Docker 빌드 ‘ㅅ’a

Docker 의 는 단순한 가상화 OS 이다 ‘ㅅ’a

보통 OS 테스트를 할때 이용 할수 있다.

일반적인 사용 법은 image 를 pull 해서 받아온다음에 run 을 통해 실행을 시킨다.

좀더 깊게 들어가면 엔지니어가 세팅할때 쓴 명령어를 Dockerfile 으로 만들어서 build 명령을 통해서 docker image 를 만들고 배포 할 수 있다.

배포된 이미지는 개발자가 pull 해서 잘 쓸꺼라고 생각한다.

윈도우 에서 C:\ 드라이브에 dockerWORK 이란 폴더를 생성 하고, Dockerfile 이라는 확장자가 없는 txt 파일을 만든다.

FROM rockylinux:latest

MAINTAINER Enteroa <enteroa@kakao.com> version: demonize

RUN dnf -y install epel-release dnf-utils http://rpms.remirepo.net/enterprise/remi-release-8.rpm &&\

dnf -y module enable php:remi-7.3 &&\

dnf -y install procps vim php httpd php-bcmath php-cli php-common php-gd php-intl php-mbstring php-mysqlnd php-opcache php-pdo php-pear php-pecl-mcrypt php-soap php-xml &&\

dnf clean all &&\

sed -i 's+^post_max_size = 8M+post_max_size = 120M+g;s+^upload_max_filesize = 2M+upload_max_filesize = 100M+g;s+^short_open_tag = Off+short_open_tag = On+g;s+;mysqli.allow_local_infile = On+mysqli.allow_local_infile = On+g' /etc/php.ini &&\

sed -i 's+pid = /run/php-fpm/php-fpm.pid+pid = /run/httpd/php-fpm.pid+g' /etc/php-fpm.conf &&\

sed -i 's+listen = /run/php-fpm/www.sock+listen = 9000+g' /etc/php-fpm.d/www.conf &&\

sed -i 's+SetHandler "proxy:unix:/run/php-fpm/www.sock|fcgi://localhost"+SetHandler "proxy:fcgi://127.0.0.1:9000"+g' /etc/httpd/conf.d/php.conf &&\

sed -i 's+UserDir disabled+UserDir html+g;s+tory "/home/\*/public_html">+tory "/var/*/html">+g' /etc/httpd/conf.d/userdir.conf &&\

echo "alias ll='ls -l'" >> /etc/bashrc &&\

DOTHT_NUM=$(grep -n '^<Files ".ht' /etc/httpd/conf/httpd.conf | awk -F: '{print $1+1}') \

sed -i "${DOTHT_NUM}s+Require all denied+Require all granted+g;s+#ServerName www.example.com:80+ServerName localhost+g" /etc/httpd/conf/httpd.conf &&\

ln -sf /dev/stdout /var/log/httpd/access_log && ln -s /dev/stderr /var/log/httpd/error_log

WORKDIR /var/www/html

EXPOSE 80

ENTRYPOINT ["/bin/sh", "-c" , "/usr/sbin/php-fpm -D && /usr/sbin/httpd -D FOREGROUND"]

주된 내용은 서버에서 apache 2.4 와 php-fpm 7.3.x 를 구성하기 위한 명령어 및 설정값을 수정 하는 명령어 모음 이다.

cmd 창을 열어서 아래와 같이 빌드명령을 실행한다.

목적이 Docker hub 에 배포 하기 위함 이므로 내docker ID 인 san0123/ 을 넣고 뒷부분에는 사용한 OS 와 설치되는 서비스 명을 붙여 rocky8-http-php 으로 명명 하였다.

설치하는 목적상 php 버전만 변경 되기 때문에 태그로 php 버전을 명시 하였다. :7.3

–no-cache 옵션은 빌드시 캐쉬된 부분을 무시하는 옵션.(테스트로 빌드를 마구 하다보면 필요한 옵션)

c:\> cd C:\dockerWORK

c:\dockerWORK> docker build --no-cache -t san0123/rocky8-http-php:7.3 ./

빌드는 실제 서버에서 명령을 실행한것처럼 순차 실행이 되기 때문에 시간은 오래 걸린다.

