PhpMyAdmin (WebDB) Session 오류 해결방법

phpMyAdmin 실행시 다음의 오류가 나는 경우

phpMyAdmin – Error


Cannot start session without errors, please check errors given in your PHP and/or webserver log file and configure your PHP installation properly.


원인은 PHP가 Session 을 생성하는데, 있어 Session 생성이 실패했다는 것이다.
저 오류의 대표적인 원인은 Session 을 저장하는 디렉토리가 잘못되었거나 권한이 없어 세션을 생성하는데 실패했다는 뜻이다.

일반적으로 리눅스는 /tmp 디렉토리를 임시디렉토리로 쓰므로 다음의 파일을 열어.. 다음의 옵션을 수정한다.

/etc/php.ini 파일 을 열어 수정한다. 이 파일은 php의 옵션을 다루고 있는 파일이다.

session.save_path = “/tmp”      <- 세션 디렉토리를 /tmp로 설정한다.
register_globals = On               <- PHP에서 변수를 전달할때 바로 전달이 되도록 한다. 이 옵션을 On으로 해두면 대부분의 php 프로그램이 동작되나, off로 해두면 동작안되는 php프로그램이 상당히 많이 생긴다… 보안은 조금 취약해질수 있지만.. 호환성을 위해 On으로 한다.

그리고 당연히 아파치 재시작~~~~~~




APACHE의 Virtual Host 셋팅

설정파일 위치 : /usr/local/apache/conf/extra/httpd-vhosts.conf


[#M_더보기(펼치기)|닫기|


# machine you can setup VirtualHost containers for them. Most configurations
# use only name-based virtual hosts so the server doesn’t need to worry about
# IP addresses. This is indicated by the asterisks in the directives below.
#
# Please see the documentation at
# <URL:http://httpd.apache.org/docs/2.2/vhosts/>
# for further details before you try to setup virtual hosts.
#
# You may use the command line option ‘-S’ to verify your virtual host
# configuration.


#
# Use name-based virtual hosting.
#
NameVirtualHost 210.119.104.85


#
# VirtualHost example:
# Almost any Apache directive may go into a VirtualHost container.
# The first VirtualHost section is used for all requests that do not
# match a ServerName or ServerAlias in any <VirtualHost> block.
#
<VirtualHost 210.119.104.85>
    ServerAdmin
root@localhost
    DocumentRoot /home/coco/html
    ServerName neococo.net
    ServerAlias
www.neococo.net
    ErrorLog logs/error_log
    CustomLog logs/access_log combined env=!not_log
</VirtualHost>
<VirtualHost 210.119.104.85>
    ServerName
www.lovecoco.net
    ServerAlias lovecoco.net
    #ResinConfigServer 127.0.0.1 6802
    DocumentRoot /home/html01/html
    ErrorLog logs/error_log
    CustomLog logs/access_log combined env=!not_log
</VirtualHost>
<VirtualHost 210.119.104.85>
    ServerAdmin
blog@localhost
    DocumentRoot /home/blog/html
    ServerName blog.lovecoco.net
    ServerAlias blog.neococo.net
    ErrorLog logs/user-blog-error_log
    CustomLog logs/user-blog-access_log combined env=!not_log
</VirtualHost>
<VirtualHost 210.119.104.85>
    ServerAdmin
root@localhost
    DocumentRoot /home/gate/html
    ServerName www01.clubgate.co.kr
    ErrorLog logs/user-clubgate-error_log
    CustomLog logs/user-clubgate-access_log combined env=!not_log
</VirtualHost>
<VirtualHost 210.119.104.85>
    ServerAdmin
root@localhost
    DocumentRoot /home/gate01/html/webdisk
    ServerName webhard.clubgate.co.kr
    ErrorLog logs/user-clubgate-error_log
    CustomLog logs/user-clubgate-access_log combined env=!not_log
</VirtualHost>

_M#]

BIND 셋팅

* /etc/named.conf 설정


[#M_ more.. | less.. |/ named.caching-nameserver.conf
//
// Provided by Red Hat caching-nameserver package to configure the
// ISC BIND named(8) DNS server as a caching only nameserver
// (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// DO NOT EDIT THIS FILE – use system-config-bind or an editor
// to create named.conf – edits to this file will be lost on
// caching-nameserver package upgrade.
//

options {
        listen-on port 53 { 127.0.0.1; };
        listen-on port 53 { xxx.xxx.xxx.xxx; };
        listen-on-v6 port 53 { ::1; };
        directory       “/var/named”;
        dump-file       “/var/named/data/cache_dump.db”;
        statistics-file “/var/named/data/named_stats.txt”;
        memstatistics-file “/var/named/data/named_mem_stats.txt”;
        query-source port 53;
        query-source-v6 port 53;
        allow-query     { any; };
        allow-transfer  { xxx.xxx.xxx.xxx; };
        recursion yes;
};


logging {
        channel default_debug {
                file “data/named.run”;
                severity dynamic;
        };
};


zone “.” IN {
        type hint;
        file “named.ca”;
};


include “/etc/named.rfc1912.zones”;

_M#]



##################################################################
/etc/named.rfc1912.zones 설정
##################################################################


[#M_ more.. | less.. |// named.rfc1912.zones:
//
// Provided by Red Hat caching-nameserver package
//
// ISC BIND named zone configuration for zones recommended by
// RFC 1912 section 4.1 : localhost TLDs and address zones
// and http://www.ietf.org/internet-drafts/draft-ietf-dnsop-default-local-zones-02.txt
// (c)2007 R W Franks
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

zone “.” IN {
        type hint;
        file “named.ca”;
};


zone “localdomain” IN {
        type master;
        file “localdomain.zone”;
        allow-update { none; };
};


zone “localhost” IN {
        type master;
        file “localhost.zone”;
        allow-update { none; };
};


zone “0.0.127.in-addr.arpa” IN {
        type master;
        file “named.local”;
        allow-update { none; };
};


zone “0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa” IN {
        type master;
        file “named.ip6.local”;
        allow-update { none; };
};
zone “255.in-addr.arpa” IN {
        type master;
        file “named.broadcast”;
        allow-update { none; };
};


zone “0.in-addr.arpa” IN {
        type master;
        file “named.zero”;
        allow-update { none; };
};
zone “lovecoco.net” IN {
        type master;
        file “zone-lovecoco.net”;
        allow-update { none; };
};



