It is recommend to set the bantime in the [DEFAULT] section so if affects all attacks. It is also recommend to turn on an iptables ban for ssh, httpd/apache, and ftp if they are running on the system. Be sure to edit the sendmail-whois action to send notifications to an appropriate address:

Generic (without using /var/log/asterisk/security)


[asterisk-iptables]

enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.org]
logpath  = /var/log/asterisk/messages
maxretry = 5
bantime = 259200

note: logpath = /var/log/asterisk/messages is for vanilla asterisk, use logpath = /var/log/asterisk/full for freepbx. You can check the name of the log file in logger.conf.

note: if fail2ban still failed to identify login attempts, try the syslog logging way.

Using new /var/log/asterisk/security


[asterisk-iptables]
enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.org]
logpath  = /var/log/asterisk/security
maxretry = 5
bantime = 259200

Don’t Ban Yourself

We don’t want to ban ourselves by accident. Edit /etc/fail2ban/jail.conf and edit the ignoreip option under the [DEFAULT] section to include your IP addresses or network, as well as any other hosts or networks you do not wish to ban. Note that the addresses must be separated by a SPACE character!

Asterisk Logging

We must change how Asterisk does its time stamp for logging. The default format does not work with Fail2Ban because the pattern Fail2Ban uses that would match this format has a beginning of line character (^), and Asterisk puts its date/time inside of []. The other formats that Fail2Ban supports, however, do not have this character and can be used with Asterisk.

To change this format, open /etc/asterisk/logger.conf and add the following line under [general] section (You may have to create this before the [logfiles] section). This causes the date and time to be formatted as Year-Month-Day Hour:Minute:Second, [2008-10-01 13:40:04] is an example.


 [general]
 dateformat=%F %T

Then reload the logger module for Asterisk. At the command line, run the following command:

asterisk -rx “logger reload”

If for some reason you do not want to change the date/time format for your normal asterisk logs (maybe you already have scripts that use it or something and do not want to edit them), you can do the following instead:

In /etc/asterisk/logger.conf, add the following line under the [logfiles] section for Asterisk to log NOTICE level events to the syslog (/var/log/messages) as well as its normal log file. These entries in syslog will have a Date/Time stamp that is usable by Fail2Ban.

syslog.local0 => notice

Be sure to reload the logger module for Asterisk — check above for the command to do so. If you chose this option, you will also have to change the/etc/fail2ban/jail.conf setting under the [asterisk-iptables] section for the logpath option to the following:

logpath = /var/log/messages

Turning it On

Now it is time to put fail2ban to work. There are a couple steps we need to do first.

Turn IPTABLES on

By default, iptables allows all traffic. So if we turn it on, it will not block any traffic until Fail2Ban creates deny rules for attackers. You should create your own firewall rules and setup for iptables, but that is beyond the scope of this guide. Just know that Fail2Ban, by default, inserts rules at the top of the chain, so they will override any rules you have configured in iptables. This is good because you may allow all sip traffic in and then the Fail2Ban will block individual hosts, after they have done an attack, before they are allowed by this rule again.

To start iptables, run the following as root:

/etc/init.d/iptables start

Depending on your install, you may or may not have the iptables init script installed. Please refer to an iptables install/setup guide for your distribution for more information.

Turn on Fail2Ban

To start Fail2Ban, run the following as root:

/etc/init.d/fail2ban start

Check It

If both started properly, issue the following command to view your iptables rules:

iptables -L -v

You should see something like the following for the INPUT chain (you will see more if you have other Fail2Ban filters enabled):

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
2104K 414M fail2ban-ASTERISK all — any any anywhere anywhere

If you do not see something similar to that, then you have some troubleshooting to do; check out /var/log/fail2ban.log.

If you do not see all your rules, or if you see a different subset of rules after stopping and restarting fail2ban, you may be experiencing the issue described on this page on the Fail2ban talk:Community Portal and may wish to use the suggested fix:

fail2ban.action.action ERROR on startup/restart

I had multiple fail2ban.action.action ERROR on startup/restart. It seems there was a “race” condition with iptables. I solved the problem completely on my system by editing /usr/bin/fail2ban-client and adding a time.sleep(0.1)


def __processCmd(self, cmd, showRet = True):
	beautifier = Beautifier()
	for c in cmd:
		time.sleep(0.1)
		beautifier.setInputCmd(c)

Turn it on for good

If all is well up to this point, let’s make sure that fail2ban and iptables restart with the server by issuing the following commands.

Centos/Red Hat:

chkconfig iptables on
chkconfig fail2ban on

Debian/Ubuntu:

update-rc.d iptables defaults
update-rc.d fail2ban defaults

You should now be somewhat protected against SIP scans and brute force attacks!

Try a reboot

Once you have fail2ban working ok, make sure that it continues that way after rebooting the server. On some distributions (including Ubuntu daper) fail2ban won’t start after the system reboots because the /var/run/fail2ban directory gets deleted and needs to be re-created. This can be frustrating as there is also nothing that shows up in the logs to indicate what the problem is. If this happens, please see the link below for instructions on modifying the startup script so that it checks for and creates the /var/run/fail2ban directory if needed:

http://informationideas.com/news/2010/04/21/fail2ban-does-not-start-after-reboot/

Additional Information

For more comprehensive intrusion detection/prevention look at SecAst www.generationd.com, which tracks dial cadence, call volumes per user/peer, geographic IP geographic location, etc. to ban users. The free edition alone does more than fail2ban. Check out wiki page SecAst (Asterisk Intrusion Detection and Prevention)
For those who may want a bit of additional security, this thread on iptables rate limiting at the PBX in a Flash Forum discusses a possible way to limit the number of attempts a bot can make at registering before fail2ban kicks in (e.g., if the bot is so fast it can make many attempts before fail2ban detects that many > 3).
You may also want to consider adding Asterisk security through geographic IP address restriction
See http://www.opensolutions.ie/blog/2010/09/sip-brute-force-attacks/ for a quick howto on using Fail2ban with Ubuntu/Debian as well as some discussion on SIP brute force attacks.
An alternative to fail2ban which is more simple (but of course less configurable). New version using Perl Net::Pcap. Unlike fail2ban, this tool does not peek into asterisk logs. http://www.dumaisnet.ca/index.php?article=35794ced17be93fdb1a28f73f754512c
Alternate using Perl and iptables: Team Forrest – Automatically Block Failed SIP Peer Registrations
You can also use the free VoIP Block List by itself or combined with fail2ban to protect your server. This is a list of hostile IP addresses you should consider proactively blocking – the IPs are gathered from various honey-pots and from other VoIP users who report hacking attempts on their systems to the list.