컴퓨터 사양에 따라 틀리겠지만 위 Dockerfile은 약 4분 가량 소요 되었다.

아래와 같이 생성된 docker 이미지를 확인할 수 있다.

c:\dockerWORK> docker images

REPOSITORY TAG IMAGE ID CREATED SIZE

san0123/rocky8-http-php 7.3 50f60b564539 22 seconds ago 363MB

생성된 이미지는 아래 명령어로 점검을 해보고 나서 배포하는것을 추천한다. (검사 안하고 올리면 위험할수 있다고 경고 나온다.)

1	c:\dockerWORK> docker scan san0123/rocky8-http-php:7.3

Docker 허브에 배포를 진행 한다.

c:\dockerWORK> docker push san0123/rocky8-http-php:7.3

The push refers to repository [docker.io/san0123/rocky8-http-php]

5f70bf18a086: Layer already exists

0311e5a0529a: Pushed

65dbea0a4b39: Layer already exists

7.3: digest: sha256:80bd5a17fcdb5a76c6ddb5825a814c9fce1eca5d36d705b18bf9cefe154ee11b size: 1153

배포가 완료 되었다 ‘ㅅ’a

생성한 이미지를 업로드 한뒤에 docker 허브 사이트를 접속 하면 자신이 업로드한 Docker 이미지를 확인할 수 있고

사용 설명등을 써준다 ‘ㅅ’a (누구나 검색해볼수 있기 때문에 영어로 ?)

https://hub.docker.com/r/san0123/rocky8-http-php

배포된 이미지를 다운 받아 사용 하는 방법은 다음과 같다.

이미지 다운로드 C:\> docker pull san0123/rocky8-http-php:7.3

컨테이너 실행 C:\> docker run -d -p 80:80 -v w:/project-1:/var/www/html san0123/rocky8-http-php:7.3

또는 아래와 그림과 같이 이미지에서 run 에서 옵션을 주어 실행하면 된다.

실행 명령어상 자신의 PC의 80 포트는 컨테이너의 apache 의 80 포트로 연결 하고

윈도우의 w:\project-1 경로를 서버내 /var/www/html 으로 연결 하기 때문에 w:\project-1\index.php 를 아래와 같이 생성 하고 브라우져로 http://127.0.0.1 으로 접속 하면 phpinfo 를 확인 할 수 있다.

1 2	<?php phpinfo();

httpd 의 access_log, error_log 등은 아래 그림과 같이 도커에서 직접 확인이 가능 하다.

서버의 터미널 접속은 아래와 같이 docker 프로그램에서 클릭을 통해 접속이 가능 하다.

cli 접속은 php.ini 혹은 httpd.conf 등을 수정 하려고 했을것이고, 적용을 위해 apache 혹은 php-fpm 을 재시작 해야 하는 경우 아래와 같이 재시작 버튼으로 컨테이너를 재시작을 한다.

컨테이너 재시작을 하는 경우 CLI 가 닫히는것은 어쩔수 없다…..

Rocky Linuix(v8.5) – nginx(v1.20.1-6) – php-fpm(v8.0.14) 설정

Rocky Linux 8.5 버전에서 nginx – php – mariadb 설치 방법 이다.

먼저 OS의 기본적인 설정을 해야 한다.

NetworkManager 를 여전히 사용중이기 때문에 nmtui 명령어로 아래 화면에서 네트워크 설정을 할 수 있다.

Minimal 설치 기준으로 일반 적인 설정이라고 보면 되겠다 ‘ㅅ’a

atd 데몬을 사용 중지 한다. (보안 취약점이 될 소지가 있다.)
서버 타임존을 설정한다.
rsyslogd사 설치되어야 로그 감사를 통한 서버 이상을 확인하기 용이 하다. (vim 은 내 친구이기 때문에 설치한다 = =a)
rsyslog를 실행한다.
selinux 이슈 발생시 사유 추적을 위해 분석 스크립트를 설치 한다.

~]# systemctl disable --now atd

~]# ln -sf /usr/share/zoneinfo/Asia/Seoul /etc/localtime

~]# dnf install rsyslog vim

~]# systemctl enable --now rsyslog

~]# dnf install setools-console setroubleshoot-server

selinux 이슈 발생 추적은 아래 명령어로 진행 한다.