_M#]



##################################################################
/var/named/chroot/var/named/zone-lovecoco.net 설정
##################################################################


[#M_ more.. | less.. |$TTL 360
@       IN      SOA     ns1.lovecoco.net. root.lovecoco.net. (
                                 2008070904  ;Serial
                                 21600       ;Refresh ( 6 hours)
                                 1800        ;Retry   (30 minutes)
                                 1209600     ;Expire  (14 days)
                                 360)          ;Minimum ( 0 Seconed)
                    IN    A      xxx.xxx.xxx.xxx
                    IN    NS     ns1.lovecoco.net.
;ns1.lovecoco.net.    IN   NS     ns1.lovecoco.net.
                    IN    MX  0  mail
mail                IN    A  xxx.xxx.xxx.xxx

; Host addresses
ns1                 IN    A      xxx.xxx.xxx.xxx
ftp                 IN    A      xxx.xxx.xxx.xxx
www01   IN    CNAME 
www.lovecoco.net.
www                 IN    A      xxx.xxx.xxx.xxx

_M#]

Fedora 7 이상 버젼을 DVD 없이 CD로만 설치하는 방법

DVD는 2.5G가 넘지만.. CD한장 100메가도 안되는 용량만 가지고 설치할수 있다. 이때 당연히 그 외의 파일은 인터넷에서 가져온다~ 즉 인터넷이 연결되야 한다^^

우선 다음의 주소에서 “
F-7-i386-rescuecd.iso” 이 파일을 받아 CD로 굽는다.
http://ftp.kaist.ac.kr/pub/fedora/linux/releases/7/Fedora/i386/iso/

구운  CD를 넣고 부팅한후,

“Install or upgrade an existing system”선택
사용자 삽입 이미지

그리고 그 후에는 적당히 넘어간다.
한국어 선택후.. 적당이 넘어가다가

Installation Method 항목에서 “FTP”를 선택한다.

사용자 삽입 이미지
이후 자신의 네트웍 환경에 맞게 셋팅한다.
나는 고정아이피에 IPV4를 사용하기 때문에 다음과 같이 했당.

사용자 삽입 이미지
이후 내 PC에 IP와 게이트웨이, 도메인 서버등을 설정해준다.

(IP는 보안상 이유로 블럭처리)
이렇게 인터넷이 가능하게끔 네트웍을 설정해주고
사용자 삽입 이미지
이후 FTP주소와 폴더를 입력하라고 하는데..
FTP Site name  : ftp.kaist.ac.kr
Fedora Directory : pub/fedora/linux/releases/7/Fedora/i386/os/

사용자 삽입 이미지

다음 넘어가면 CD 찾았다고 하는데;
CD는 SKIP 하고 ~~~ 넘어간다.

그다음은 평소 설치대로 설치하면 된다.
설치하다보면 “설치를 준비중입니다. 이 단계는 수분에서 수십분이 걸릴 수 있습니다” 라는 메세지가 나오는데;;; 거의 1-2시간 걸린답;; –^

인터넷에서 다운받아 설치해서 그런지 속도는 DVD로 할때보다 훨씬 더 걸리지만 (3시간?).. DVD가 없는 사람한테는 어째튼  편리하다.
DVD 드라이버를 떼서 연결했다 설치하고 다시 떼서 원래데로 붙여놓는 그 노력보다.. 는 간단하기 때문이다.


APACHE에서 PHP 파일을 인식하지 못할때

/usr/local/apache/conf/httpd.conf
파일중..
아래부분에 빨강색 부분을 추가한다.

<IfModule mime_module>
    #
    # TypesConfig points to the file containing the list of mappings from
    # filename extension to MIME-type.
    #
    TypesConfig conf/mime.types


    #
    # AddType allows you to add to or override the MIME configuration
    # file specified in TypesConfig for specific file types.
    #
    #AddType application/x-gzip .tgz
    #
    # AddEncoding allows you to have certain browsers uncompress
    # information on the fly. Note: Not all browsers support this.
    #
    #AddEncoding x-compress .Z
    #AddEncoding x-gzip .gz .tgz
    #
    # If the AddEncoding directives above are commented-out, then you
    # probably should define those extensions to indicate media types:
    #
    AddType application/x-compress .Z
    AddType application/x-gzip .gz .tgz


    # And for PHP 4.x, use:
    AddType application/x-httpd-php .php .php3 .inc .ph .htm .html
    AddType application/x-httpd-php-source .phps


    #
    # AddHandler allows you to map certain file extensions to “handlers”:
    # actions unrelated to filetype. These can be either built into the server
    # or added with the Action directive (see below)
    #
    # To use CGI scripts outside of ScriptAliased directories:
    # (You will also need to add “ExecCGI” to the “Options” directive.)
    #
    AddHandler cgi-script .cgi .pl


    # For files that include their own HTTP headers:
    #AddHandler send-as-is asis


    # For server-parsed imagemap files:
    #AddHandler imap-file map


    # For type maps (negotiated resources):
    #AddHandler type-map var


    #
    # Filters allow you to process content before it is sent to the client.
    #
    # To parse .shtml files for server-side includes (SSI):
    # (You will also need to add “Includes” to the “Options” directive.)
    #
    #AddType text/html .shtml
    #AddOutputFilter INCLUDES .shtml
</IfModule>

ProFTPd 설치 및 실행시… 접속이 지연되는 현상

Proftpd 설치

다음의 주소에서 다운로드

#
ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.2rc1.tar.gz


Proftpd 실행시 Client 접속시 접속이 지연되는 현상.
이는 Proftpd 가 Client 의 접속요구를 받으면, 역방형 DNS를 확인하기 때문이다

proftpd.conf 에 다음의 두줄을 추가

UseReverseDNS                   off
IdentLookups                    off

내가 사용하는 APM 셋팅 옵션

아래 명령어 다운로드
– Command : wget
http://www.lovecoco.net/dataout/userdata/command.txt