Ubuntu – /var/log/message 설치 방법

Posted on 2015-03-14by CoCoCategories:설정방법

Ubuntu 12.04를 설치 후 로그를 확인하고자 /var/log/messages 파일을 찾아보니…..
어라? 없넹……

인터넷을 뒤져보니… 기본적으로 message 설정이 되어 있지 않넹.!~

보통 rssyslogd 는 기본 설치가 되어 있으므로, rsyslogd를 이용하여 설치하자!

심각한 오류(Critical Error) 는 /var/log/syslog 파일에 남으나,

그 외, INFO, NOTICE 등의 퍼실러티 등은 기록되지 않고 없어진다.

이는 기본 rsyslogd 의 설정 때문이라 한다. (왜!!! 덩치를 가볍게 로그조차 허용안하는게냐!)

아래 파일을 root 권한으로 열람한다.

$ sudo vi /etc/rsyslog.d/50-default.conf

…

#*.=info;*.=notice;*.=warn;\

# auth,authpriv.none;\

# cron,daemon.none;\

# mail,news.none -/var/log/messages

…

본문 중에 상기 내용을 찾아 아래와 같이 ‘#’으로 주석처리 되어 있는 부분을 수정한다.

(기록을 원하지 않는 항목이 있다면 제외하면 되겠다)

*.=info;*.=notice;*.=warn;\

auth,authpriv.none;\

cron,daemon.none;\

mail,news.none -/var/log/messages

(옵션) 또한 마지막 부분의 아래 항목을 ‘#’으로 주석 처리하자.

(다량의 메시지를 화면에 출력하는 것을 막는다)

#daemon.*;mail.*;\

# news.err;\

# *.=debug;*.=info;\

# *.=notice;*.=warn |/dev/xconsole

이후 저장하고(:wq) 종료하면 된다.

(참조)아래를 참조하여 얼마 주기로 로그 파일을 갱신할 지 확인이 가능하다.

$ sudo vi /etc/logrotate.d/rsyslog

…

/var/log/messages

{

rotate 4

weekly

missingok

notifempty

compress

delaycompress

sharedscripts

postrotate

reload rsyslog >/dev/null 2>&1 || true

endscript

}

rsyslogd 데몬 서비스를 재실행 한다.

$ sudo /etc/init.d/rsyslog restart

이 후 부터는 기존처럼 /var/log/messages 에 로그가 쌓이기 시작한다.

Linux Log files and usage

=> /var/log/messages : General log messages

=> /var/log/boot : System boot log

=> /var/log/debug : Debugging log messages

=> /var/log/auth.log : User login and authentication logs

=> /var/log/daemon.log : Running services such as squid, ntpd and others log message to this file

=> /var/log/dmesg : Linux kernel ring buffer log

=> /var/log/dpkg.log : All binary package log includes package installation and other information

=> /var/log/faillog : User failed login log file

=> /var/log/kern.log : Kernel log file

=> /var/log/lpr.log : Printer log file

=> /var/log/mail.* : All mail server message log files

=> /var/log/mysql.* : MySQL server log file

=> /var/log/user.log : All userlevel logs

=> /var/log/xorg.0.log : X.org log file

=> /var/log/apache2/* : Apache web server log files directory

=> /var/log/lighttpd/* : Lighttpd web server log files directory

=> /var/log/fsck/* : fsck command log

=> /var/log/apport.log : Application crash report / log file

출처

http://mcchae.egloos.com/10913183

http://ubuntuforums.org/showthread.php?t=1568706

iptables 를 이용한 국가별 차단

Posted on 2014-11-25by CoCoCategories:설정방법

출처 : 설랑이의 공부 블러그 – http://srzero.tistory.com/104

중국의 짱개 / 이태리 양키 이런놈들이 자꾸 나의 서버를 침입한다.
이놈들을 막기 위해 방화벽을 설치 후 간단한 Script를 돌려 차단하였다.
iptables를 이용하면 간단하게 막을 수가 있다.

iptables를 이용하여 국가별 접속을 차단하는 방법에는 2가지가 있다.
(1) Kernel을 업데이트 한 후 iptables를 이용하는 방법
(2) Script를 이용하는 방법

나는 아직 Kernel Level에서 접근하는 법을 확실히 익히지 못하여 (2) 번 레벨에서 막도록 하겠다.

[1] 접속한 IP찾기
/var/log/auth.log를 뒤져 보면 아래와 같은 메시지가 뜬다.

1 18:Feb 13 13:14:03 xxxxx pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=200.27.62.186
2 22:Feb 13 13:14:07 xxxxx pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=200.27.62.186
3 25:Feb 13 13:14:09 xxxxx pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=200.27.62.186

위에서 얼핏보면 알겠지만 220.27.62.186 에서 자꾸 접속을 시도한다. 저놈이 도대체 어느나라 놈인지 알아보자.

대충 보아하나 칠레쪽 양키놈이다. 아~~~ 내서버에 뭔 볼일이 있다고 ㅠㅠㅠ 이제 저놈을
막도록 하자. 참고적으로 오늘부터 칠레 놈들이 싫어졌다.

[2] 국가별 Network 정보 Download하기
URL : http://geolite.maxmind.com/download/geoip/database/
위 URL로 가서 가장 최신으로 업데이트 된 Network 정보를 가져온다.
파일(GeoIPCountryWhois.csv) 을 열어보면 아래와 같다.

