카테고리 Archives: Server engineering

Docker for windows – centos8(php, httpd) 설치

Centos 8.1.1911 이 배포 되었다.

당장 OS 를 올릴 필요는 없지만 새로운 OS 가 추후에는 사용이 될것이기 때문에

Docker 환경에서 연습이 필요로 하다고 판단되어 Windows for Docker 를 이용하여 컨테이너를 생성하여 설치 테스트 및 작동 테스트를 해보았다 ‘ㅅ’a

사전에 c 드라이브를 분배 하여 w 드라이브에 workspace 를 생성 하였으며 컨테이너 웹 디렉토리와 연결한다. (windows 환경에서 php 개발 편의성)

물론 Docker 부분만 제외 한다면 Centos 8 에서 같은 방법으로 설치가 가능하다.

docker 에 centos 8 공식 이미지를 통해 컨테이너 생성을 한다.

> docker pull centos

> docker run --privileged -d --name centos8 -p 80:80 -v w:/php73-fpm:/var/www/html --restart unless-stopped centos init

### [관리자권한] [컨테이너이름] [포트포워딩] [디스크마운트:컨테이너마운트] [자동재시작-계획없는정지시] [이미지]

> docker exec -it centos8 bash

Remi’s 레포지토리 추가 및 php 7.3 설치 (httpd 는 의존성에 의해 OS 기본 제공 되는 2.4.37이 설치 된다.)

~]# dnf install dnf-utils http://rpms.remirepo.net/enterprise/remi-release-8.rpm

~]# dnf module list php

~]# dnf module reset php

~]# dnf module enable php:remi-7.3

~]# dnf install php php-common php-opcache php-gd php-curl \

php-mysqlnd php-pecl-mcrypt php-bcmath \

php-pecl-igbinary php-intl php-pecl-memcached \

php-pecl-zip httpd mod_ssl

apache 설정 (웹 디렉토리는 /var/www/html 으로 진행 하였음.)

~]# sed -i 's+ UserDir disabled+ UserDir html+g' /etc/httpd/conf.d/userdir.conf

~]# sed -i 's+tory "/home/\*/public_html">+tory "/var/*/html">+g' /etc/httpd/conf.d/userdir.conf

~]# sed -i 's+ServerName www.example.com:80+ServerName '$(hostname)'+g' /etc/httpd/conf/httpd.conf

php-fpm 설정

~]# sed -i 's+;listen.owner = nobody+listen.owner = apache+g' /etc/php-fpm.d/www.conf

~]# sed -i 's+;listen.group = nobody+listen.group = apache+g' /etc/php-fpm.d/www.conf

~]# sed -i 's+listen.acl_users+;listen.acl_users+g' /etc/php-fpm.d/www.conf

php.ini 설정 (파일 업로드 100M 와 숏코드만 사용 만 수정)

~]# sed -i "s+^post_max_size = 8M+post_max_size = 120M+g" /etc/php.ini

~]# sed -i "s+^upload_max_filesize = 2M+upload_max_filesize = 100M+g" /etc/php.ini

~]# sed -i "s+^short_open_tag = Off+short_open_tag = On+g" /etc/php.ini

apache 및 php-fpm 시작 및 활성화

1 2	~]# systemctl enable --now php-fpm ~]# systemctl enable --now httpd

docker hub: https://hub.docker.com/r/san0123/centos8-apache24-php73

도커 이미지(latest)의 경우 php-fpm 이 아닌 libphp7.so 으로 httpd-profork 방식으로 설정 되어 있다. (ssl, http2 등 사용 불가)

php 7.4 : https://hub.docker.com/r/san0123/centos8-apache24-php74

ps. MariaDB 10.4 설치

mariadb 는 centos 에서 10.3.17 이 제공되지만 업데이트는 잘되지 않기 때문에 mariadb 에서 제공 되는 repo를 추가하고 설치한다.

~]# echo '# MariaDB 10.4 CentOS repository list - created 2020-05-18 08:32 UTC

# http://downloads.mariadb.org/mariadb/repositories/

[mariadb]

name = MariaDB

baseurl = http://yum.mariadb.org/10.4/centos8-amd64

module_hotfixes=1

gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB

gpgcheck=1' > /etc/yum.repos.d/MariaDB.repo

1	~]# dnf -y install MariaDB-server MariaDB-client

mariadb 시작 및 활성화

1	~]# systemctl enable --now mariadb

MDS / Zombie Load 취약점

Intel CPU 에서 또다른 취약점인 MDS 취약점이 공개 되었다.

심각도는 impotant 이며 CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 항목이다.

KISA 공지 사항: https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35030

CPU 캐쉬내 데이터는 적재한 프로세스가 아닌 다른 프로세스에서 엑세스 할 수 있는 취약점이다.

중요도가 높다보니 취약점 패지가 이미 배포 되어 yum 업데이트만으로 해결이 가능하다.

업데이트 항목이 kernel 과 intel-microcode 다 보니 재부팅이 필요 하다.