1	]# sealert -a /var/log/audit/audit.log

서버 목적에 따른 firewalld 를 설정 한다.

~]# firewall-cmd --add-service=http --permanent

~]# firewall-cmd --add-service=https --permanent

~]# firewall-cmd --reload

firewalld 의 경우 전통적인 iptable 를 사용하지 않고 nftable 이란것을 사용하기 때문에 일시 중지를 위해 iptable -F 명령어로 값을 모두 날려도 작동 하지 않으니 유의 하자 ‘ ‘a

기초 사용법은 아래와 같다.

~]# firewall-cmd --get-default-zone # 기본 zone을 확인

~]# firewall-cmd --zone=public --list-all # public zone의 설정을 확인

~]# firewall-cmd --zone=public --list-ports # public zone에서 허용하고있는 port 확인

~]# firewall-cmd --zone=public --list-service # public zone에 등록된 서비스 확인

~]# firewall-cmd --zone=public --add-port=22581/tcp --permanent # public zone의 명시된 포트/프로토콜 허용

~]# firewall-cmd --zone=public --add-service=http --permanent # public zone의 명시된 서비스 허용

~]# firewall-cmd --zone=public --remove-port=22581/tcp --permanent # public zone의 명시된 포트/프로토콜 룰 삭제

epel 레포지토리를 설치 하고 업그레이드를 통해 최신화 한다. (리부팅이 필요할지도 ‘ ‘a)

1 2	~]# dnf install epel-release ~]# dnf upgrade

php 의 버전 선택 설치를 위해 Remi 레포지토리를 이용 하여 php 8.0 버전을 선택해서 설치 한다. (nginx 역시 1.20 버전으로 선택함)

php-fpm 설치와 라이브러리 설치를 구분한 이유는 일반 php를 설치하게 되면 의존성으로 httpd 가 설치되고 php-fpm 을 설치해야 nginx가 의존 설치 되기 때문이다.

1	~]# dnf install https://rpms.remirepo.net/enterprise/remi-release-8.rpm

~]# dnf remove php*

~]# dnf module reset php

~]# dnf module enable php:remi-8.0

~]# dnf module enable nginx:1.20

~]# dnf install php-fpm

~]# dnf install php-bcmath php-cli php-common php-devel php-gd php-intl php-mbstring php-mysqlnd php-opcache php-pdo php-pear php-pecl-mcrypt php-soap php-xml

MariaDB 10.6 설치 (레포지토리 생성 URL) CentOS 가 아닌 RHEL8의 레포지토리를 사용하였음.

# MariaDB 10.6 RedHat repository list - created UTC

# https://mariadb.org/download/

[mariadb]

name = MariaDB

baseurl = https://mirror.yongbok.net/mariadb/yum/10.6/rhel8-amd64

module_hotfixes=1

gpgkey=https://mirror.yongbok.net/mariadb/yum/RPM-GPG-KEY-MariaDB

gpgcheck=1

1 2	~]# dnf install MariaDB-server ~]# systemctl enable --now mariadb

1 2	MariaDB [mysql]> CREATE USER 'account1'@localhost IDENTIFIED BY 'MyNewPass'; MariaDB [mysql]> GRANT ALL PRIVILEGES ON 'account1'.* TO 'account1'@localhost;

/etc/nginx/conf.d/virtual.conf 파일에 가상호스트를 생성하고 php-fpm 과 sock 으로 연결 한다.

server {

listen 80;

server_name 192.168.0.120 site.url.com;

root /free/home/account1/html;

index index.php index.html index.htm;

location ~ \.php$ {

try_files $uri =404;

fastcgi_intercept_errors on;

fastcgi_index index.php;

include fastcgi_params;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

fastcgi_param PATH_INFO $fastcgi_path_info;

fastcgi_param HTTP_X_REQUEST_ID $request_id;

fastcgi_pass unix:/run/php-fpm/www.sock;

}

location ~* \.(eot|ttf|map|woff2?)$ {

expires max;

add_header Access-Control-Allow-Origin *;

}

location ^~ /.well-known/acme-challenge/ {

root /var/www/;

}

location = /favicon.ico {

access_log off;

log_not_found off;

return 204;

}

if ( $request_method !~ ^(GET|POST|HEAD|OPTIONS)$ ) {

return 405;

}

location / {

}

일단 여기 까지 진행된 경우 nginx – php – mariadb 조합의 사용이 가능하다.