     1 “1.0.0.0”,”1.7.255.255″,”16777216″,”17301503″,”AU”,”Australia”
     2 “1.9.0.0”,”1.9.255.255″,”17367040″,”17432575″,”MY”,”Malaysia”
     3 “1.10.10.0”,”1.10.10.255″,”17435136″,”17435391″,”AU”,”Australia”
     4 “1.11.0.0”,”1.11.255.255″,”17498112″,”17563647″,”KR”,”Korea, Republic of”
     5 “1.12.0.0”,”1.15.255.255″,”17563648″,”17825791″,”CN”,”China”
     6 “1.16.0.0”,”1.19.255.255″,”17825792″,”18087935″,”KR”,”Korea, Republic of”
     7 “1.21.0.0”,”1.21.255.255″,”18153472″,”18219007″,”JP”,”Japan”
     8 “1.22.0.0”,”1.23.255.255″,”18219008″,”18350079″,”IN”,”India”
     9 “1.24.0.0”,”1.31.255.255″,”18350080″,”18874367″,”CN”,”China”
    10 “1.33.0.0”,”1.33.255.255″,”18939904″,”19005439″,”JP”,”Japan”
    11 “1.34.0.0”,”1.35.255.255″,”19005440″,”19136511″,”TW”,”Taiwan”
    12 “1.36.0.0”,”1.36.255.255″,”19136512″,”19202047″,”HK”,”Hong Kong”

앞에껀 순번 | startNetwork | EndNetwork | ,,, | 국가 이런 순이다. 그럼 위 정보를 파싱하여
Script를 만들어 보도록 하자.

[3] Script 생성하기

#! /bin/bash
echo “########## IP BLOCK Script START ###########”
# iptables init
sudo iptables -P INPUT ACCEPT
sudo iptables -F
echo “IPTABLES INIT SUCCESS”

BLOCK_LIST_FILE=./GeoIPCountryWhois.csv
echo “BLOCK LIST FILE = $BLOCK_LIST_FILE”

# ADD BLOCK TARGET LIST
BLOCK_TARGET_COUNTRY=”China|France|Chile”

# REGIST BLOCK IP FOR LOOP
for IP_BANDWIDTH in `egrep $BLOCK_TARGET_COUNTRY $BLOCK_LIST_FILE | awk -F, ‘{print $1, $2}’ | awk -F\” ‘{print $2″-“$4}’`

do
sudo iptables -I INPUT -p all -m iprange –src-range $IP_BANDWIDTH -j DROP
done

sudo iptables -L
echo “################### IP BLOCK Script END ############# “

위 스크립트는 랑이가 짠것이다. awk를 이해 하고 있다면, 아주 쉽게 만들수 있다.

만약 허용국가만 포함하고 싶을때에는 egrep의 조건을 조금 바꾸어주면된다.

#! /bin/bash
echo “########## IP BLOCK Script START ###########”
# iptables init
sudo iptables -P INPUT ACCEPT
sudo iptables -F
echo “IPTABLES INIT SUCCESS”

BLOCK_LIST_FILE=./GeoIPCountryWhois.csv
echo “BLOCK LIST FILE = $BLOCK_LIST_FILE”

# ADD BLOCK TARGET LIST
ALLOW_TARGET_COUNTRY=”Korea”

# REGIST BLOCK IP FOR LOOP
for IP_BANDWIDTH in `egrep -v $ALLOW_TARGET_COUNTRY $BLOCK_LIST_FILE | awk -F, ‘{print $1, $2}’ | awk -F\” ‘{print $2″-“$4}’`

do
sudo iptables -I INPUT -p all -m iprange –src-range $IP_BANDWIDTH -j DROP
done

sudo iptables -L
echo “################### IP BLOCK Script END ############# “

노란색으로 표현한 부분은 간단한 grep 명령이므로 별도로 설명안해도 될듯하다.

[4] Script 실행

########## IP BLOCK Script START ###########
IPTABLES INIT SUCCESS
BLOCK LIST FILE = ./GeoIPCountryWhois.csv

DROP all — anywhere anywhere source IP range 1.202.0.0-1.207.255.255
………
………
………

DROP all — anywhere anywhere source IP range 1.12.0.0-1.15.255.255

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
################## IP BLOCK Script END #############

다됐따 ㅋㅋㅋ 요렇게 하면 무사히 작업이 완료된다.

이 글을 쓰니 괜시리 애국심이 막 불타온다. 나도 언젠간 짱깨 / 양키 놈들 서버 들어가서 해집고 다니는 실력자가 되어야 겠다 .ㅋㅋㅋㅋ 이제 중국|프랑스|칠레 의 나쁜시키들이 안들어오겠지? 낼도 로그를 지켜봐야겠당 ㅋㅋ

– 2011.02.15 랑이씀 –

IPtables 사용법

Posted on 2014-11-25by CoCoCategories:설정방법

출처 : 우동 블러그 – http://s2kiess.blog.me/30164008171

1. iptables 기본 명령어

1-1. iptables 기본 명령어 목록

* -L : 적용 되어 있는 정책 목록을 출력한다.

* -A : 새로운 정책을 추가한다.

* -I : 위치를 선택하여 정책을 삽입한다.

* -R : 위치를 선택하여 정책을 교환한다.

* -D : 위치를 선택하여 정책을 제거한다.

* -N : 새로운 체인을 만든다.(INPUT, OUTPUT, FORWARD 외에)

* -P : 체인에 미리 정의되어 있는 정책을 수정한다.

* -F : 체인으로 부터 규칙들을 지운다.

* -Z : 체인의 모든 규칙들의 패킷과 바이트 카운트를 0으로 만든다.

* -X : 비어있는 체인을 제거한다.

1-2. iptables 기본 명령어 사용 예제

* iptables -L : 적용 시킨 정책 목록 출력

* iptables -D INPUT 1 : INPUT 체인 첫번째 줄에 있는 정책을 삭제한다.

2. iptables 제어 옵션 명령어

2-1. iptables 제어 옵션 명령어 목록

* -s : 패킷의 송신지를 제어한다.

* -d : 패킷의 수신지를 제어한다.

* -j : 방화벽을 지난 후 패킷의 상태를 제어한다.

* -p : 프로토콜을 제어한다.

* –sport : 송신지 포트를 제어한다.

* –dport : 수신지 포트를 제어한다.

2-2. iptables 제어 옵션 명령어 사용 예제

* iptables -A INPUT -s 192.168.0.5 -j DROP : 192.168.0.5로 부터 오는 패킷을 모두 차단한다.

* iptables -A INPUT -d ! 192.168.0.10 -j ACCEPT : 192.168.0.10를 향해 가는 패킷이 아니라면 허용한다.

* iptables -A INPUT -p TCP -j ACCEPT : TCP 프로토콜 패킷을 모두 허용한다.

