[Linux][SSH] 터널링을 이용한 포트 포워딩
아래 그림에서 처럼 Host A (클라이언트) 에서 Host B (서버) 로 SSH를 이용해서 서버에 접속을 하면 둘 사이에 연결이 이루어 지는데, 이 연결 통로를 터널이라고 한다. 이 연결은 암호화 등을 통해 보호되며, 포트 포워딩을 이용하여 다른 애플리케이션이 이 터널을 이용할 수 있다.
터널링은 크게 Local Port Forwarding 과 Remote Port Forwarding 으로 나눠진다.
- Local Port Forwarding은 로컬 서버에서 리모트 서버의 특정 포트에서 동작하고 있는 애플리케이션에 접속이 필요한 경우 사용한다.
예를 들어 방화벽이 설정되어 22번 (SSH) 포트는 열려 있으나, 3306번 (MySQL) 포트가 막혀 있는 리모트 서버에 대해, 터널링을 이용하면 외부에서 MySQL에 접속할 수 있는 터널을 생성해 준다.
Local Port Forwarding 은 다음과 같은 형식으로 사용할 수 있다.
$ ssh -L[bind_address:]port:host:hostport user@hostname |
SSH 터널링 (SSH연결을 통해 localhost의 3306번 포트로 들어오는 트래픽을 serverurl.com 서버의 3306번 포트로 포워딩한다.)
$ ssh -L 3306:localhost:3306 test@serverurl.com |
터널링이 연결된 상태에서 MySQL 접속 (MySQL 클라이언트를 로컬호스트 (3306번 포트) 로 접속을 하면 serverurl.com의 MySQL서버에 접속하게 된다.
$ mysql -h localhost -u mysqluser |
- Remote Port Forwarding은 리모트 서버의 애플리케이션이 클라이언트의 특정 포트에 접속이 필요한 경우 사용할 수 있다.
Remote Port Forwarding 은 다음과 같은 형식으로 사용할 수 있다.
$ ssh -R[bind_address:]port:host:hostport user@hostname |
[OpenStack] 오픈스택 기본 구성
오픈스택 버전별 구성 요소
Kilo |
Juno |
IceHouse |
|
Object Storage |
Swift |
Swift |
Swift |
Compute |
Nova |
Nova |
Nova |
Image Service |
Glance |
Glance |
Glance |
Dashboard |
Horizon |
Horizon |
Horizon |
Identity |
Keystone |
Keystone |
Keystone |
Network |
Neutron |
Neutron |
Neutron |
| Block Storage | Cinder | Cinder | Cinder |
Telemetry | Ceilometer | Ceilometer | Ceilometer |
Orchestration | Heat | Heat | Heat |
| Database | Trove | Trove | Trove |
| Data Processing | Sahara | Sahara | - |
| Bare Metal | Ironic | - | - |
[Linux][CentOS][7.x] Tomcat 설치
선행작업 : JDK 설치!
아래 명령어로 tomcat을 설치한다.
# sudo yum install tomcat tomcat-webapps tomcat-admin-webapps |
아래 명령어로 tomcat 서비스를 실행
# sudo systemctl start tomcat |
tomcat의 기본 포트는 8080 이므로, 해당 서버에 8080 포트로 접속하여 tomcat 서비스가 잘 돌아가는지 확인
@ 계정 설정
# vi /etc/tomcat/tomcat-users.xml |
"tomcat-users" element 에 아래와 비슷하게 계정을 추가한다.
<user username="admin" password="password" roles="admin-gui,manager-gui"/> |
변경한 내용을 적용하기 위해 톰캣 서비스를 다시 시작한다.
# sudo systemctl restart tomcat |
@ 톰캣 메모리 설정
아래 설정파일에서 메모리 크기를 지정할 수 있다.