MYSQL
– DownLoad : wget
http://www.lovecoco.net/dataout/userdata/mysql-5.1.22-rc.tar

./configure –prefix=/usr/local/mysql –with-charset=euckr –with-unix-socket-path=/usr/local/mysql/mysql.socket –with-mysqld-user=mysql


APACHE
– DownLoad : wget
http://www.lovecoco.net/dataout/userdata/http-2.2.0.tar

./configure –prefix=/usr/local/apache –enable-mods-shared=most –enable-modules=so –with-mpm=worker


PHP
– DownLoad : wget
http://www.lovecoco.net/dataout/userdata/php-5.2.4.tar

WEBDB
– DownLoad : wget
http://www.lovecoco.net/dataout/userdata/webdb.tar


./configure –prefix=/usr/local/php –with-exec-dir=/usr/bin –with-apxs2=/usr/local/apache/bin/apxs –with-apache-install=/usr/local/apache –with-mysql=/usr/local/mysql –with-config-file-path=/etc –disable-debug –enable-safe-mode –enable-track-vars –enable-sockets –with-png-dir=/usr/lib –with-freetype-dir=/usr/include/freetype2 –with-mod_charset –with-charset=euc_kr –with-xml –with-language=korean –enable-mailparse –enable-calender –enable-sysvsem=yes –enable-sysvshm=yes –enable-ftp –enable-magic-quotes –enable-gd-native-ttf –enable-versioning –enable-url-includes –enable-trans-id –enable-inline-optimization –with-iconv –enable-mbstring –enable-mbregex –with-gd –with-ttf –with-gettext –enable-sigchild –enable-module=so   –enable-versioning –enable-url-includes –enable-trans-id –enable-inline-optimization –enable-bcmath –with-jpeg –with-png –with-zlib

make all -> make test 를 실행해야함



# FTP Server Start
/usr/local/proftpd/sbin/proftpd

# MySQL Server Start
/usr/local/mysql/bin/mysqld_safe –user=mysql –language=korean –old-passwords &


# Apache Server Start
/usr/local/apache/bin/apachectl start

리눅스 방화벽 프로그램 iptables 설정

리눅스 방화벽 프로그램 iptables 설정

iptables 명령은LOBD리눅스 IPv4 방화벽을07M4설정하는DWIY명령어이다. 1.1 시리즈 부터 리눅스 커널은LOBD패킷 필터링을07M4포함하기 시작했다.
제 1세대는DWIYBSD의 ipfw를47EH기본으로 했고 1994년 후반기에 알란 콕스(Alan Cox) 에 의해서 포트 됐다.
이것은LOBD리눅스 2.0에서 Jos Vos와 다른이들에 의해서 개선됐고 커널의 필터링 규칙을07M4제어하는DWIY사용자 툴로는DWIY‘ipfwadm’이Y6WZ사용됐다.
1998년 중반에 리눅스 2.2를47EH위해 사용자 툴로 ‘ipchains’를47EH내놓았다. 마지막으로, 제 4세대 툴이Y6WZ‘iptables’이고 리눅스 2.4를47EH위해 1999년 중반에 커널을07M4재작성했다.

<리눅스매거진 편집부>

패킷 필터란 네트워크를47EH통하는DWIY모든 것은LOBD패킷의 형태를47EH가지며, 패킷의 앞부분에는DWIY패킷이Y6WZ어디서 왔는지 어디로 향하는지, 어떤 프로토콜을07M4이용하는지 등과 같은LOBD정보를47EH가지고 있다. 패킷 필터는DWIY이렇게 지나가는DWIY패킷의 헤더를47EH보고 패킷을07M4‘DROP'(마치 전혀 전달되지 않는DWIY것처럼 패킷을07M4거부) 하거나 ’ACCEPT‘(패킷이Y6WZ지나가도록 내버려 둠)하는DWIY등의 작업을07M4하는DWIY프로그램을07M4말한다. iptables은LOBD이런 패킷 필터링 기능을07M4설정하는데 사용할 수 있는DWIY프로그램이다. 자신의 시스템에 설치돼 있는DWIYiptables의 버전을07M4확인하는DWIY방법은LOBD아래명령을07M4통해 가능하다.


# iptables –version

iptables 1.2.4


커널은LOBD3가지의 방화벽 체인(chain)을07M4기본적으로 가지고 패킷 필터링을07M4시작한다. 파이어월 체인 혹은LOBD체인이라 부르는DWIYY6WZ3가지는DWIY입력(Input), 출력(Output), 전달(Forward)이다. 입력체인은LOBD들어오는DWIY패킷을07M4조사하고 전달체인은LOBD외부의 다른 시스템으로 전달될 패킷을07M4조사한다. 마지막으로 출력체인은LOBD외부로 나가는DWIY패킷을07M4조사한다.

■ 패킷검사방법

1. 패킷이Y6WZ커널에 도착하면 그 패킷의 목적지를47EH확인한다. 이것을07M4‘라우팅’ 이라고 한다.
2. 패킷의 목적지가ZCW0이곳이면, 패킷은LOBD전달돼 입력체인에 도달한다. 패킷이Y6WZ입력체 인을07M4통과하면 패킷을07M4기다리고 있던 프로세서가ZCW0받게 된다.
3. 그렇지 않고 커널이Y6WZ포워딩 불능이나, 패킷을07M4어떻게 포워딩해야 하는가를47EH알지 못하면, 그 패킷은LOBD‘DROP‘ 된다. 포워딩이Y6WZ가능하게 돼있고 다른 곳이Y6WZ목적지이면 패킷은LOBD그림의 오른쪽 방향으로 전달돼 포워딩 체인으로 간다. 이Y6WZ체인이Y6WZ’ ACCEPT‘ 하게 되면 이것은LOBD포워딩 할 네트워크로 보내진다.
4. 마지막으로, 로컬에서 수행하던 프로그램은LOBD네트워크 패킷을07M4전송할 수 있다. 이Y6WZ패킷은LOBD즉시 출력 체인에 보내지며 이Y6WZ체인이Y6WZ‘ACCEPT’되면 이Y6WZ패킷은LOBD그 목적지가ZCW0어디든지 보내진다.