* iptables -A INPUT -p TCP –dport 80 -j DROP : 80번 포트를 향해가는 TCP 패킷을 차단한다.

3. 패킷 상세 내역에 따른 제어 옵션 명령어

3-1. iptables 패킷의 상세 내역에 따른 제어 옵션 목록

* –tcp-flags : TCP 플래그에 따라 패킷을 제어한다.(첫 번째 인자를 검사하고 두 번째 인자는 설정이 되어야 함)

* -m state –state : 패킷의 상태와 목적에 따라 제어한다.

※ -m state 명령어 상태 리스트 ( -m state –state [상태] )

– NEW : 새로 접속을 시도하는 패킷

– ESTABLISHED : 접속을 한 상태에 있는 패킷

– INVALID : 유효하지 않은 패킷 (보통 DROP된다.)

– RELATED : 접속에 연관성을 가지는 패킷 ( e.g. FTP 접속 패킷, ICMP 에러 메세지)

3-2. iptables 패킷의 상세 내역 제어옵션 예제

* iptables -A INPUT -p TCP –tcp-flags SYN,RST,ACK SYN -j DROP : SYN패킷의 set이 1이면 DROP시킨다.

* iptables -A INPUT -p TCP -m state –state NEW -j DROP : 접속을 시도하는 SYN, ACK 플래그 패킷을 차단한다.

iStat Server for Linux 설치 방법

Posted on 2012-11-28by CoCoCategories:설정방법

About istatd

istatd is a daemon serving statistics to your iStat iPhone application from Linux, Solaris & FreeBSD. istatd collects data such as CPU, memory, network and disk usage and keeps the history. Once connecting from the iPhone and entering the lock code this data will be sent to the iPhone and shown in fancy graphs.

What is iStat for iPhone?

iStat is a iPhone application developed by Bjango (http://www.bjango.com/). With iStat you can remotely monitor CPU, memory, disks, uptime and load averages from any Mac, Linux or Solaris computer from your iPhone. You can download iStat in iTunes App Store.

How to install

These steps assume you are logged in as root and have GNU build tools installed together with libxml2.

1) Download istatd-x.x.x.tar.gz

# wget http://github.com/downloads/tiwilliam/istatd/istatd-0.5.8.tar.gz

2) Extract tar ball

# tar -xvf istatd-0.5.8.tar.gz

3) Install dependencies

istatd requires GNU build tools, libxml2 and libxml2-devel.
Depending on your distribution these packages can be diffrently named.

CentOS
# yum install libxml2-devel

Ubuntu
# apt-get install libxml2-dev

4) Build istatd

# cd istatd-x.x.x

Here you can configure where you want your binary and config to end up (default /usr/local).
# ./configure
or
# ./configure --prefix=/ --sysconfdir=/etc
or
# ./configure --prefix=/usr/local/istatd

# make
# make install

5) Add user and configure directories

# useradd istat
or
# groupadd -g 150 istat
# useradd istat -d /usr/local/istatd -u 150 -g 150 -s /sbin/nologin -g istat

# mkdir -p /var/{run,cache}/istat
# chown istat.istat /var/{run,cache}/istat

6) Configure your config to match your needs and system

# vim /etc/istat.conf
or
# vi /usr/local/istatd/etc/istat.conf

Note: Don't forget to change your server_code.

7) Fire it up

# /usr/bin/istatd -d
or
# /usr/local/istatd/bin/istatd -d

MySQL5.5.25 Source Compile 설치.

Posted on 2012-09-22by CoCoCategories:설정방법

CentOS 상에 MySQL5.5.25 Source Compile 설치.
1. 해당 시스템 상에 root 계정으로 로그인

2. http://www.mysql.com 으로 부터 MySQL-5.5.25.tar.gz 소스 파일 다운로드.

3. wget cmake.org/files/v2.8/cmake-2.8.8.tar.gz 다운로드
MySQL 5.5 버전부터는 크로스 플랫폼을 지원을 위해서 configure 대신 cmake 유틸리티로 변경되었음.

– tar -zxvf cmake-2.8.8.tar.gz
– cd cmake-2.8.8
– ./bootstrap
– make
– make install

위 설치가 완료되면, /usr/local/bin/cmake 가 생성된 것을 확인할 수 있다.

4. tar -zxvf MySQL-5.5.25.tar.gz

5. 컴파일 실행
cmake -DCMAKE_INSTALL_PREFIX=/MySQL/

-DWITH_EXTRA_CHARSETS=all
-DMYSQL_DATADIR=/MySQL/data/
-DENABLED_LOCAL_INFILE=1
-DWITH_INNOBASE_STORAGE_ENGINE=1
-DMYSQL_UNIX_ADDR=/tmp/mysql.sock
-DDEFAULT_CHARSET=utf8
-DDEFAULT_COLLATION=utf8_general_ci
-DWITH_EXTRA_CHARSETS=all
-DMYSQL_TCP_PORT=3306

5.1 cmake 실행 도중,

— Could NOT find Curses (missing: CURSES_LIBRARY CURSES_INCLUDE_PATH)
CMake Error at cmake/readline.cmake:83 (MESSAGE):
Curses library not found. Please install appropriate package, 와 같은 에러 발생 시,

yum -y install ncurses-devel 실행.

6. make && make install

7. groupadd mysql && useradd -g mysql -d /MySQL -s /bin/false mysql

8. cd /MySQL

9. chown -R mysql.mysql .

10. ./scripts/mysql_install_db —user=mysql

11. chown -R root .

