[PHP] Modern PHP 요약 8
서버 설정 1
http://www.hanbit.co.kr/book/look.html?isbn=978-89-6848-225-0
1. 최초 로그인
ssh 명령어를 실행해 서버에 접속한다. 처음에는 호스트를 확인하는 메시지가 표시되며 yes를 입력하고 암호를 입력하면 로그인이 완료 된다.
2. 소프트웨어 업데이트
운영체제를 최신으로 업데이트 한다.
# 우분투 > apt-get update > apt-get upgrade # CentOS > yum update |
3. 사용자 계정 추가
루트 사용자의 권한을 제한 하기 위해 deploy 라는 이름의 계정을 생성해서 사용해 보자.
우분투의 경우 adduser 를 실행하면 바로 사용자 암호를 설정하는 화면으로 넘어가지만 CentOS 의 경우 passwd 명령어로 비밀번호 설정을 별도로 해줘야 한다. deploy 유저에게 sudo 권한을 주기위해서 그룹을 설정해 주는데, 우분투에서는 sudo 그룹으로 CentOS에서는 wheel 그룹에 추가해 준다.
# 우분투 > adduser deploy > usermod -a -G sudo deploy # CentOS > adduser deploy > passwd deploy > usermod -a -G wheel deploy |
4. SSH 키 쌍 인증
ssh 서버 접속시 비밀번호 인증 대신 SSH 키 쌍 인증을 사용해서 서버 보안을 강화한다.
1). 접속할 로컬 컴퓨터 (클라이언트 PC) 에서 ssh-keygen 명령어를 이용해서 개인키 (~/.ssh/id_rsa), 공개키 (~/.ssh/id_rsa.pub)를 생성한다.
개인키는 로컬 컴퓨터에 두고 유출되지 않도록 보호해야 하며, 공개 키는 접속할 ssh 서버로 scp 등을 이용하여 복사한다.
> ssh-keygen |
2). 접속할 로컬 컴퓨터에서 scp ~/.ssh/id_rsa.pub deploy@server_address: 명령어를 입력한다.
마지막에 ":" 콜론을 붙이면 deploy의 홈 디렉터리에 업로드 된다.
> scp ~/.ssh/id_rsa.pub deploy@server_address: |
3). ssh 서버에서 deploy 홈 디렉터리에서 mkdir ~/.ssh 명령어를 이용하여 ~/.ssh 디렉터리를 생성한다.
> mkdir ~/.ssh |
4). ssh 서버에서 touch ~/.ssh/authorized_keys 명령어를 이용해서 authorized_keys 파일을 생성한다.
> touch ~/.ssh/authorized_keys |
5). ssh 서버에서 cat ~/id_rsa.pub >> ~/.ssh/authorized_keys 명령어를 이용해서 공개키를 등록한다.
> cat ~/id_rsa.pub >> ~/.ssh/authorized_keys |
6). ssh 서버에서 deploy 사용자만 ~/.ssh 디렉터리에 접근해서 authorized_keys 파일을 읽을 수 있도록 권한을 변경한다.
> chown -R deploy:deploy ~/.ssh > chmod 700 ~/.ssh > chmod 600 ~/.ssh/authorized_keys |
여기까지 작업이 되었으면, 개인 키가 있는 로컬 컴퓨터에서는 비밀번호 없이 ssh로 원격 서버에 접속할 수 있다.
5. 비밀번호 인증 및 루트 로그인 비활성화
1) ssh 서버에서 /etc/ssh/sshd_config 파일을 편집하여 PasswordAuthentication과 PermitRootLogin 설정값을 찾아 모두 no로 수정한다. 주석처리 되어 있으면 주석을 풀어준다.
2) 아래 명령으로 ssh 서비스를 재시작한다.
# 우분투 > sudo service ssh restart # CentOS > sudo systemctl restart sshd |
[Linux][CentOS][7.x] 간단한 SELinux 설정법
CentOS 설치 후에 어플리케이션 설치 및 설정 후 무언가 제대로 되지 않는다면 대부분 SELinux 설정 때문인 경우가 많습니다.
