SRV 레코드 등록

skype ( office365 ) 설정을 할때 아래와 같이 SRV 레코드를 DNS에 선언하라고 한다. 31669755_ebd0bc51_C4B8C3B3 PDNS 에서의 추가 방법은 아래와 같다.

Name / Priority / Content / TTL

_sip._tls.domain.com / 100 / 1 443 sipdir.online.lync.com. / 3600

_sipfederationtls._tcp.domain.com / 100 / 1 5061 sipfed.online.lync.com. / 3600

20150916_PicPick_160134 BIND – zone file 에서의 추가 방법은 아래와 같다.

1 2	_sip._tls IN SRV 100 1 443 sipdir.online.lync.com. _sipfederationtls._tcp IN SRV 100 1 5061 sipfed.online.lync.com.

20150916_PicPick_161559 아래는 적용 테스트 명령어(NSLOOKUP) 이다.

C:\>nslookup -q=SRV _sip._tls.domain.com

_sip._tls.jehaplus.net SRV service location:

priority = 100

weight = 1

port = 443

svr hostname = sipdir.online.lync.com

C:\>nslookup -q=SRV _sipfederationtls._tcp.domain.com

_sipfederationtls._tcp.jehaplus.net SRV service location:

priority = 100

weight = 1

port = 5061

svr hostname = sipfed.online.lync.com

wordpress 커스텀 port로 보안서버 적용.

wordpress 의 경우 https 프로토콜을 지원한다.
다만 기본포트인 443 포트만 지원하고 있다.

웹호스팅을 쓸때는 꽁수 ‘ㅅ’a 로 커스텀 포트를 적용하는 법이 필요하다.
먼저 wp-config.php 에 아래와 같이 define 을 설정한다.
/* That’s all, stop editing! Happy blogging. */ 위에 설정해야 한다.

1 2	define('WP_HOME','https://www.domain.com:3000'); define('WP_SITEURL','https://www.domain.com:3000');

.htaccess 파일에서 아래와 같이 추가를 해준다.

# BEGIN WordPress

RewriteEngine On

RewriteBase /

RewriteCond %{SERVER_PORT} ^80$

RewriteRule ^(.*)$ https://%{SERVER_NAME}:3000/$1 [R,L]

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress

# BEGIN StrictTransportSecurity

Header always set Strict-Transport-Security "max-age=15552000"

# END StrictTransportSecurity

HSTS 를 설정했기 때문에 구형 브라우져를 사용해서는 접속이 되지 않겠다. 장점으로는 SSL 적용으로 굼떠진 사이트 속도가 빨라진다.
Strict Transport Security (HSTS) 설정을 하면 보안서버가 만료되거나 제거 되었을때 설정된 max-age 까지 클라이언트의 캐쉬가 비워지지 않을경우 접속 되지 않을 수 있으니 주의가 필요하다.
HSTS는 브라우져에 향후 이 사이트에 대한 접속에 일반 http를 사용하지 않겠다는 선언이다.

아파치의 SSL 프로토콜 및 칩퍼는 아래와 같이 설정 하였다.
(ps. 2016-03-11 추가 SSLHonorCipherOrder on: 이설정은 보안 등급이 높은 방식을 우선시 사용한다는 설정이다.)

SSLProtocol ALL -SSLv2 -SSLv3

SSLCipherSuite ALL:!aNULL:!eNULL:!EXPORT:!PSK:!MD5:!RC2:!RC4:!DES

SSLHonorCipherOrder on

https://www.ssllabs.com/ssltest/index.html 에서의 테스트 스코어는 A+ 이며 IE6/XP 조합을 지원하지 못하는 설정이다.

IE6/XP 를 지원하기 위해서는 프로토콜 SSLv3만 허용 처리, 그리고 HSTS를 꺼줘야 한다. 다만 등급은 C 로 떨어진다.

PHP 인코더

Carbylamine Obfuscate PHP Encoder

출처 : https://code.google.com/p/carbylamine

절대 풀어볼수 없다는 Carbylamine 인코더 소스를 가지고 만들었기 때문에
decoder 는 제공할수 없습니다 ‘ㅅ’a

실행 하면 별도의 php 인코딩 페이지로 이동합니다 (_ _);;
워드프레스에는 html 이나 form 은 여기 넣는데 php 못넣겠어요.(어렵어렵.)

mysql sleep 자동 킬 스크립트

음 php 프로그래머의 실수에 따라 DB사용을 하지 않으나 장시간 sleep이 나는 경우가 있다.