12. chown -R mysql data

13. install -m 755 /MySQL/support-files/my-innodb-heavy-4G.cnf /etc/my.cnf

14.
vi /etc/my.cnf
default-storage-engine = InnoDB
innodb_force_recovery=0

15.
install -m 755 /MySQL/support-files/mysql.server /etc/rc.d/init.d/mysql
chkconfig —add mysql
chkconfig —level 3 mysql on
chkconfig —level 5 mysql on

/etc/rc.d/init.d/mysql start

16.
/MySQL/bin/mysql -u root -p mysql
update user set password=password(‘12345’) where user=‘root’;
flush privileges;

/MySQL/bin/mysql -u root -p 12345

mysqli 동적 모듈 추가

Posted on 2012-02-02by CoCoCategories:설정방법

< php 소스 파일에서 phpize를 이용하여 configure 생성 >

# cd php-x.x.x/ext/mysqli

# /usr/local/php/bin/phpize

# ./configure -?with-php-config=/usr/local/php/bin/php-config -?with-mysqli=/usr/local/mysql/bin/mysql_config

# make

< mysqli.so 모듈 복사 >

# mkdir /usr/local/php/modules

# cp modules/mysqli.so /usr/local/php/modules

< php.ini 추가/수정 >

# vi /usr/local/php/php.ini

extension_dir = “/usr/local/php/modules” <– 수정

extension=mysqli.so <– 추가

< 아파치 재실행 >

# /usr/local/apache2/bin/apachectl restart

** mysqli를 사용하는 것이 속도가 훨씬 빠릅니다.

CentOS / RedHat 9 (메일서버 (sendmail) 설치 및 운영)

Posted on 2012-02-01by CoCoCategories:설정방법

출처 : 리눅스 포털 : http://www.linux.co.kr/home/lecture/index.php?cateNo=&secNo=&theNo=&leccode=120

지금 써 내러 가는 강좌는 레드햇 9.0을 기반으로 써 내려갑니다. 물론 다른 버전과 어느정도 호환성은 가지고 있겠지만, 테스트 해보지 않고
씁니다. 앞의 설치 강좌를 보지 않았다면, 한번쯤 시간 내어 보기를 바랍니다.
서버 설치후 메일 서버설치는 옵션이 아닌 필수가
되었습니다. E-mail 은 오래전부터 사용되었습니다. 개인적으로 메일서버는 qmail이 더 좋다고 생각합니다. 모든 면에서.. 하지만,
qmail은 간단하게 설치 할 수 없고 배포판에 딸려 나오지 않았기 때문에 , 배포판 설치하면 기본적으로 설치된 sendmail을 사용하는
방법을 강좌로 써 보겠습니다.

1. 설치
센드메일은 앞의 설치
강좌데로 설치했다면, 이미 설치되었을 것입니다.
하지만 설치가 되었는지 확인할 필요가 있습니다. 확인하는 법은 다음과 같습니다.

[root@test root]# rpm -qa | grep
sendmail
sendmail-cf-8.12.8-4
sendmail-8.12.8-4

위와같은 결과가 나왔다면
배포판과 함께 이미 설치된 것입니다.
만약 위의 2개의 패키지중 sendmail-cf-8.12.8-4 이 패키지가 설치 되지 않았다면,
걱정하실 필요 없이 다음에 설명하는 방법으로 설치하면 패치된 버전을 설치 할 수 있습니다.

2. 패치된 버전 업그래이드
설치
sendmail은 보안에 취약하여, 항상 최신버전을 사용하라고 합니다. 하지만 소스 받고 컴파일
하기엔 너무 설치 작업이 오래 걸리기 때문에,.. 커널 처럼 패치판을 받아서 설치하도록 하겠습니다.
항상 편하게 하기 위해서 서버에
깔려있는 wget을 사용합니다. 이 명령어는 위험하기 때문에.. 속성을
chmod 700 /usr/bin/wget 으로 해
두시기 바랍니다.^^:
2개의 패키지를 가져옵니다. 물론 간단한 wget 명령어를 사용합니다.
[root@test root]#
wget
http://ftp.superuser.co.kr/pub/redhat/9/update/sendmail-8.12.8-9.90.i386.rpm
–16:34:22–
http://ftp.superuser.co.kr/pub/redhat/9/update/sendmail-8.12.8-9.90.i386.rpm
=>
`sendmail-8.12.8-9.90.i386.rpm’
Resolving ftp.superuser.co.kr…
완료.
Connecting to ftp.superuser.co.kr[210.114.223.221]:80…
connected.
HTTP 요청을 보냅니다, 서버로부터의 응답을 기다림…200 OK
길이: 535,659

100%[==================================================================>]
535,659 371.00K/s ETA 00:00
16:34:24 (371.00 KB/s) –
`sendmail-8.12.8-9.90.i386.rpm’가 보존되었습니다 [535659/535659]

[root@test root]# wget

http://ftp.superuser.co.kr/pub/redhat/9/update/sendmail-cf-8.12.8-9.90.i386.rpm
–16:34:41–
http://ftp.superuser.co.kr/pub/redhat/9/update/sendmail-cf-8.12.8-9.90.i386.rpm
=>
`sendmail-cf-8.12.8-9.90.i386.rpm’
Resolving ftp.superuser.co.kr…
완료.
Connecting to ftp.superuser.co.kr[210.114.223.221]:80…
connected.
HTTP 요청을 보냅니다, 서버로부터의 응답을 기다림…200 OK
길이: 292,786

100%[==================================================================>]
292,786 329.41K/s ETA 00:00
16:34:42 (329.41 KB/s) –
`sendmail-cf-8.12.8-9.90.i386.rpm’가 보존되었습니다 [292786/292786]

위와같은 방법을 사용하면 .. 간단하게 패키지를 서버로 가져올 수 있습니다.
이렇게 완벽하게 패키지 파일들을 가져 왔다면, 패키지를
설치 및 업그래이드 해야합니다.
[root@test root]# rpm -Uvh
sendmail-8.12.8-9.90.i386.rpm
경고: sendmail-8.12.8-9.90.i386.rpm: V3 DSA
signature: NOKEY, key ID db42a60e
준비 중…
###########################################
[100%]
1:sendmail 경고: /etc/mail/submit.cf(이)가
/etc/mail/submit.cf.rpmnew(으)로
생성되었습니다
########################################### [100%]
[root@test
root]# rpm -Uvh sendmail-cf-8.12.8-9.90.i386.rpm
경고:
sendmail-cf-8.12.8-9.90.i386.rpm: V3 DSA signature: NOKEY, key ID db42a60e
준비
중… ###########################################
[100%]
1:sendmail-cf
########################################### [100%]

이렇게 2 패키지를 업데이트(-Uvh) 합니다. 물론 패키지가 설치 되어 있지 않았다면, 설치 되었을 것입니다.
모든 작업은 실행후에
확인을 철저히 해야합니다.
[root@test root]# rpm -qa | grep
sendmail
sendmail-cf-8.12.8-9.90
sendmail-8.12.8-9.90
위의 결과와 같이
업데이트 또는 설치되었다는 것을 확인하실 수 있습니다.