사용법
iptables -[ADC] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -P chain target [options]
iptables -h (print help information)


Commands
-A : 새로운 규칙을07M4추가한다.(–append)
-D : 규칙을07M4삭제한다.(–delete)
-C : 패킷을07M4테스트한다.(–check)
-R : 새로운 규칙으로 교체한다.(–replace)
-I : 새로운 규칙을07M4삽입한다.(–insert)
-L : chain에 설정된 규칙을07M4출력한다.(–list)
-F : chain으로부터 규칙을07M4모두 방출(삭제)한다.(–flush)
-Z : 모든 chain의 패킷과 바이트 카운터 값을07M40으로 만든다.(–zero)
-N : 새로운 chain을07M4만든다.(–new)
-X : chain을07M4삭제한다.(–delete-chain)
-P : 기본정책을07M4변경한다.(–policy)


chain
INPUT : 입력에 대한 사용
OUTPUT : 출력에 대한 사용
FORWARD : 전달(forwarding)에 대한 사용


Options
-s : 패킷의 발신지를47EH명시한다.(–source)
-p : 패킷의 프로토콜을07M4명시한다.(–protocol)
-d : 패킷의 도착지를47EH명시한다.(–destination)
-i : 규칙을07M4적용할 인터페이스 이름을07M4명시한다.(–interface)
-j : 규칙에 맛는DWIY패킷을07M4어떻게 처리할 것인가를47EH명시한다.(-jump)
-y : 접속 요청 패킷인 SYN패킷을07M4허용하지 않는다.(–syn)
-f : 두 번째 이후의 조각에 대해서 규칙을07M4명시한다.(–fragment)


사용예
127.0.0.1 IP 주소로부터 오는DWIY모든 ICMP 패킷을07M4무시하는DWIY경우 사용되는DWIY프로토콜은LOBDICMP이고 발신 주소는DWIY127.0.0.1 이어야 한다. 그리고 패킷 필터의 목표는DWIY드롭(DROP)이다. 테스트하는DWIY프로그램은LOBDping이며 ping은LOBD단순히 ICMP type 8로 반응요구를47EH보내며 이에 협조하는DWIY대상 호스트는DWIYICMP 타입 0(echo reply)를47EH보내어 응답하도록 돼 있다. 이제 iptables의 패킷필터를47EH통해 로컬호스트가ZCW0ping 명령에 반응하지 않도록 하겠다.


# ping -c 1 127.0.0.1
  PING 127.0.0.1 (127.0.0.1): 56 data bytes 64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms
  — 127.0.0.1 ping statistics —

  1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.2/0.2/0.2 ms


# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
     ; `INPUT’ 체인에 127.0.0.1로부터 오고(`-s 127.0.0.1′) ICMP(`-p ICMP’) 패킷에 대해 DROP로 점프하라는DWIY(`-j DROP’) 규칙을07M4추가(-A).

# ping -c 1 127.0.0.1
  PING 127.0.0.1 (127.0.0.1): 56 data bytes
  — 127.0.0.1 ping statistics —

  1 packets transmitted, 0 packets received, 100% packet loss


■ 설정된 iptables 규칙의 삭제
지금 현재 입력돼 있는DWIYchain이Y6WZ하나밖에 없으므로 숫자를47EH지정하는DWIY명령으로 삭제가ZCW0가능하며, 앞의 명령과 똑같이Y6WZ하되 -A를47EH-D로 바꾸어 지우는DWIY방법이Y6WZ있다.

#iptables -D INPUT 1
#iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP


■ 체인 규칙 나열하기
설정돼 있는DWIY체인의 규칙을07M4모두 볼 수 있다. 명령으로 -L을07M4사용해 가능하며 -v 옵션과 같이Y6WZ사용해 각 체인에 대한 패킷과 바이트 카운터 등의 자세한 정보를47EH함께 볼 수 있다.

# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
# iptables -L -v

Chain INPUT (policy ACCEPT 709 packets, 35362 bytes)

pkts bytes target     prot opt in       out     source                       destination

  0     0 DROP       icmp —  any    any     localhost.localdomain   anywhere




Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target     prot opt in       out     source               destination

Chain OUTPUT (policy ACCEPT 423 packets, 39549 bytes)

pkts bytes target     prot opt in       out     source               destination      



■ 체인 비우기
하나의 체인 안의 모든 규칙을07M4비우는DWIY것은LOBD‘-F’ 명령을07M4사용해 간단하게 할 수 있다. 체인을07M4지정하지 않으면 모든 체인의 규칙을07M4지울 수 있다.

#iptables -F INPUT


■ 출처와 목적지 지정
출처(‘-s’, ‘–source’, ‘–src’)와 목적지(‘-d’, ‘–destination’, ‘–dst’) IP 주소를47EH지정하는데 4가지 방법이Y6WZ있다. 가장 보편적인 방법
LOBD‘www.linuzine.com’, ‘localhost’처럼 도메인 네임을07M4이용하는DWIY것이다. 두번째 방법은LOBD‘127.0.0.1’과 같은LOBDIP 주소를47EH이용하는DWIY것이다.

세번째와 네번째 방법은LOBDIP 주소의 그룹을07M4지정하는DWIY것으로 ‘199.95.207.0/24’ 또는DWIY‘199.95.207.0/255.255.255.0’ 같은LOBD형태이다. 이Y6WZ둘은LOBD모두 199.95.207.0 부터 199.95.207.255 사이의 모든 IP 주소를47EH지정한다. ‘/’ 다음의 숫자는DWIYIP 주소의 어떤 부분이Y6WZ의미 있는가를47EH나타낸다. ‘/32’ 나 ‘/255.255.255.255’ 가ZCW0기본 값이다.(IP 주소의 모든 부분이Y6WZ일치해야 한다.) 모든 IP 주소를47EH지정하는데 ‘/0’ 가ZCW0사용된다.