뭐 프로그램 짜다보면 그럴수 있을것이다 =3=a

프로그램이 mysql_pconnect 을 사용하거나 (apache keepalive 시간 동안 접속을 대기 탈 것이다.)
mysql 접속후 mysql.close()를 안했거나
로그테이블 등의 크기가 커져서 lock 걸리는 시간이 증가하면 다른 접속자 로그를 쓰기 위해 wait 가 걸리기 때문에 mysql 커넥션이 과도하게 증가하기도 함..
서버 사양 대비 동시접속자수가 많거나…

서버 관리자 입장에서는 서버 메모리에 부담을 주고 sleep 프로세스의 과다 접속에 의해 my.cnf에서 설정된

max connctions 값 에 의해 추가 신규 접속이 불가능한 상황을 방지 해야 한다.

그리하여 이러한 스크립트를 만들었습니다 🙂 – (mysql.close()가 제대로 되지 않는 경우를 상정.)

#!/bin/bash

#########################################################################################################

# SQL 슬립쿼리 자동 킬 스크립트 #

# - 로그 파일 위치 : /var/log/mysql_autometic_kill.log #

# - 타겟아이디를 지정하는 이유는 ssh 접속 mysql 실행하고 있는 유져가 짤릴수도 있기 때문이다. #

# #

# last updated 2015.08.17 made in san0123a@naver.com #

#########################################################################################################

### 대상 아이디 및 슬립 시간에 따라 자동으로 kill 을 한다 ###############################################

sleep_time="500" # 정리 시간 지정 500초

all_user_target="Y" # 모든 유져 대상 (Y/N)

target_id=( account1 account2 account3 account4 NULL ) # 대상 계정 지정 array

#########################################################################################################

mysql_path="/usr/local/mysql/bin/mysql"

dbpa="mysql루트패스워드"

# pid 생성 중복실행을 방지 ########################################################

if [[ -s $0.pid ]];then exist_pid=`cat $0.pid`

if [[ -z `ps -e|grep "^$exist_pid "` ]];then rm -f $0.pid;exec_confirm="Y"

else exec_confirm="N";echo -e "\e[1;32mShell has already running...\e[0m";fi

else exec_confirm="Y";fi

if [[ $exec_confirm == "Y" ]];then echo $$ > $0.pid

###################################################################################

/bin/rm -f /tmp/kill_list.tmp /tmp/kill_list.sql

find /var/log/ -name 'mysql_autometic_kill.log' -size +20000k -type f -exec cp /dev/null {} \;

for i in `$mysql_path -uroot -p$dbpa mysql -s -N -e "SHOW FULL PROCESSLIST;"|awk '{print $1":"$4":"$5":"$6}'`

process_id=`echo $i|cut -d: -f 1`

database=`echo $i|cut -d: -f 2`

command=`echo $i|cut -d: -f 3`

work_times=`echo $i|cut -d: -f 4`

if [[ $all_user_target == "Y" ]];then kill_go="Y"

elif [[ $all_user_target == "N" ]];then kill_go="N"

for i2 in ${target_id[@]};do if [[ $i2 == $database ]];then kill_go="Y";fi;done

if [[ $kill_go == "Y" ]];then

if [[ $work_times -gt $sleep_time ]];then

echo "kill $process_id;" >> /tmp/kill_list.sql

echo " -> $process_id / $database / $work_times" >> /tmp/kill_list.tmp

((kills++))

fi;fi

done

if [[ -e /tmp/kill_list.txt ]];then

stime=`date +"%Y/%m/%d %H:%M"`

echo "$stime // $kills - sleep query kill." >> /var/log/mysql_autometic_kill.log

cat /tmp/kill_list.tmp >> /var/log/mysql_autometic_kill.log;rm -f /tmp/kill_list.tmp

echo "" >> /var/log/mysql_autometic_kill.log

$mysql_path -uroot -p$dbpa < /tmp/kill_list.sql;rm -f /tmp/kill_list.sql

###################################################################################

rm -f $0.pid

# pid 생성 중복실행을 방지 - END ##################################################

all_user_target 값을 Y로 해두면 모든 계정에 대해 kill을 수행합니다만.

ssh 접속해서 mysql 작업하면서 장시간 가만히 있으면 강제적으로 프로세스 종료 까지 될수 있습니다.

그래서 all_user_target=”N” 으로 하고 문제시 되는 계정만 target_id 에 설정하여 운용하도록 합니다. ‘ㅅ’a

PS. pconnect 를 사용하면 일반 connect 으로 사용하도록 유도 하고, log 테이블이 커졋다면 일정부분 날려서 정리를 해야 할꺼고 사양이 부족하다면 사양 업그레이드를 하거나 DB query cache 를 구현 하는 방법으로 해결 해야 할꺼 같다 ‘ ‘a 이 스크립트는 임시 방편일 뿐이다.

TLS통신을 위한 Public Certificate 발급&갱신

dovecot, sendmail, proftpd, pure-ftpd 를 위한 개인인증서 발급 혹은 갱신용 스크립트 이다.