3. /etc/mail/sendmail.mc 파일
편집
sendmail의 환경설정 파일인 sendmail.cf파일을 직접 건드려서 설정하면 보다 더
정확하고 상세 정보를 수정하고 성능 향상에 도움이 되겠지만, 하나의 언어를 익히는 것만큼의 노력과 시간이 필요합니다. 다행히 sendmail의
환경 설정 파일은 메크로 처리그를 이용해서 어느 부분만 설정하면, 간단하게 sendmail.cf파일을 작성할 수 있습니다.
고급
설정을 원하시는 분들은 sendmail을 공부하시는 것 보다 qmail 에 시간을 더 투자 하시는게 좋을 것 같습니다.^^

/etc/mail/sendmail.mc 파일을 편집기를 이용해서 열어야 합니다.
44, 45번째 줄의 내용을 편집합니다. 이는
smtp 인증 기능 사용을 위해서입니다. 이 smtp 인증기능을 사용하는 이유는 smtp 프로토콜은 아주 오래전에 만들어진 것입니다. 그 때는
스팸메일을 보내는 사람들도 없었기 때문에 모두 open relay이었습니다. 하지만 시간이 지나면서 이 open relay를 이용해 스패머들이
스팸메일을 뿌리기 시작했습니다. 이를 막기위해 인가된 사용자의 메일만 relay(중계)하는 방법이 필요했고, 이 방법을 smtp 프로토콜 위에
얹은 것 정도로 보시면 됩니다. 이 smpt 인증 방법이전에는 사용자의 ip로 인증하곤 했었습니다.

dnl TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN
PLAIN’)dnl
dnl define(`confAUTH_MECHANISMS’, `EXTERNAL
GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN’)dnl

위의 내용에서 빨간 부분을 지우시기 바랍니다.
TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5
LOGIN PLAIN’)dnl
define(`confAUTH_MECHANISMS’, `EXTERNAL GSSAPI DIGEST-MD5
CRAM-MD5 LOGIN PLAIN’)dnl
위와같이 되죠^^;

85번재 줄을 편집합니다. senmail은 언제부턴가 로컬(서버)에서 보내는 메일만 relay(전달)하였습니다. 하지만, 메일서버로
사용하기 위해서는 이 설정을 지워야 합니다.
DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1,
Name=MTA’)dnl
아래와 같이 빨간 부분을 적어 넣어 주석 처리 합닏.
dnl
DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA’)dnl

이렇게 하면 sendmail.mc 파일 편집은 끝납니다. 물론 많은 내용이 있습니다. 하지만 알고 싶으면 서버 설치후 시간이 많이 난다면
하나 하나 분석 해 보시는 것도 좋습니다만~~^^;

이젠 만들어진 sendmail.mc 파일로 sendmail.cf 파을을 만들어야
합니다.
[root@test mail]# pwd
/etc/mail
[root@test mail]# m4
sendmail.mc > sendmail.cf

위와같이 한줄로 sendmail.cf파일은 생성됩니다. 이렇게 생성 하였다면, 반드시 sendmail을 재 시작해야 합니다.
sendmail은 시작할 때 환경설정파일(sendmail.cf )을 로드 하기 때문입니다.
[root@test mail]#
/etc/rc.d/init.d/sendmail restart
sendmail를 종료하고 있습니다:
[ 확인 ]
sm-client을 종료하고 있습니다:
[ 확인 ]
sendmail (을)를 시작합니다:
[ 확인 ]
sm-client을 시작하고 있습니다:
[ 확인 ]

4. /etc/mail/access 파일
편집
이 파일을 잘 사용하면 조금의 스팸 필터링을 할 수 있습니다. 하지만 기본 설정만 하도록
하겠습니다.
이 서버에서 사용할 도메인을 다음과 같이 넣어줘야 합니다. 예를 들어 도메인이 0link.co.kr
이라면,
0link.co.kr RELAY
이렇게 relay가 가능하게 합니다. 이
설정은 메일을 보낼 때 위 도메인으로 메일을 보내면 relay를 하겠단 설정입니다.
이렇게 설정하고 다음과같이 db를 만둘어 주어야
합니다.
[root@test mail]# makemap hash access < access
이때 주의 하시기
바랍니다. “< ” 이렇게 되죠^^:

5. /etc/mail/local-host-names

이 파일은 쉽게 설명하면 메일을 받을 도메인을 넣어두는 파일입니다.. 예를들어 도메인이
0link.co.kr이라면,
0link.co.kr
위와같이 도메인을 달랑 적어주면 됩니다. 물론 다중 도메인이면 한
도메인에 한줄씩 줄~줄~ 적으면 됩니다.
위 파일설정을 바꾼 다음엔 반드시 sendmail을 재 시작해 줘야합니다.~

6. /etc/mail/virtusertable 파일 이용한 가상 유저
셋팅
sendmail은 기본적으로 시스템(리눅스)의 계정을 사용합니다. 그래서 도메인이 다르다고 하더라도 계정이
이름이 같으면 같은 사람으로 취급합니다. 예를 들면, 셋팅한 서버에 2개의 도메인(0link.co.kr, hyung.co.kr)이 설정되어있다고
가정합니다. 모두 홈페이지를 운영하고 있다면, webmaster@0link.co.kr 과 webmaster@hyung.co.kr 이라는 메일 주소가 존재 할 것입니다. 그렇다면 서버에서
webmaster이라는 계정을 생성한 다음 메일을 받아보면, 위 2 주소로 보낸 메일 모두 webmaster라는 계정으로 들어오게 됩니다. 이런
경우 사용하는 것이 virtusertable입니다.
webmaster@0link.co.kr 이라는 계정으로 오는 메일은 link 라는
계정으로
webmaster@hyung.co.kr 으로 오는 메일은 hyung 라는 계정으로 받아보게 설정하는
것입니다.

webmaster@0link.co.kr link
webmaster@hyung.co.kr
hyung위와같이 설정하면 가능합니다.
(주의) 메일 계정과 linux 계정 사이에는 키로 띄워
주시기 바랍니다. 그렇게 하지 않으면 인식하지 못합니다.

