Linux&BSD&Unix

IzzyMenu.com

SYSTEM(LINUX BSD MYSQL MSSQL etc)관련 자료및 자체 강의 자료

로그인 회원가입

[안톤작성자료] - APM4

ANTON

2009-06-28 05:07:38, 조회 : 266, 추천 : 36

linuX 서버의 구성 2001.10.12수정
Goodman 김지웅
시스템 사양 팬티엄 3 800/ HDD 20GB/ RAM 128mb
http://packetstormsecurity.nl/crypt/ssh/openssh/openssh-3.7.1p2.tar.gz
http://www.openssl.org/source/
apache 1.3.28 (apache.org)
php 4.3.2 (php.net->ar.php.net)
mysql    3.23  (mysql.org->download->linux->sourcedownload   mysql   3.23->korea
holly.net->y->enter
lynx2002 (rpm install)
proftpd (proftpd.org)
secure shell (openssh.org /openssl.org)
imap (ftp.cac.washington.edu/imap)->imap.tar.Z->bin->hash->mget
linux-2.4.22.tar.gz (kernel.org)
INSTALL
기본적 하드웨어 설정 및 유틸 설치
---------------------------------------
파티션구성
disk
new->usr->대략 2gb
      var -> 1GB
      tmp -> 500mb
      boot -> 500mb
      /    -> 500mb
      home -> fill to ~ 허용최대 사이즈 만큼 작성
------------------------------------------
부팅관련구성 Network 과 암호화 구조체설정
1.부트로더 선택 (GROUB,Lilo)에서 lilo로
2.MBR(master boot record) 설정
3.Boot label:linux -single mode load시 linux를 써줌
4.Enable MD5 password
5.Enable Shadow password (부연설명 SMB=쌈바 암호화 구조체,기타 KEBRO)
-----------------------------------------
각 유틸 설정
1.kernel development
2.software development
3.Lancy application support
4.Network Managed Workstation
5.Network support
------> select individual packages 첵크
----------------------------------------
세부 패키지 설정
Individual package selection
App -> archiving(압축관련 dump,pax,rmt,unarj,unzip,zip)
Communication(default setting) 통신관련
Database (default setting)-tipdb3-utils<bsd에많이 쓰임>
Editors에서 Vim설지 나머지는 (default setting) ->vim-ehanced
Engineering에서 BC(계산기) (default setting)
File (default setting)
Internet (default setting)
Development
Debuger (default setting)
Language (default setting) 단 nsam 추가 설치요
Library (default setting) 단 glibc 꼭 설치 리눅스는 기본 pam 인증모드 채용
System (default setting)
Tool (default setting) ->byacc(컴파일러제작기 선택 install)
System en~ment (default setting)
----------------------------------------
setup mode(disable) 요구 사항
setup->services (netfs,atd,portmap,nfslock,kudzu,ipchanges)
copywrite by Goodman 2003.8.05
App
커널 컴파일 2.4.22 기준
1.grup로 설정한다.(install시)
  1-1 개별패키지 선택에서 개발->도구들 kernel hader,kernel source를 반드시 설치할것(추후 커널참조를 위해)
2.ntsysv or setup에서 아래의 데몬을 모두 죽인다.
(anacron,apmd,atd,gpm(마우스),ipchains(방화벽),iptables,keytable,netfs,kudzu,nfslook,portmap,random,rawdeviceses)
3.최신 커널 정보 finger@kernel.org
4.strace ping www.yahoo.co.kr 패킷분석
5.ftp.kerlnel.org _> cd linux _> linux.2.4.22.tar.bz2 _> bzip2 -d linux.2.4.22.tar.bz2
6.lsmod 랜카드 칩셋 정보 여부 체크 메모 해둘 것
(TIP ALT+f1+f2+f3을 동시에 누르면 가상 터미널이 변경된다.)
#cp linux-2.4.22.tar.gz /home
#cd home
#tar xvfz linux-2.4.22.tar.gz
#ln -s linux-2.4.22 linux
#make mrproper
#make menuconfig
_> network devices 8139 (M) 모듈로 install
_> file systems
<M> Support module~ <--모듈로체크
     -<*> JBD<---커널로체크
<*> Ex3 journalling file system
<*> Second extended fs Support
<*> Kernel automounter (2개모두 체크할 것 커널관련두개임)
<*> Virtual Memory file system ISO9660 CDROM
/proc
/dev/pts
#make dep ; make bzImage ; make modules  ; make modules_install
#cp arch/i386/boot/bzImage /boot/vmlinuz-2.4.22
#cd /boot/grup
#vi grup.conf
아래부분에 해당사항 추가
title Goodman (2.4.22)
tab--->누른후 kernel /vmlinuz-2.4.22 ro root=/dev/hda5(하드디스크는가변임 위와 동일하게)
#vi /etc/modules.conf 모듈 정확 설치 여부

^^/ 만약 커널 컴파일 실패시 반드시 기존 소스를 지우고 압축을 풀어 다시 설치한다.
한가지팁 더 초기 설치시 boot는 ex2로 주는 것이 좋다 차후 복구시 ex3는 boot복구가 어렵다.