#!/bin/bash

check_cert="/etc/pki/tls/certs/sendmail.pem"

make_cert() {

cd /etc/pki/tls/certs

ln -s /etc/pki/tls/certs /etc/ssl/private 2>/dev/null

ssl_cnf_temp="/tmp/openssl_temp.cnf"

echo "KR" > $ssl_cnf_temp

echo "Seoul" >> $ssl_cnf_temp

echo "company_name" >> $ssl_cnf_temp

echo "system_engineer_team" >> $ssl_cnf_temp

echo "$HOSTNAME" >> $ssl_cnf_temp

echo "engineer@xxxxxxx.com" >> $ssl_cnf_temp

make sendmail.pem < /tmp/openssl_temp.cnf 2>/dev/null # sendmail.pem

cat sendmail.pem > pure-ftpd.pem # pure-ftpd.pem

openssl req `locale -c LC_CTYPE -k|grep -q charmap.*UTF-8 && echo -utf8` \

-newkey rsa:2048 -keyout /etc/ssl/private/proftpd.key \

-nodes -x509 -days 365 -out /etc/ssl/private/proftpd.crt \

-set_serial 0 < $ssl_cnf_temp 2>/dev/null # proftpd.key, proftpd.crt

cd /etc/mail

make

/etc/init.d/sendmail restart

/etc/init.d/dovecot restart

rm -f $ssl_cnf_temp

}

if [[ -e $check_cert ]];then

cert_expire=`openssl x509 -noout -text -in $check_cert|awk '/Not After :/{print $4,$5,$7}'`

cert_expire_date=`date +"%Y%m%d" -d "$cert_expire"`

two_weeks_after=`date +"%Y%m%d" -d "2 weeks"`

if [[ $two_weeks_after -gt $cert_expire_date ]];then

make_cert;

else

make_cert;

스크립트 설명 : sendmail.pem 인증서의 만료일 2주 미만으로 남았거나 인증서가 없으면 생성해준다.

cron 에 등록하여 일주일에 한번 정도씩 돌려주면 개인인증서 갱신 걱정 없이 사용할 수 있겠다.

vi /etc/cron.weekly/public_cert_make.sh 이런 위치에 넣어두면 일주일에 한번씩 돈다 ‘ㅅ’a

chmod 700 /etc/cron.weekly/public_cert_make.sh 해둬야 돈다 . 잊지 말자.

아래 설정값은 플레인 로그인을 막는 설정이 아니다.

1. dovecot – STARTTLS 설정( /etc/dovecot/conf.d/10-ssl.conf )

ssl = yes

ssl_cert = </etc/pki/tls/certs/sendmail.pem

ssl_key = </etc/pki/tls/certs/sendmail.pem

ssl_ca = </etc/pki/tls/certs/ca-bundle.crt

평문 패스워드 막는건 /etc/dovecot/conf.d/10-auth.conf 파일의 disable_plaintext_auth 옵션이다.

2. sendmail – STARTTLS 설정( /etc/mail/sendmail.mc )

1 2	~]# cd /etc/mail ~]# vi sendmail.mc

define(`confCACERT_PATH', `/etc/pki/tls/certs')dnl

define(`confCACERT', `/etc/pki/tls/certs/ca-bundle.crt')dnl

define(`confSERVER_CERT', `/etc/pki/tls/certs/sendmail.pem')dnl

define(`confSERVER_KEY', `/etc/pki/tls/certs/sendmail.pem')dnl

DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl

dnl define(`confAUTH_OPTIONS', `A p')dnl

confAUTH_OPTIONS 는 주석 처리 해버린다 ‘ㅅ’a

1 2	~]# make ~]# /etc/init.d/sendmail restart

평문 패스워드 막는건 define(confAUTH_OPTIONS', A p’)dnl 이렇게 주석 제거 하고 하면 된다.

( TLS연결 테스트 : https://starttls.info ) 혹은 아래 명령어.

1 2	~]# openssl s_client -starttls smtp -connect localhost:25 ~]# openssl s_client -starttls pop3 -connect localhost:110

3. proftpd – FTP over TLS 설정( /etc/proftpd.conf )

TLSEngine on

TLSProtocol SSLv23

TLSOptions NoCertRequest AllowClientRenegotiations

TLSRSACertificateFile /etc/pki/tls/certs/proftpd.crt

TLSRSACertificateKeyFile /etc/pki/tls/certs/proftpd.key

TLSVerifyClient on

TLSRequired off

</IfModule>

평문 패스워드 막는건 TLSRequired 값을 on 으로 하면 된다.

4. pure-ftpd – FTP over TLS 설정( /etc/pure-ftpd/pure-ftpd.conf )

TLS 1

평문 패스워드 막는건 TLS 값을 2 으로 하면 된다.