SELinux 에 대해서 알아보도록 하겠습니다.
SELinux란 Security-Enhanced Linux 의 줄임말로 보안이 향상된 리눅스라고 정의되어 있습니다.
보안과 사용자 편의는 양날의 검인지라, 보안이 향상되었다는 것은 무언가 사용하기 불편할 수 있다라는 의미입니다.
SELinux 상에서는 각 응용 프로그램에 대해서 접근이 가능한 설정 파일이나 사용할 수 있는 폴더의 위치에 대해서 권한이 명확하게 정의가 되었습니다.
예를 들자면 httpd 프로세스가 php 를 통해서 특정 경로에 파일을 write 하는 것도 SELinux context type이 맞아야만 가능합니다.
또한 mysql 의 DB 경로를 변경할 때에도 해당 폴더에 맞는 SELinux context type 이어야 가능합니다.
1. SELinux 기본
SELinux는 enforcing, permissive, disabled 세 가지 정책을 설정할 수 있습니다.
enforcing 의 경우 보안 정책을 적용하는 것이고, permissive 의 경우는 경고만 보여주고, disabled 는 아예 로딩하지 않는 것입니다.
그리고 targeted, minimum, mls 등의 타입을 지정할 수 있습니다.
targeted는 지정된 프로세스들을 보호하는 것이고, minimum 은 targeted 를 변형하여 선택된 프로세스만 보호하는 것이고, mls 는 여러 레벨로 보안을 설정하는 것입니다.
현재 설정을 확인하기 위해서는 getenforce 명령어를 사용합니다.
# getenforce |
그리고 임시 설정 변경을 위해서는 setenforce 명령어를 이용하면 됩니다. (리부팅시 원래 상태로 돌아옴)
SELinux 설정을 permissive 로 변경
# setenforce 0 |
SELInux 설정을 enforcing 으로 변경
# setenforce 1 |
영구적인 설정 변경을 위해서는 아래의 설정파일을 열어서 변경하면 됩니다.
# vi /etc/selinux/config |
2. chcon 을 이용한 context type 변경
SELinux 를 사용하지 않으면 설정에 문제는 사라지겠지만 보안이 약해지는 문제가 있습니다. 따라서 SELinux 를 적용한 상태에서 특정 폴더 혹은 파일의 context type 을 상황에 맞게 적용하는 방법에 대해서 설명 드리겠습니다.
이전에 mysql 설정 포스팅에서도 잠깐 소개되었었는데, mysql의 DB 경로를 변경하는 경우에 대해서 설명해 보겠습니다.
기본 경로 (/var/lib/mysql)를 /datadir 로 변경한다고 가정하면, 아래와 같이 새 DB 경로의 context 를 변경해 주면 mysql 프로세스가 사용이 가능한 권한을 얻게 됩니다.
# chcon --reference=/var/lib/mysql -R /datadir |
또한 php 프로세스가 httpd 상에서 파일 쓰기 권한이 필요하다면, 권한이 필요한 경로 (/var/www/html/phpfile) 에 다음과 같이 설정해 주면 됩니다.
# chcon -t httpd_sys_rw_content_t -R /var/www/html/phpfile |
3. SELinux 설정값 확인 및 변경
이번에는 getsebool / setsebool 명령어를 이용해서 SELinux 설정을 확인하고 변경해 보겠습니다.
httpd 프로세스에서 네트워크 연결 허용 여부를 결정하는 SELinux 설정은 httpd_can_network_connect 입니다.
아래와 같이 입력하여 현재 설정값을 확인해 봅니다.
# getsebool httpd_can_network_connect |
혹은 getsebool -a 후에 grep 으로도 확인할 수 있습니다.
위의 연결을 허용해 주고 싶으면 아래와 같이 입력하면 됩니다.
# setsebool -P httpd_can_network_connect on |
on 대신 1을 입력해도 됩니다.
반대로 연결을 허용하지 않겠다면,
# setsebool -P httpd_can_network_connect off |
off 대신 0을 입력해도 됩니다.