내부 공용으로 쓰이는 부분은 params 파일로 별도로 만들어서 include 하는편이 좋다. ‘ㅅ’a

사이트용 계정 및 phpinfo() 파일을 생성하고 브라우져로 접속하여 확인 해 본다 ‘ㅅ’a

~]# adduser account1 -d /free/home/account1

~]# su account1 -c 'mkdir -p /free/home/account1/html'

~]# echo -e '<?php\nphpinfo();' > /free/home/account1/html/index.php

WEB 디렉토리를 기본이 아닌 /free/home/계정 으로 진행 했기 때문에 아래와 같이 selinux 설정 하고 적용 한다.

~]# setsebool -P httpd_read_user_content 1

~]# semanage fcontext -a -t httpd_user_content_t "/free/home(/.*)/html(/.*)?"

~]# restorecon -Rv /free/home/account1

### wordpress 의 쓰기 웹상 쓰기가 필요한 .htaccess 파일과 wp-content 폴더에 apache에서의 쓰기 권한을 준다 'ㅅ'a

~]# semanage fcontext -a -t httpd_sys_rw_content_t "/free/home(/.*)/html(/.*)?/wp-content(/.*)?"

~]# semanage fcontext -a -t httpd_sys_rw_content_t "/free/home(/.*)/html/.htaccess"

selinux 는 어렵지만 활성화 해두고 쓰면 보안이 매우 강려크 하다.

문제가 발생한경우 setenforce 0 명령어로 감시모드로 전환 하고 sealert 명령어로 예외 추적 하고, context를 추가한 뒤에 다시 setenforce 1 으로 활성화 하는 습관을 가지는게 좋다.

설정된 t콘텍스트 는 ls -lZ /경로/경로 으로 확인할 수 있다.

snapd 및 certbot (let’s encrypt) 를 설치 한다.

~]# dnf install snapd

~]# systemctl enable --now snapd

~]# ln -s /var/lib/snapd/snap /snap

~]# snap install core

~]# snap refresh core

~]# snap install --classic certbot

~]# ln -s /snap/bin/certbot /usr/bin/certbot

certbot을 활용한 인증서 발급 명령어 (nginx acme-challenge 를 설정한 이유는 디렉토리를 고정 사용하기 위해서이다.)

~]# certbot certonly --server https://acme-v02.api.letsencrypt.org/directory --rsa-key-size 4096 \

--agree-tos --email 이메일@주소.com --webroot -w /var/www \

-d 도메인.주소.com

nginx ssl 설정은 일반 server { } 설정 사이에 listen 값을 교체 및 ssl 설정을 추가 하면 된다.

server {

listen 444 ssl http2;

...

ssl_certificate /opt/full.pem;

ssl_certificate_key /opt/prik.pem;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

}

우분투 20.04 의 xrdp에서 로그인창 반복 문제

우분투 20.04 버전에서 xrdp 를 설치하고 원격 데스크톱을 연결했을때 로그인을 한 뒤에 아래와 같이

인증이 필요합니다

시스템 저장소를 새로 고치려면 인증해야 합니다

라는 메세지가 나오게 되고 패스워드 입력창이 반복되면 실제 로그인시 로그인을 실패를 하는것이 확인되었다.

실제 ubuntu 계정의 패스워드를 입력해도 정상 로그인이 불가능한 상태 이다.

/var/log/auth.log 파일에서는 아래와 같은 로그가 확인 되었다.