~]# yum update yum

~]# yum update

~]# reboot

음 AWS 서비스의 경우 아래와 같이 안내 되어 있다.

https://aws.amazon.com/ko/security/security-bulletins/AWS-2019-004/

AWS has designed and implemented its infrastructure with protections against these types of bugs, and has also deployed additional protections for MDS

All EC2 host infrastructure has been updated with these new protections, and no customer action is required at the infrastructure level

뭐 AWS 인프라 레벨에서 MDS 취약점을 처리 하였으니 유져가 EC2 호스트에서 별도로 조취할 필요가 없다고 한다 🙂

랄라~

bash 스크립트의 실행 속도(간격) 한계

bash 로 작성된 스크립트의 경우 anacron 혹은 crond 에 의존하여 작동을 한다.

# Example of job definition:

# .---------------- minute (0 - 59)

# | .------------- hour (0 - 23)

# | | .---------- day of month (1 - 31)

# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...

# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# | | | | |

# * * * * * user-name command to be executed

때문에 지정 할 수 있는 최소 시간은 1분이다.

즉 1분에 1회만 실행이 가능하다.

필요에 따라 5초 혹은 10초 단위 마다 재 실행 이 가능한 경우가 발생했다. (push 메세지 전송이라든가..)

이 한계를 넘기 위해 아래와 같이 작성하여 지정된 $TERM 동안 sleep 을 하고 excute-job 펑션을 재실행 하도록 작성 한다.

#!/bin/bash

### shell overlab avoid (중복실행방지)

lockfile=/var/lock/$(basename $0)

if [ -f $lockfile ];then

P=$(cat $lockfile)

if [ -n "$(ps --no-headers -f $P)" ];then

exit 1

fi;fi

echo $$ > $lockfile

trap 'rm -f "$lockfile"' EXIT

### CONFIG (1분안에 재 실행 횟수 지정) ### set 1 ~ 6

RETRY_A_MIN=6

### FUNCTION (실제 실행할 프로세스)

excute-job() {

echo -ne "\r$(date)"

}

### LOOP a MINUTE (간격 설정값에 따른 반복 실행)

if [ $RETRY_A_MIN -eq 1 ];then TERM=51

elif [ $RETRY_A_MIN -eq 2 ];then TERM=26

elif [ $RETRY_A_MIN -eq 3 ];then TERM=17

elif [ $RETRY_A_MIN -eq 4 ];then TERM=13

elif [ $RETRY_A_MIN -eq 5 ];then TERM=11

else TERM=9;fi

SHNOW=$(date +"%s")

SHLIMIT=$(date +"%s" -d "50 secs")

while [ $SHNOW -lt $SHLIMIT ]

((RETRY_A_MIN--))

excute-job;

if [ $RETRY_A_MIN -eq 0 ];then

break 1

else

sleep $TERM

SHNOW=$(date +"%s")

done

echo

unset SHNOW SHLIMIT

exit 0

1~6 값을 지정함에 따라 알맞은 $TERM을 sleep 하고 재 실행 하게 된다.

Cron 을 활용한 SSD 강제 trim

background trim이 활성화 된 경우 성능 저하에 별다른 대비를 할 필요성이 없어지기 때문에 시스템 관리가 편해진다.

물론 평상시 파일 삭제시 trim 활성화가 되어 있다면 그만큼 성능 저하가 발생한다.

시스템 목적에 따라 최대한의 IO 성능을 확보하기 위해서 cron 과 스크립트를 활용하여 주말등 한가한 시간대에 trim 이 될수 있도록 한다.

1 2	~]# touch /usr/local/sbin/week-fstrim.sh ~]# chmod 700 /usr/local/sbin/week-fstrim.sh

목표 시간이 없이 단순 주말에 하는것을 원한다면 /etc/cron.weekly 폴더안에 생성한다.

#!/bin/bash

for t in $(lsblk -o MOUNTPOINT,DISC-MAX|awk '/^\//&&$2~/[1-9]/&&!/\/efi/{print $1}')

/sbin/fstrim $t

done

unset t

exit 0

sudo 보안 취약점 CVS-2017-1000367

sudo 명령을 이용하여 root 권한을 탈취 할 수 있는 보안 취약점이 공개 되었습니다.

일반적인 보안 권고 사항인 그룹 지정(wheel 과 같은)을 한 경우에는 관련이 없습니다.

또한 selinux 를 활성화 하고 그룹 지정이 없이 운영 할 경우에는 아래 메뉴얼에 따라 sudo 명령어를 업데이트 하시기 바랍니다.

다만 업데이트가 쉽기 때문에 진행을 하는것이 좋습니다 🙂

[참고 사이트]

Ubuntu https://www.ubuntu.com/usn/usn-3304-1/
CentOS https://lists.centos.org/pipermail/centos-announce/2017-May/022450.html

주의 사항 : 업데이트를 할 경우 명령어의 소유권 및 퍼미션이 초기화가 되어 권한이 -rwsr-xr-xr 소유권 및 그룹이 root:root 가 되므로 기존에 쓰던 정보를 확인 하고 나서 sudo 업데이트 후에 재 지정 해야 합니다.

CentOS

~]# ls -l `which sudo`

---s--x--- 1 root wheel 130760 5월 31 02:24 /usr/bin/sudo

~]# yum -y update sudo

~]# chgrp wheel `which sudo`

~]# chmod 4110 `which sudo`

~]# ls -l `which sudo`

Ubuntu

~]# ls -l `which sudo`

-rwsr-x--- 1 root adm 155008 2017-05-29 10:19 /usr/bin/sudo

~]# apt-get -y install sudo

~]# chgrp adm `which sudo`

~]# chmod 4750 `which sudo`

~]# ls -l `which sudo`