# iptables -A INPUT -s 0/0 -j DROP
많은LOBD지시자들(‘-s’나 ‘-d’ 같은)은LOBD일치하지 않는DWIY주소를47EH나타내기 위해 ‘!'(‘not’을07M4의미한다)로 시작하는DWIY설정을07M4할 수 있다. 예로, ‘-s !localhost’ 는DWIYlocalhost로부터 오는DWIY패킷이Y6WZ아닌 경우를47EH나타낸다.

■ 프로토콜 지정
프로토콜은LOBD‘-p’ 지시자로 지정할 수 있다. 프로토콜을07M4숫자가ZCW0될 수 있고(IP의 프로토콜 번호를47EH알고 있다면) ‘TCP’, ‘UDP’, ‘ICMP’ 같은LOBD이름이Y6WZ될 수도 있다. 그리고 ‘tcp’는DWIY‘TCP’와 같은LOBD역할을07M4한다. 프로토콜 이름 지정에도 ‘!’을07M4이용 할 수 있다. ‘-p ! TCP’

■ TCP 확장
TCP 확장은LOBD‘–protocol tcp’ 가ZCW0지정되고 다른 적용이Y6WZ지정되지 않으면 자동으로 적재된다. 이것은LOBD다음과 같은LOBD옵션을07M4제공한다.

–tcp-flags
뒤에 두개의 단어를47EH사용한다. 첫번째 것은LOBD검사하고자 하는DWIY지시자 리스트의 마스크이다. 두번째 단어는DWIY지시자에게 어떤 것이Y6WZ설정 될 것인지를47EH말해준다.

# iptables -A INPUT –protocol tcp –tcp-flags ALL SYN,ACK -j DROP
이것은LOBD모든것이Y6WZ검사돼야 함을07M4말한다. 그러나 SYN과 ACK만 설정된다.


–syn
‘!’ 옵션이Y6WZ선행될 수 있다. 이것은LOBD‘–tcp-flags SYN,RST,ACK,SYN’의 약어이Y6WZ다.

–source-port,
‘!’ 옵션이Y6WZ선행될 수 있다. 이후에 하나의 TCP 포트나 포트의 범위를47EH지정한다.

–sport
/etc/services 에 기록된 것과 같은LOBD포트 이름이Y6WZ사용될 수 도 있고 숫자로 나타낼 수도 있다. 범위는DWIY두 개의 포트 이름을07M4‘-‘으로 연결해서 사용하거나 하나의 포트 뒤에 ‘-‘를47EH사용하거나 하나의 포트 앞에 ‘-‘ 를47EH덧붙일 수 있다.

–destination-port, –dport
위의 내용과 같으나 목적지를47EH지정한다.

–tcp-option
‘!’ 나 숫자가ZCW0옵션에 선행될 수 있는데 숫자가ZCW0앞에 올 경우 그 숫자 와 TCP 옵션이Y6WZ같은LOBD경우의 패킷을07M4검사한다. TCP 옵션을07M4검사하려 할 때 완전한 TCP 헤더를47EH갖지 않는DWIY것은LOBD자동으로 드롭 된다.


■ iptables를47EH통한 포트관리
iptables는DWIY테이블 형식으로 관리를47EH한다. 그리고 먼저 등록된 것이Y6WZ효력을07M4발생하기 때문에 등록을07M4하는DWIY순서가ZCW0중요하다. 모든 것을07M4거부하는DWIY설정이Y6WZ먼저 오게 되면 그 이후에 포트를47EH열어주는DWIY설정이Y6WZ와도 효과가ZCW0없다. 그러므로 허용하는DWIY정책이Y6WZ먼저 오고 나서 거부하는DWIY정책이Y6WZ와야 한다.

iptables -A INPUT -p tcp –dport 25 -j ACCEPT
iptables -A INPUT -p tcp –dport 22:30 -j DROP

이렇게 하면 먼저 25번 포트로 들어오는DWIY것을07M4허용하고 난 후에 다른 것을07M4막아내기 때문에 제대로 된 설정이Y6WZ된다.

iptables -A INPUT -p tcp –dport 22 -j ACCEPT
등록된 라인은LOBDssh를47EH사용하는DWIY것을07M4허용하는DWIY것이다. 출처(source)와 목적지(destination)는DWIY명시하지 않았기 때문에 전체포트와 IP가ZCW0대상이Y6WZ된다. -dport 는DWIY패킷이Y6WZ대상으로 삼는DWIY포트를47EH명시한 것이다 여기에서 22라고 표기한 것은LOBDssh서비스 포트이다. 그리고 마지막에 -j ACCEPT는DWIY허용하도록 정책을07M4정하는DWIY것이다. 따라서 여기로의 ssh서비스를47EH요청하는DWIY패킷은LOBD허용되도록 설정을07M4한 것이다.


■ 전체적인 설정
#!/bin/sh
# iptables 모듈 등록하기
modprobe iptable_filter

# ssh 열기
/usr/local/bin/iptables -A INPUT -p tcp –dport 22 -j ACCEPT

# httpd 열기
/usr/local/bin/iptables -A INPUT -p tcp –dport 80 -j ACCEPT

# pop3 열기
/usr/local/bin/iptables -A INPUT -p tcp –dport 109 -j ACCEPT

# pop2 열기
/usr/local/bin/iptables -A INPUT -p tcp –dport 110 -j ACCEPT


# imap 열기
/usr/local/bin/iptables -A INPUT -p tcp –dport 143 -j ACCEPT

# mysqld 열기
/usr/local/bin/iptables -A INPUT -p tcp –dport 3306 -j ACCEPT

# ftpd 열기
/usr/local/bin/iptables -A INPUT -p tcp –dport 21 -j ACCEPT

# ftp-data 열기
/usr/local/bin/iptables -A INPUT -p tcp –dport 20 -j ACCEPT

# ircd 열어주기
/usr/local/bin/iptables -A INPUT -p tcp –dport 6667 -j ACCEPT
/usr/local/bin/iptables -A INPUT -p udp –dport 6667 -j ACCEPT