# vi /etc/tomcat/tomcat.conf |
JAVA_OPTS 라고 되어 있는 부분을 다음과 같이 변경한다. (Xms 512M, Xmx1024M 예시)
JAVA_OPTS="-Xms512M -Xmx1024M" |
톰캣 운영 도중 자주 나타나는 java.lang.OutOfMemoryError: PermGen space 에러는 heap 메모리의 특정 영역에 객체를 할당 할 수 있는 공간이 충분하지 않아서 발생하는 것으로 클래스와 매써드 객체가 저장되는 영역이 부족해서 생긴다.
에러의 원인에 따라 하나의 클래스의 생성자에서 차지하는 heap 메모리가 많아서 발생하는 경우 XX:MaxNewSize 옵션을 추가해 주고, 서블릿이 로딩하는 클래스와 매써드가 많아서 발생하는 경우에는 XX:MaxPermSize 옵션을 추가해 준다. (두 가지 다 적용해도 무방)
JAVA_OPTS="-Xms512M -Xmx1024M -XX:PermSize=256M -XX:MaxPermSize=256M -XX:NewSize=128M -XX:MaxNewSize=128M" |
또한 $CATALINA_BASE/conf/web.xml 파일의 enablePooling 옵션을 아래와 같이 사용하지 않는 것으로 설정하면, jsp를 로딩한 후에 메모리 상에서 제거하게 되므로 위의 에러가 나타날 가능성을 줄여준다. Pooling 을 사용하지 않으므로 동시 요청이 많은 경우 약간의 성능 차이는 발생할 수 있음.
<init-param> <param-name>enablePooling</param-name> <param-value>false</param-value> </init-param> |
@ 부팅시 서비스가 시작되도록 등록
# sudo systemctl enable tomcat |
@ 부팅시 서비스가 시작되지 않게 삭제
# sudo systemctl disable tomcat |
[Linux][CentOS][7.x] Oracle JDK (Java) 설치
오라클 홈페이지에서 서버 버전에 맞는 JDK를 다운로드 받는다.
http://www.oracle.com/technetwork/java/javase/downloads
여기서는 jdk-8u60-linux-64.rpm 파일을 다운로드
rpm 명령어를 이용해서 JDK를 설치
# sudo rpm -ivh jdk-8u60-linux-x64.rpm |
설치가 제대로 되었는지 다음 명령어로 확인
# java -version |
제대로 설치되었다면 버전 정보가 표시된다.
# javac |
javac 사용법이 표시된다.
[MAC] El Capitan 부팅 USB 만들기
애플에서 OSX의 새버전 El Capitan 을 출시하였습니다.
이번에도 무료로 배포되었기 때문에, 바로 다운로드 받아서 설치하면 되는데,
6기가나 되는 파일 사이즈 때문에, 맥을 여러 대 소유하신 분이라면 USB 메모리에 담아서 설치하고 싶은 충동이 있으실 수 있어서 USB 설치 디스크를 만드는 방법에 대해서 작성해 보겠습니다.
1. App Store 에서 El Capitan 을 다운로드 한다. (설치는 하지 마시고 다운로드만 합니다.)
2. 8GB 이상의 USB 메모리를 준비한다.
3. USB 메모리에 있던 기존 내용은 백업을 하고, 디스크 유틸리티를 이용해서 Mac OS Extended (Journaled) 방식으로 USB 메모리를 포맷을 합니다. 기존에 Mac OS Extended (Journaled) 방식으로 포맷이 되어 있었다면 다시 포맷할 필요가 없습니다.
4. 터미널을 열어서 df 명령어를 입력하여 USB 디스크가 마운트된 볼륨을 확인합니다.
$ df |
Mounted on 항목에 /Volumes 로 시작되는 곳에 마운트 되어 있을 텐데, 여러 개의 USB 메모리를 꽂았다면 이름을 정확하게 확인해야 합니다.