이렇게 설정하고 다음과같이 db를 만둘어 주어야
합니다.
[root@test mail]# makemap hash virtusertable <
virtusertable
이때 주의 하시기 바랍니다. “< ” 이렇게 되죠^^:

7. pop3 서버
설치
지금까지 mail 서버를 설치하였습니다. 물론 지금까지 설치로 메일서버의 기능을 할 수 있습니다.
서버내에서 mutt등 메일 클라이언트를 사용하여 메일을 보내고 받을 수 있습니다. 하지만 모두다 outlook같은 프로그램으로 pc에서 받아보길
원할 것입니다. outlook에서 메일을 받아 보기 위해서는 imap 또는 pop3 서버를 설치해야 합니다. 대 부분의 사람들이 imap 보다는
pop3 서버를 많이 사용합니다. imap은 webmail에서 많이 사용합니다. pop3 서버는 개인적으로 qpopper이 더 좋다고
생각하지만. 그 프로그램을 컴파일 하여 설치하기엔 시간이 너무 많이 걸립니다. 간단하게 rpm으로 설치할 수 있는 pop3서버를 설치 해
보도록하겠습니다. 제가 쓴 설치 강좌데로 설치 했다면 아래의 패키지가 설치 되어있을것입니다.

[root@test mail]# rpm -qa | grep imap
imap-2001a-18

위와같이 설치되어 있지 않다면 다음 방법으로 설치하시기 바랍니다.
wget
http://ftp.superuser.co.kr/pub/redhat/9/RPMS/imap-2001a-18.i386.rpm
rpm -Uvh
imap-2001a-18.i386.rpm
이렇게 설치 하게 되면, imap, imaps , ipop3, pop3s 이렇게
4개의 서버가 설치됩니다.
여기서 ipop3 만 사용합니다.

ntsysv
명령어를 사용하여 다른 데몬은
채크를 지워 주시기 바랍니다. 물론 ipop3는 채크가 된 상태여야 합니다.

xinetd를 재 시작해야
합니다.
[root@test mail]# /etc/rc.d/init.d/xinetd restart
xinetd 를
정지함: [ 확인 ]
xinetd (을)를 시작합니다:
[ 확인 ]

모두들 아실 것이라고 믿고 outlook설정은 설명하지
않겠습니다. 단지 설정하시고,
도구 -> 계정 -> 속성 -> 서버 -> 인증필요(채크) ->
적용
위와같이 설정하시기 바랍니다.(smtp 인증법)

8. 서버 데몬 확인 및 서비스 확인
이렇게 설치 하셨다면, 간단한
메일 서버는 셋팅은 끝입니다. 이제 서비스를 확인해야 합니다.
[root@test mail]# netstat -an | grep
LISTEN
tcp 0 0 0.0.0.0:1024 0.0.0.0:*
LISTEN
tcp 0 0 127.0.0.1:1029
0.0.0.0:* LISTEN
tcp 0
0 0.0.0.0:110 0.0.0.0:* LISTEN

tcp 0 0 0.0.0.0:111 0.0.0.0:*
LISTEN
tcp 0 0 0.0.0.0:22
0.0.0.0:* LISTEN
tcp
0 0 0.0.0.0:25 0.0.0.0:* LISTEN

현재 열려있는 포트입니다. 다른 것들은 서비스에 따라 다를 수 있으니 신경쓰지 마시구요, 110 포트(pop3),
25번
포트(smtp 그러니까 sendmail)입니다. 위와같아야 합니다.

9. 메일큐 내용 확인하기
홈페이지 운영하다 메일링 리스트에서 메일을 보내게
되면, 정상적인 메일주소로는 메일이 가지만, 정상적인 메일주소가 아닌 경우 가지도 않고 메일큐(/var/spool/mqueue)에 쌓여서 서버의
부하를 주는 경우가 있습니다.. sendmail은 기본설치된 것이 1시간마다 메일큐를 비우게 되어 있고, 한 번 보낸 메일은 7일동안 메일을
보내려고 시도하게 됩니다.. 메일큐에 보내지 못한 메일이 많으면 서버에 부하만 늘어납니다. 이런 경우 mailq라는 명령어로 큐 내용을
확인하여 지워줘야 합니다..
[root@test root]# mailq
/var/spool/mqueue is
empty
Total requests: 0
위와 같은 경우 메일큐가 비어있는 상태입니다.
큐를
지우는 방법은
[root@test root]# rm -rf /var/spool/mqueue/*
이렇게 해서 메일큐를
비울 수 있습니다.. 모두 지웠다면 반드시 sendmail을 재시작 해 주기 바랍니다.

10. 도메인 셋팅 스크립트
서버를 많이 관리하다보면 파일 하나 하나 열어서
셋팅하는 일이 귀찮고도 시간이 많이 걸립니다. 항상 스크립트를 작성해두고 설정하는 것이 실수를 줄이고, 작업 시간도 줄일 수 있습니다. 다음과
같이 간단 한 스크립트를 작성해서 저장합니다.
#!/bin/bash
echo “간단한 메일 셋팅 프로그램 by
doly엣superuser.co.kr “
if [ “$1” == “” -o “$2” == “” ] ; then
echo
-e “n ############ 사용법 ############## “
echo -e “$0 아이디 도메인
n”
exit 0
fi

echo “webmaster@$2 으로 들어오는 메일은 $1@$2 메일계정으로 받습니다.”
echo -e “$2 ttt
RELAY” >> /etc/mail/access
echo “$2” >>
/etc/mail/local-host-names
echo -e “webmaster@$2 ttt $1” >>
/etc/mail/virtusertable
echo “1. db 생성중..”
makemap hash /etc/mail/access
< /etc/mail/access
makemap hash /etc/mail/virtusertable <
/etc/mail/virtusertable
echo “2. 센드메일 재 시작중 “
/etc/rc.d/init.d/sendmail
restart

파일을 만들어서 위 내용을 붙여 넣은 다음에 실행 권한을 줍니다. 그리구 아래와같이 실행하면,

[root@test root]# ./mailsetup.sh
간단한 메일 셋팅 프로그램 by
doly엣superuser.co.kr

############ 사용법 ##############
./mailsetup.sh 아이디 도메인

위와같이 실행시키면 간단한 사용법이 나옵니다.