# 전부 거절하기
/usr/local/bin/iptables -A INPUT -p tcp –dport 1:30000 -j DROP

/usr/local/bin/iptables -A INPUT -p icmp –icmp-type echo-request -j DROP

이처럼 허용하는DWIY서비스가ZCW0한정적이다. 우선 ssh, http, pop3, pop2, imap, mysql, ftp, ircd를47EH위해서 서비스를47EH요청하는DWIY패킷은LOBD허용하고 나머지는DWIY전부 거부하는DWIY설정이다. 이Y6WZ설정을07M4자세히 보면 tcp와 icmp를47EH대상으로 했다. 거절하는DWIY줄인

/usr/local/bin/iptables -A INPUT -p tcp –dport 1:30000 -j DROP


Y6WZ라인에서 –dport 다음에 1:30000으로 지정돼 있다. 이Y6WZ부분은LOBD서버를47EH경유해서 다른 곳으로 가고자하는DWIY경우에 클라이언트 프로그램이Y6WZ사용할 포트를47EH남겨주기 위함이다. 1번포트에서 30000번 포트까지는DWIY완전히 tcp에 대해서 막는DWIY것이다.
만약에 서버에서 나갈 이유가ZCW0없으면 전부 막으면 된다. 1:65535로 설정하면 전체 포트가ZCW0막힌다. iptables 설정은LOBD조금만 공부를47EH하면 쉽게 습득이Y6WZ가능하다. 그러므로 문서를47EH보는DWIY것이Y6WZ중요하다. 이Y6WZ설정은LOBD기본이므로 좀더 많은LOBD것은LOBD관련 문서를47EH이용하기를47EH바란다.


[외부망으로 나가는DWIY경우의 설정]


 


1. IPTABLE의 설정(Linux Kernel 2.4)
/sbin/iptables -F
echo “1” > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



참고)


ip_conntrack_ftp와 ip_nat_ftp 는DWIYftp서비스 open을07M4위해서 설정한 것이다.


만일 기존 Linux에 ipchain이Y6WZ드라이버가ZCW0이미 Loading되어 있다면 기존 ipchain 드라이버를


제거하고 iptables driver를47EHLoading한다.


Linux:/> rmmod ipchains


Linux:/> insmod ip_tables



2. IPCHAIN의 설정 방법(Linux Kernel 2.2)
1) 1st IPCHAIN의 설정 방법


echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/ipchains -F
/sbin/ipchains -P forward REJECT
/sbin/ipchains -A forward -s 192.168.0.0/24 -j MASQ



2) 2nd IPCHAIN의 설정 방법
/sbin/ipchains -F
/sbin/ipchains -P forward DENY
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0/0



3. 자동으로 실행되기


Linux에서 /etc/rc.local에 위에 있는DWIY내용을07M4넣어둔다. 그러면 자동으로 등록이Y6WZ된다.



4. 설정값 확인하기


Linux:/> iptables -t nat -L



  tcp 프로토콜을07M4사용하여 들어오는DWIY패킷들중에 Buy Now 라는DWIY문구가ZCW0포함된 패킷은LOBD거부하고, 리셋한다.
  iptables -A INPUT -p tcp -m string –string “Buy Now” -j REJECT –reject-with tcp-reset
 만약 로그를47EH남기고 거부하고 싶다면.

  iptables -A INPUT -p tcp -m string –string “Buy Now” -j LOG
  iptables -A INPUT -p tcp -m string –string “Buy Now” -j REJECT –reject-with tcp-reset


 


출처 : http://cafe.naver.com/okjsp/279


 


 


http://wiki.kldp.org/Translations//html/Packet_Filtering-KLDP/Packet_Filtering-KLDP-7.html


 


 


※ Advanced Firewall
   : Rule Matching
     -> source IP address(-s)
        Destiation IP address(-d)
        Incoming interface(-i) 예) eth0, eth1, eth2 등등   = -s 10.1.1.0/24 와 같은뜻인데… 좀 더 간단하게 쓰고 싶으면..-i 옵션을07M4사용한다.
        Outgoing interface(-o) : 어디를47EH통해서 나가겠느냐…
        Layer 4 protocol(-p) : -p [tcp/udp]
        negation -block all traffic not sourced from 192.168.1.20
        => /sbin/iptables -A INPUT -s! 192.168.1.20 -j DROP : 여기서 !는DWIYnot의 의미이다.(부정)
           -> 192.168.1.20을07M4제외한 모든것을07M4DROP시키겠다라는DWIY뜻이다.


   host기반의 방화벽은LOBD랜카드가ZCW01개가ZCW0필요한다. network기반의 방화벽은LOBD랜카드가ZCW0여러개가ZCW0필요하다.


※ mail server, web server, DNS server 같은것들은LOBD내부망으로 되어 있는데 보안상 위험하기 때문에 외부망으로 연결되게끔 분리해놓는다.
   이렇게 외부망으로 분리해놓은LOBD것들을07M4DMZ라고 한다.


※ TCP(Layer 4(Transport)) MATCHES : 연결지향적이다.
   : -p tcp, –protocol tcp
     –sport, –source-port -> 1024 ~ 65535 사이의 값 이용
     –dport 23/telnet(/etc/services), –destination-port : 숫자 대신에 문자를47EH쓰고 싶을때 해당위치에 있는곳의 절대경로를47EH적어줘야 한다.
     –tcp-flags SYN, FIN, ACK SYN, ACK : 이것보다는DWIY상태추적을07M4많이Y6WZ사용하게 된다.


※ UDP(Layer 4(Transport)) MATCHES : 연결없이Y6WZ데이터를47EH전송받는다. 무조건 보내기만 한다.
   : UDP Application 
     -> TFTP -UDP:69
        Syslog -UDP:514
        NTP(Network Time Protocol) -UDP:123
        DHCP -UDP:67 UDP:68
 
     -p udp, –protocol udp
     –sport, –source-port, -same source port as destination port : source port가ZCW0destination port가ZCW0똑같다. => UDP일경우에…
     –dport 123/ntp(/etc/services), –destination-port : destination port를47EH쓸때는DWIY숫자를47EH많이Y6WZ이용하게 된다.