5. Apple 에서 제공하는 createinstallmedia 프로그램을 이용해서 USB 메모리에 El Capitan 부팅 디스크를 만듭니다.
$ sudo /Applications/Install\ OS\ X\ El\ Capitan.app/Contents/Resources/createinstallmedia --volume [USB 메모리 볼륨명] --applicationpath /Applications/Install\ OS\ X\ El\ Capitan.app --nointeraction |
6. admin 비밀번호를 입력하고 나면, 진행상황에 대한 프로그래스 표시가 나오면서 El Capitan 부팅가능한 USB 메모리가 만들어 집니다.
[PHP] 업로드 파일 크기 제한 조정하기
PHP 기본 설정에서는 보안상 한번에 업로드 되는 파일 크기를 2MB로 제한하고 있습니다.
이 제한 설정을 변경하기 위해서는 다음과 같이 합니다.
1. php.ini 파일을 vi 에디터 등으로 열어 봅니다. (Ubuntu 14.04 기준 기본 경로 - /etc/php5/apache2/php.ini)
> vi /etc/php5/apache2/php.ini |
2. upload_max_filesize 항목과 post_max_size 항목을 찾아서 원하는 값으로 변경합니다.
이름에서 알수 있듯이 upload_max_filesize 는 php 에서 업로드 할수 있는 최대 파일 크기이고 post_max_size 는 POST 방식으로 전송되는 업로드 파일의 최대 크기 입니다.
100MB로 크기를 변경한다면, 아래와 같이 적어 주면 됩니다.
upload_max_filesize = 100M |
파일 저장후 apache2 (혹은 httpd) 를 재시작하면 바로 적용이 됩니다.
[Linux][CentOS][7.x] firewalld 를 이용한 방화벽 설정
CentOS7에서는 기본으로 firewalld 라는 방화벽 솔루션이 제공됩니다.
기존의 iptables의 경우 룰 변경시 서비스를 중지해야 하는데, OpenStack이나 KVM 같은 가상화 호스트 환경에서는 네트워크 변화가 수시로 발생되어 필터링 정책 변경이 빈번해서 iptables 정책과 충돌되는 문제점 들이 발생했습니다. 이러한 문제점을 보완하기 위해서 firewalld 서비스가 활성화 되고 있는 것으로 볼 수 있습니다.
이 포스팅에서는 firewall-cmd를 이용해서 방확벽을 구성하는 간략한 방법을 정리해 보았습니다.
firewalld 에는 신뢰 수준에 따라 다음의 zone들이 미리 준비되어 있습니다.
drop - block - public - external - internal - dmz - work - home - trusted
firewall-cmd 를 이용해서 설정 변경시에는 --permanent 옵션을 사용하면, firewalld 서비스를 재시작해도 설정을 유지할 수 있습니다. 그렇지 않으면 firewalld 서비스를 재시작하면 설정이 사라집니다.
@ firewalld 서비스가 작동하고 있는지 확인하기
$ firewall-cmd --state |
서비스가 작동하고 있다면 콘솔에 "running" 이라고 나올 것입니다.
@ active zone을 확인하기
$ firewall-cmd --get-active-zones |
그리고 --list-all 옵션을 이용해서 각 zone 별로 구성되어 있는 firewalld 설정을 확인합니다. (public 자리에 위에서 확인한 zone 이름을 입력하면 됩니다.)
$ firewall-cmd --zone=public --list-all |
앞서 이야기했던 zone들로 zone을 바꿔가며 입력해보면 각 zone 별로 어떤 서비스들을 이용할 수 있는지 확인할 수 있습니다.
@ 특정 (네트워크) 인터페이스의 zone을 변경하기
$ firewall-cmd --zone=internal --change-interface=enp0s3 |
enp0s3 인터페이스를 internal zone으로 설정하는 명령이었습니다.
참고로 /etc/sysconfig/network-scripts/ifcfg-enp0s3 파일을 편집해서 zone을 설정할 수도 있습니다.
$ vi /etc/sysconfig/network-scripts/ifcfg-enp0s3 |
다음 라인을 추가합니다.
ZONE=internal |
@ 새로운 zone을 추가하기
$ firewall-cmd --new-zone=newzonename |
새로 추가한 zone을 인식할 수 있게 재로딩 합니다.