1	Jan 4 17:47:39 ubuntu-server polkit-agent-helper-1[2918]: pam_tally2(polkit-1:auth): user ubuntu (1000) tally 50, deny 5

xrdp의 버그인 것으로 아래와 같이 터미널에서 polkit 룰을 추가함으로서 해결 되었다.

polkit.addRule(function(action, subject) {

if ((action.id == "org.freedesktop.color-manager.create-device" ||

action.id == "org.freedesktop.color-manager.create-profile" ||

action.id == "org.freedesktop.color-manager.delete-device" ||

action.id == "org.freedesktop.color-manager.delete-profile" ||

action.id == "org.freedesktop.color-manager.modify-device" ||

action.id == "org.freedesktop.color-manager.modify-profile") &&

subject.isInGroup("{users}")) {

return polkit.Result.YES;

}

});

위 파일을 터미널을 통해 생성한뒤에 로그아웃 -> 로그인을 하면 사라진다 @_@b

출처 : https://devanswers.co/how-to-fix-authentication-is-required-to-create-a-color-profile-managed-device-on-ubuntu-20-04-20-10/

ssh (sftp) 속도 저하 이슈.

ssh 또는 sshd 의 내장된 sftp 를 이용하여 파일을 업로드 할때 가끔 속도가 저하되는 이슈가 있다 ‘ㅅ’a

sftp의 경우 데이터를 암호화 해서 통신을 하기 때문에 cpu와 네트워크(1Gbps)가 좋다면 일반적으로 20Mbps ~ 60Mbps 정도로 측정이 된다.

다만 resolve 가 정상적이지 않을때 속도 저하가 발생할 수 있는데 이때 sshd_config를 수정해서 DNS 확인을 하는 옵션을 꺼둠으로서 속도 저하를 예방할 수 있다.

일반적으로 CentOS 에서는 아래와 같은 설정 값을 가진다.

~]# grep -E "UseDNS|GSSAPIAuthentication" /etc/ssh/sshd_config

GSSAPIAuthentication yes

#UseDNS yes

이를 수정을 해주고 sshd를 재 시작 한다.

~]# sed -ie 's/GSSAPIAuthentication yes/GSSAPIAuthentication no/g;s/#UseDNS yes/UseDNS no/g' /etc/ssh/sshd_config

~]# grep -E "UseDNS|GSSAPIAuthentication" /etc/ssh/sshd_config

GSSAPIAuthentication no

UseDNS no

~]# systemctl restart sshd.service

~]# systemctl status sshd.service

● sshd.service - OpenSSH server daemon

Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)

Active: active (running) since Mon 2022-01-03 08:32:48 UTC; 11s ago

Docs: man:sshd(8)

man:sshd_config(5)

Main PID: 25479 (sshd)

CGroup: /system.slice/sshd.service

└─25479 /usr/sbin/sshd -D

상태 active (running) 을 확인 한뒤에 추가적으로 ssh 접속을 시도해 본다. (sshd 설정을 건들 경우에는 새로운 접속이 가능한지 확인해보는것이 좋다.)

ubuntu의 경우에는 기본 설정 값이 틀리기 때문에(주석으로 막혀있는 구조) 아래의 명령어를 사용한다.

~]# sed -ie 's/#GSSAPIAuthentication no/GSSAPIAuthentication no/g;s/#UseDNS no/UseDNS no/g' /etc/ssh/sshd_config

~]# grep -E "UseDNS|GSSAPIAuthentication" /etc/ssh/sshd_config

GSSAPIAuthentication no

UseDNS no

~]# systemctl restart sshd.service

~]# systemctl status sshd.service

CentOS 8 종료에 따라…

CentOS 8 의 CentOS Stream 전환의 시기가 얼마 남지 않았다. (2021년 12월 31일 까지…)

기존의 CentOS 와 같이 RHEL 을 복제한 OS 는 다음과 같다.

Rocky Linux (https://rockylinux.org)

Oracle Linux (https://www.oracle.com/kr/linux/)

Alma Linux (https://almalinux.org/)

Navy Linux (https://navylinux.org/)

네이비 리눅스의 경우 업데이트 적용이 늦는듯 하고(업데이트 지원이 늦어질수도??)

오라클 리눅스는 Mysql -> MariaDB 사태를 본 사람으로서 선택하기 어렵다.

아무래도 기존에 CentOS 개발자로 참여(Gregory Kurtzer) 했던 Rocky Linux 을 선택 하는게 좋을거 같지 싶다 ‘ ‘a

Rocky 리눅스의 경우에는 AWS, Azure, GCP 에서 OS 이미지로도 선택(물론 소프트웨어 요금 없이)이 가능하다.