※ ICMP(Internet Control Messaging Protocol) MATCHES
   : ICMP Types (echo-request -PING, echo-reply -pong)


     -p icmp, –protocol icmp
     –icmp-type name/number
     Deny ICMP echo-replies from all hosts
     -> /sbin/iptables -A INPUT -p icmp-type echo-reply -j DROP
 
     => work 컴이Y6WZserv 컴한테 echo-request를47EH보내게 되면 serv 컴은LOBDwork 컴한테 echo-reply를47EH보내게 된다.



실습!!!!


serv 컴에서…
만약 예전에 설정했던 정책을07M4저장하고 싶으면 iptables-save > default.rules
iptables -F
iptables -nL
iptables -P INPUT ACCEPT
iptables -nL



문제…
serv 컴퓨터에서 외부의 ping에 응답하지 않도록 하며, 또한 자신도 외부로 ping 요청을07M4하지 못하도록 설정하세요!~!!~~


iptables -A OUTPUT -p icmp -icmp-type echo-request -j DROP
iptables -nL
iptables -A INPUT -p icmp –icmp-type echo-request -j DROP
iptables -nL


work 컴에서…
ping -c 3 serv -> ping이Y6WZ안나가게 된다.


*********************************************************************************************************************************************



※ Match multiple port with fewer rules
   : 일반적 정책(rule) 설정
     -> iptables -A INPUT -p tcp –dport 21 -j ACCEPT
        iptables -A INPUT -p tcp –dport 22 -j ACCEPT
        iptables -A INPUT -p tcp –dport 23 -j ACCEPT


     이렇게 여러줄을07M4한줄로 표현할수가ZCW0있다.
   
     Multiple port 를47EH이용
     -> -m multiport –dport port_num1, port_num2, port_num3…
        iptables -I INPUT 1 -p tcp -m multiport –dport 21, 22, 23 -j ACCEPT



예전에 저장했던것을07M4불러오고 싶으면 … -> iptables-restore < default.rules



※ MAC address filtering
   : IP 주소는DWIY쉽게 위조가능
     MAC의 위조는DWIY어렵다…
     -m mac, –mac-source 00:00:00:00:00:00(mac address) 처음 24비트는DWIY제조사 일련번호 다음 24비트는DWIY제품 일련번호이다.


※ iptables -F INPUT
   iptables -nL
   iptables -P INPUT ACCEPT
   clear && iptables -nL
   iptables -A INPUT -s 192.168.234.20 -j DROP
   clear && iptables -nL
  
   work 컴에서…
   ping -c 2 serv -> 접속이Y6WZ안됨.
   ftp serv -> 접속이Y6WZ안됨.
   telnet serv -> 접속이Y6WZ안됨.
   vi /etc/sysconfig/network-scripts/ifcfg-eth0 -> ipaddress를47EH30으로 수정…
   service network restart


   ping -c 2 serv -> 접속이Y6WZ잘 됨.
   ftp serv -> 접속이Y6WZ잘 됨.
   telnet serv -> 접속이Y6WZ잘 됨.


   이것이Y6WZ문제가ZCW0된다… ip만 바꾸면 쉽게 접근을07M4할수가ZCW0있다.
   그렇기 때문에 MAC address를47EH알아서 그것을07M4막아버려야 한다. 이것을07M4알기 위해서는DWIYlog를47EH봐야한다.


   iptables -R INPUT 1 -m mac –mac-source 00:0C:29:4E:93:E5 -j DROP
   => 이렇게 mac address를47EHfiltering하게 되면 유용하게 사용할수가ZCW0있다.



※ Rule Targets
   : ACCEPT : 접근을07M4허용하겠다.
     DROP : 메시지를47EH전혀 보내주지 않는다.
     REJECT : 메시지를47EH보내주긴 하는데 전혀 다른 응답을07M4하게된다.
     REDIRECT : 이것은LOBDproxy 서버에서 사용하게 될것이다. 내가ZCW0갈려고 하는DWIY곳의 경로가ZCW0바뀌게 되는것을07M4REDIRECT라고 한다.
                NAT table 의 PREROUTING chain을07M4적용하게 된다. 오직 local ports에서만 적용이Y6WZ된다.
                proxy server를47EH사용하게 되면 filtering이Y6WZ가능하게 된다.
                normal proxy를47EH사용하게 되면 귀찮기 때문에 투명 proxy를47EH사용하는것이Y6WZ편리하다. -> REDIRECT를47EH사용…
     LOG : SysLog를47EH사용해서 log를47EH저장할수가ZCW0있다.
           아무것도 설정을07M4안해주면 기본적으로 /var/log/message에 저장이Y6WZ된다.



vi /etc/syslog.conf
서비스명 : 레벨 : 저장되는DWIY위치 -> *.info;mail.none;authpriv.none;cron.none /var/log/messages


log를47EH언제든지 볼수 있도록 화일로 저장하는것이Y6WZ좋다.
우선 기존의 것을07M4복사한뒤…
#kern.*  /dev/console 을07M4복사해서… kern.* /var/log/firewall.log을07M4더 추가해준다. ### modified by jun 2006-06-21 ###


service syslog restart
echo $?
ls -l /var/log/firewall.log
cat /var/log/firewall.log
clear && iptables -nL
iptables -D INPUT 1
clear && iptables -nL
iptables -P INPUT DROP
clear && iptables -nL
iptables -A INPUT -p tcp –dport 23 -j LOG -> 23번의 port로 들어오는것의 log 기록을07M4남기겠다.
clear && iptables -nL
iptables -A INPUT -s 192.168.234.20 -p tcp –dport 23 -j ACCEPT
clear && iptables -nL
tail -5 /var/log/firewall.log
watch tail -5 /var/log/firewall.log