$ firewall-cmd --reload |
@ zone에 서비스 추가하기
firewalld에서는 IP나 Port를 추가할 수도 있지만, 이미 잘 알려진, 많이 사용되고 있는 서비스에 대해서는 서비스 이름으로 추가가 가능합니다.
추가 가능한 서비스 목록은 다음의 명령어로 확인이 가능합니다.
$ firewall-cmd --get-services |
public zone에 http 서비스를 추가해 보겠습니다.
$ firewall-cmd --zone=public --add-service=http --permanent |
firewalld 서비스를 재시작해도 public zone에서는 http 서비스를 이용 가능하게 됩니다.
@ zone에 특정 IP 추가하기
$ firewall-cmd --zone=public --add-source=192.168.100.0/24 |
@ zone에 포트 추가하기
아래 명령어로 public zone에 tcp 방식의 5000번 포트를 추가합니다.
$ firewall-cmd --zone=public --add-port=5000/tcp |
열려 있는 포트를 확인합니다.
$ firewall-cmd --zone=public --list-ports |
포트 대역을 추가할 때는 "-" 를 이용해서 대역을 지정할 수 있습니다.
$ firewall-cmd --zone=public --add-port=5001-9999/utp |
@ 서비스 지정하기
위에서 언급된 잘 알려진 서비스 이외에 특정 포트에 해당하는 서비스를 등록할 수 있습니다.
/usr/lib/firewalld/services 폴더에 있는 잘 알려진 서비스들 중에 하나를 선택해서 /etc/firewalld/services로 복사합니다. (확장자를 제외한 파일명이 서비스명이 되므로 기존의 서비스들과 이름이 겹치지 않게 해줍니다.)
$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/custom_service.xml |
복사한 파일을 엽니다.
$ vi /etc/firewalld/services/custom_service.xml |
아래와 같이 내용을 편집합니다. (tcp 방식으로 9999 포트를 사용하는 서비스로 custom_service가 등록됩니다.)
<?xml version="1.0" encoding="utf-8"?> <service> <short>Custom Service</short> <port protocol="tcp" port="9999"/> </service> |
firewalld 서비스가 새로 추가한 서비스가 사용하는 프로토콜과 포트를 인식할 수 있게 재로딩 합니다.
$ firewall-cmd --reload |
새로 추가한 서비스를 public zone에 추가합니다.
$ firewall-cmd --zone=public --add-service=custom_service |
[Linux][CentOS][7.x] 네트워크 설정
CentOS 7 (Minimal) 설치 후 네트워크 설정
Network 설정
기존에는 Ethernet ID가 eth0, eth1 이런식으로 설정되었는데, CentOS 7 에서는 Ethernet ID 기본 이름 체계가 변경되었다.
/etc/sysconfig/network-scripts 디렉터리에 가보면 ifcfg 로 시작하는 파일들을 검색해 보면 대략적인 것을 알 수 있으며, 정확하게 알기 위해서는 "nmcli d" 커맨드를 이용하면 된다.
# nmcli d |
TYPE이 ethernet 인 것을 찾아서 DEVICE 이름을 확인한다.
(여기서는 enp0s3 이었으며, 서버 환경에 따라 다른 값이 나올 수 있다.)
/etc/sysconfig/network-scripts/ifcfg-[DEVICE] 파일을 편집한다. (nmtui 커맨드를 이용하면 GUI 모드에서 설정이 가능하다.)
# vi /etc/sysconfig/network-scripts/ifcfg-enp0s3 |
--------------------
a. DHCP로 설정하는 경우
아래 두 가지 값만 설정 해주면 된다. (기존에 적혀있던 나머지 내용들은 그대로 둔다)
BOOTPROTO=dhcp ONBOOT=yes |
b. 고정IP로 설정하는 경우, BOOTPROTO, ONBOOT, IPADDR, NETMASK, GATEWAY, DNS 등을 설정해 주면 된다.