[root@test root]# ./mailsetup.sh doly
0link.co.kr
간단하 메일 셋팅 프로그램 by doly엣superuser.co.kr

webmaster@0link.co.kr 으로 들어오는 메일은 doly@0link.co.kr 메일계정으로 받습니다.
1. db
생성중..
2. 센드메일 재 시작중
sendmail를 종료하고 있습니다: [
확인 ]
sm-client을 종료하고 있습니다: [ 확인 ]
sendmail
(을)를 시작합니다: [ 확인 ]
sm-client을 시작하고 있습니다:
[ 확인 ]

위와같이 id : doly , 0link.co.kr으로 입력하면 위와같이 자동 셋팅됩니다.
/etc/mail/access 파일,
/etc/mail/local-host-names, /etc/mail/virtusertable 파일이 변경되고, db 갱신되며, sendmail
재시작 됩니다.

11. 마치며..

메일서버는 이게 전부가 아니지만 최대한 간단하게 강좌를 쓰고 마치도록 하겠습니다. 본 강좌의 셋팅에서 여러 에러 가 나타날 수 있습니다.
설정 안되는 부분이 있으면, 아래의 메일 주소로 메일 한통 주시면 답변을 해 드리고 강좌를 수정하도록 하겠습니다. 부디 많은 도움이 되시길
바랍니다.
혹시 본 강좌에 대한 질문 및 오타를 발견하게 되면, 메일 한통 보내주기 바란다. 메일주소는 doly
골뱅이superuser.co.kr 이다. 메일 주소를 무단 수집해서 스팸메일을 보내는 이를 막기 위해서 위와 같이 표기했으며, 골뱅이
부분은 @ 치환하면 됩니다.

이상… 2004. 5. 24 ~ 수퍼유저 운영자 doly …

2004.08.26 Fedora Core 2에서 smtp 인증기능 :
/etc/rc.d/init.d/saslauthd 데몬을 띄워야 합니다.

Linux 서버에 NFS 설정

Posted on 2012-01-05by CoCoCategories:설정방법

1. 필요한 데몬

– portmap : NFS가 RPC 기반으로 돌아 가기 때문에 rpcbind의 매핑위해 필용한 데몬

– rpc.nfsd : NFS데몬으로 실제로 NFS로 파일 시스템을 공유 가능하게 해줌

– rpc.mountd : 마운트를 가능하게 해주는 데몬

* nfs 관련 패키지가 설치 되어 있지 않으면 레드햇은 RPM으로 nfs-utils 와 portmap

을 받아서 설치 하면 됨

(대부분의 리눅스 시스템에서는 기본적으로 설치 되어 있음)

2. 데몬 실행 (portmap 을 먼저 실행 해야 함)

– /etc/init.d/portmap start

– /etc/init.d/nfs start

– 실행 확인 : rpcinfo -p

– checkconfig 명령을 이용 해서 리부팅 할때 자동으로 실행 하게 하면 편리 함

checkconfig –leve 3 nfs on

3. 설정 파일

– /etc/exports 파일을 수정하고 portmap restart 명령을 내리면 됨

– 설정 방법

/test 192.168.0.10(rw) –> 192.168.0.10 서버에서 리드 라우트 권한을 가짐

/test 192.168.0.10(ro) –> 192.168.0.10 에서 읽기 권한만 가짐

/test 192.168.0.10(rw)

/test/test2 192.168.0.10(noaccess) –> 하위 디렉토리 접근 권한 없음

/test 192.168.0.10(rw,root_squash) –> 루트로 마운트시 루트 권한이 아닌

nfsnobody 권한으로 사용 하게 됨

no_root_squash 로 하면 root권한으로 사용(보안적인 문제로 인하여 잘

사용 하지는 않음)

기본 값은 root_squash 임

/test 192.168.0.10(rw,all_squash) –> 일반 사용자 모두 nfsnobody 로 매핑

되어 사용 함, 각각의 계정으로 사용 하려면 no_all_squash로 설정 함

no_all_squash 가 기본 값임

/etc 192.168.0.19(rw,anonuid=510,anongid=510) –> 특정 계정으로 권한을 줌

* nfsnobody 로 할 경우 UID가 지 맘대로 정해 지는 현상이 있음으로 그것에 맞게

nfs서버에서 디렉토리 권한을 바꾸주면 됨

4. 클라이언트에서 NFS 붙이기

– NFS 서버에 공유된 디렉토리를 확인합니다.

showmount -e <서버 IP>

– 공유된 디렉토리를 마운트할 로컬 디렉토리를 만들어 줍니다. 이건 mkdir로 ㅎ

– 이제 마운트 해줍니다.

mount -t nfs <서버 IP>:<디렉토리> <로컬 디렉토리>

ex) mount -t nfs 192.168.0.1:/usr/local /localmount

* 자동 마운트를 할경우

클라이언트의 /etc/fatab 에 다음 항목 추가

192.168.0.10:/home/jook /data nfs defaults 0 0

Apache/PHP 모듈 설정 (추가 설치)

Posted on 2011-10-20by CoCoCategories:설정방법

참고 : http://heewon0117.blog.me/120123652471
추가하고자 하는 모듈 대부분은 php 소스에 있으므로 처음 PHP 설치시 모듈을 추가하지 않았다면 다음의 방법으로 추가할 수 있다. (php 재설치 없이)

EX) curl 모듈을 기존 php에 추가하는 방법

Ex . 모듈 설치(curl)
cd php소스 디렉토리/ext/curl
/usr/local/php/bin/phpize
./configure –with-php-config=/usr/local/php/bin/php-config –with-curl=/usr/local/curl
make
make install
——————————————————————————————
을 하면 대충 Installing shared extensions: /usr/local/php/lib/php/extensions/no-debug-non-zts-20050922/
에 curl.so 이 생긴다
——————————————————————————————
cd /usr/local/php/lib/php/extensions/no-debug-non-zts-20050922/
cp curl.so /usr/local/apache/modules/

vi /usr/local/php/lib/php.ini
————————————————
;extension_dir = “./”
extension_dir = “/usr/local/apache/modules”

;;;;;;;;;;;;;;;;;;;;;;
; Dynamic Extensions ;
;;;;;;;;;;;;;;;;;;;;;;
extension=curl.so