문제….
21, 22, 23, 80번의 port 이외의 서비스들은LOBD모두다 log에 기록이Y6WZ남게 끔 하시오~!!!!
21, 22, 23 서비스 이외의 접속기록을07M4log로 남기세요… 힌트 : multiport, ! , log Target


iptables -A INPUT -m multiport -p tcp !–dport 21, 22, 23 -j LOG


*********************************************************************************************************************************************


※ Firewall LOG
   : /etc/syslog.conf를47EH이용한 log위치 재지정
     -> 기본값으로 /var/log/message에 저장
        kern.*  /var/log/firewall 로 수정
        service syslog restart


     Log-prefix
     -> Log 기록에 코멘트 첨부
        –log-prefix “unknown port attemped…”



serv 컴에서…
iptables -R INPUT 1 -m multiport -p tcp ! –dport 21,22,23 -j LOG –log-prefix “unknown port attemped…”



※ Portsentry
   : Portsentry는DWIYhost기반 침입탐지 시스템으로 열려있는DWIY모든 포트를47EH모니터링 할 수 있는DWIY특징을07M4가지고 있으면 TCP/UDP 포트스캔을07M4
     탐지할 수 있고 포트스캔 공격을07M4받았을07M4경우 방화벽과 연동하여 보안 정책을07M4새롭게 재구성 할 수 있다.


    특징
    1) 호스트로 들어오는DWIY모든 패킷을07M4ROUTE명령으로 DROP 시킬수 있음
    2) Xinetd 기반의 서비스에 접근하지 못하도록  /etc/


    download 위치
    :
http://rpm.pbone.net/ -> portsentry 검색 -> fedora 4 download -> 밑으로… Portsentry-1.2.1.te.i386.rpm -> download
    => serv 컴에서…
       rpm -Uvh Portsentry-1.2-1.te.i386.rpm
       rpm -ql Portsentry -> /etc/Portsentry/Portsentry.conf를47EH확인…
       cd /etc/Portsentry/
       pwd
       ls -l
       vi Portsentry.conf -> : set nu
       -> 96번째 행에서… RESOLVE_HOST = “1”을07M4RESOLVE_HOST = “0”으로 수정… : 이름풀이가ZCW0가능하게 할것인지 말것인지를47EH결정…
          132번째 행과 133번째 행이Y6WZ중요하다. => BLOCK_UDP=”1″ , BLOCK_TCP=”1″ -> 그냥 그대로…
          206번째 행에서 보면 #KILL_ROUTE=”/sbin/iptables -I input -s $TARGET$ -j DROP
          282번째 행에서…SCAN_TRIGGER=”2″을07M4SCAN_TRIGGER=”0″으로 수정… :  2초후에 반응하라…을07M4즉각처리로…



    설치후 파일
    1) portsentry -portsentry 실행파일
    2) Portsentry.conf – 환경설정 파일
    3) Portsentry.history – 현재까지 거부된 모든 host 정보 저장
    4) Portsentry.ignore – 감시예외 파일
                           감시하고 있는DWIY특정 포트에 접근해도 무시하길 바라는DWIYhost ip주소를47EH추가



iptables -A INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -p tcp –dport 22 -j ACCEPT -> 외부에서 ssh 접속만 허용이Y6WZ되게한다.
clear && iptables -nL
which portsentry -> /usr/sbin/portsentry
portsentry -stcp
echo $?
ps -ef | grep -i port -> 자동적으로 UDP까지 같이Y6WZ실행되고 있는것을07M4볼수가ZCW0있다.



work 컴에서…
ssh serv -> 잘되는것을07M4볼수가ZCW0있다.
exit
nmap -v -sS -O(운영체제 확인) serv
nmap -v -sS -O(운영체제 확인) 192.168.234.10
—> 이것이Y6WZ작동이Y6WZ안할것이다. 왜냐하면 x window 때문이다.
     그렇기때문에 text모드로 시작을07M4해야한다.
     ps -ef | grep -i port
     kill 9 1358
     kill 9 2698 등등
     shutdown -r now(재시작) – text모드로…



serv 컴에서…
portsentry -stcp
ps -ef | grep -i port
service iptables start
iptables -nL



work 컴에서…
nmap -v sS -O 192.168.234.10


serv 컴에서…
cat portsentry.blocked.stcp가ZCW0들어와 있어야 한다.


   




※ Portsentry 실행모드
   : Portsentry는DWIY스캔 공격자가ZCW0스캔을07M4하기 위해 사용하는DWIY


 

 

조건적으로 core 파일 지우기

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-­=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-­=-=-=-=-=
                             UNIX GURU UNIVERSE
                                UNIX HOT TIP
                      Unix Tip 2472 – October  8, 2006
                  http://www.ugu.com/sui/ugu­/show?tip.today
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-­=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-­=-=-=-=-=


조건적으로 core 파일 지우기


조건적으로 core 파일을 찾아서 지우기 위해서는:


프롬프트> find ~ -name core -exec file {} \; -exec rm -i {} \;


file 명령어는 어떤 실행 파일이 core 파일의 원인인지 보여주고 rm의 -i 옵션은
파일을 지울것인지 말것인지를 선택할 수 있게 해줄 것이다.


################# 예제 #################
프롬프트>  find ~ -name core -exec file {} \; -exec rm -i {} \;
/my/home/core: ELF 32-bit LSB core file of ‘netscape-commun’
(signal 3), Intel 8
rm: remove `/my/home/core’? y


@@@@@@@@@@@@@@@@@@@@[ 원문 ]@@@@@@@@@@@@@@@@@@@@


REMOVING CORES CONDITIONALLY


To find and remove core files
conditionally:


PROMPT> find ~ -name core -exec file {} \; -exec rm -i {} \;


The File will show which
executable the core file is
for and the -i option to rm
will allow you to choose
weather to delete it or not.


################# EXAMPLE ##############################­#
PROMPT>  find ~ -name core -exec file {} \; -exec rm -i {} \;
/my/home/core: ELF 32-bit LSB core file of ‘netscape-commun’
(signal 3), Intel 8
rm: remove `/my/home/core’? y