(기존에 적혀있던 나머지 내용들은 그대로 둔다)
BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.201 NETMASK=255.255.255.0 GATEWAY=192.168.1.1 DNS1=8.8.8.8 DNS2=8.8.4.4 |
--------------------
설정이 끝났으면 ifdown 과 ifup 을 이용해서 해당 네트워크 디바이스를 리스타트 해주면 변경된 내용이 적용된다.
# ifdown enp0s3 # ifup enp0s3 |
네트워크 서비스를 이용하면 전체 네트워크 디바이스를 리스타트 해준다. 네트워크 디바이스가 하나 밖에 없거나 전체 네트워크 디바이스를 리스타트해도 상관 없는 경우 아래 명령어를 이용한다.(혹은 service network restart 라고 해도 된다.)
# systemctl restart network |
--------------------
참고로 gateway나 nameserver는 다른 파일에서 global하게 설정할 수도 있다.
/etc/sysconfig/network 파일에서도 hostname 이나 DNS 를 설정할수 있으며, (DNS)
/etc/resolv.conf 에서 DNS를 설정하기도 한다. (nameserver)
--------------------
현재 설정된 IP 주소 확인
# ip addr |
이전 버전처럼 ifconfig를 사용하고 싶다면, net-tools를 설치하면 된다.
# yum install net-tools |
[MAC] 시작 프로그램 관리..
예전에는 맥에 불필요한 시작 프로그램이 별로 없었는데, 요즘은 정말 많이 늘어나고 있습니다.
참고로 Adobe 프로그램을 Trial 로 잠시 설치하면 Adobe Updater, AdobeCreativeCloud 등의 데몬이 시작시에 로딩되어 상당히 거슬리는데요,
그 외에도 Oracle Java Updater 라던지, 기타 프로그램들이 부팅시에 실행되는 것은 컴퓨터 성능 저하의 원인이 됩니다.
꼭 필요한 것들 이외에는 제거해야하는데, 제대로 제거가 안되게 만든건 바이러스나 다름 없다고 생각합니다.
맥에서는 launchctl 을 통해서 시작 프로그램들을 관리할 수 있습니다. (아래 매뉴얼 참고)
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/launchctl.1.html
좀 번거롭겠지만 Terminal 에서 아래 커맨드를 이용해서 로딩된 프로그램 리스트를 확인합니다.
launchctl list상당히 많은 리스트가 나올텐데 그중에 필요 없어 보이는 서비스에 대해서는 다음의 명령어로 제거를 합니다.
ex) AdobeCreativeCloud
launchctl unload -w /Library/LaunchAgents/com.adobe.AdobeCreativeCloud.plist아래 경로에 관련 파일들이 있습니다. 찾아서 불필요한 파일들을 제거하시면 부팅시에 로딩되는 것을 막을 수 있습니다.
~/Library/LaunchAgents Per-user agents provided by the user.
/Library/LaunchAgents Per-user agents provided by the administrator.
/Library/LaunchDaemons System wide daemons provided by the administrator.
/System/Library/LaunchAgents Mac OS X Per-user agents.
/System/Library/LaunchDaemons Mac OS X System wide daemons.
시스템 관련 데몬 이외에는 대부분 삭제해도 상관없겠지만 잘 모르시면 꼭 백업하시고 삭제하시기 바랍니다.
[Linux][Ubuntu] 15.04 Java - Oracle JDK 설치하기
0. 현재 설치되어 있는 JDK 버전을 확인
java -version javac -version |
1. 현재 설치되어 있는 OpenJDK를 삭제
sudo apt-get purge openjdk* |
2. JDK 다운로드
현재 최신버전 JDK8 rpm 버전 다운로드
http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
3. Alien 설치
sudo apt-get install alien |
4. JDK 설치
sudo alien -i -c [다운로드 받은 jdk rpm 파일 경로] |
5. 설치된 JDK 버전 확인
java -version javac -version |