tar xvfz apache_1.3.28.tar.gz
tar xvfz bind-9.2.2.tar.gz
tar xvfz mysql-3.23.57.tar.gz
tar xvfz openssh-3.7p1.tar.gz
tar xvfz openssl-0.9.7a.tar.gz
tar xvfz php-4.3.3.tar.gz
tar xvfj proftpd-1.2.8kr.tar.bz2
tar xvfz imap-2002d.tar.Z

Imap install
mv imap-2002d /usr/local/imap

chown -R root:root /usr/local/imap

cd /usr/local/imap

make slx SSLTYPE=none

cp imapd/imapd /usr/sbin

cp ipopd/ipop3d /usr/sbin

cd /etc/xinetd.d
vim imapd
---------------
service imap
{
        disable = no
        socket_type = stream
        wait = no
        user = root
        server = /usr/sbin/imapd
        log_on_success += DURATION USERID
        log_on_failure += USERID
}
-----------------
vim ipop3d
-----------------
service pop3
{
        disable = no
        socket_type = stream
        wait = no
        user = root
        server = /usr/sbin/ipop3d
        log_on_success += USERID
        log_on_failure += USERID
}
-----------------
vim /etc/services - 확인만
pop3    110/tcp         pop-3  #pop version 3
pop3    110/udp         pop-3
imap    143/tcp         imap    #interim Mail Access proto v2
imap    143/udp         imap

/etc/rc.d/init.d/xinetd restart 슈퍼데몬 재가동

ex) service xinetd restart 도 가능
netstat -na | grep LISTEN 으로 iamp 작동확인 143 port 활성화 여부 체크

Mysql-config

useradd -s /bin/false -d  / mysql

grep mysql /etc/passwd-> 출력값 mysql:x:501:501~ 가변되지만 보통 이런식으로 나옴정상

mkdir /usr/local/mysql/data
(실수로 환경설정이 잘못되면 make distclean)
./configure --prefix=/usr/local/mysql --with-charset=euc_kr --with-mysqld-user=mysql
--localstatedir=/usr/local/mysql/data

make

make install

cd /usr/local/mysql/bin

./mysql_install_db [초기과정 db 6개 생성]

cd /usr/local/mysql/share/mysql

vim mysql.server
-------------------
$bindir/safe_mysqld --user=mysql --pid-file=$pid_file --language=korean &

chown -R mysql:mysql  /usr/local/mysql/var (/usr/local/mysql/에 있는 /var 디렉의 계정을변경)

ln -sf /usr/local/mysql/share/mysql/mysql.server /sbin/mysql.server

mysql.server start

mysql -u root -p (root password)

-->ERROR 2002: Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2)

Mysql> set password for root@localhost = password ('guseoajfxlzoq');

ps -ef | grep mysql

mysql.server stop

MYSQL 보안설정

rootpassword가 유효하며 기타 계정사용자의 history file가 존재한다 이때는 이파일을
삭제 시켜 줘야 된다.또한 history 파일은 사용자 계정 디렉에 존재하며 확인후 반드시
삭제 조치또는 아래와 같은 방법을 사용 토록 한다
ex)
cd /root

more .mysql_history (확인방법)

ln -sf /dev/null .mysql_history (null 폴더에 history file 보관)

Apache install 1

cd /var/tmp/apache_1.3.28

./configure --prefix=/usr/local/apache

cd ..

PHP install

cd php-4.3.3

(이부분 잘해라 잘못하면 마이sql 오류등이 나온다.)
./configure --with-config-file-path=/usr/local/apache/conf --disable-debug --with-mysql=/usr/local/mysql
--with-apache=../apache_1.3.28 --enable-track-vars --enable-sockets --with-imap=/usr/local/imap

make

make install

Apache install 2

./configure --prefix=/usr/local/apache --activate-module=src/modules/php4/libphp4.a
make
make install

---------------------------------------------------------------------
cp /var/tmp/php-4.3.3/php.ini-dist /usr/local/apache/conf/php.ini (요건아파치 설치후에해라)

Apache 환경설정
vim /usr/local/apache/conf/httpd.conf/
------------------------------
360 line쯤/
<ifModule mod_dir.c>
DirectoryIndex index.php index.php3 index.html index.htm 으로 수정
</ifModule>

720 line쯤
AddType application/x-httpd-php .php php3
AddType application/x-httpd-php-source .phps

------------------------------
아파치 추가보안 설정
# End of proxy directives.
# 보안 설정부분
# SetEnvIf Cookie check=ok true
# <Directory "해당디렉토리">
#  Options FollowSymLinks Includes ExecCGI
#  Order allow,deny
#  allow from env=true    <--- 이부분이 SetEnvIf에 의해 세팅된 변수만 허가함
# </Directory>
# 특정디렉토리 접근 금지 부분임

# 웹서버 삽질 금지부분
BrowserMatch "WebZip" go_out
BrowserMatch "Teleport" go_out
BrowserMatch "GetRight" go_out
<Directory "/home/gwise/public_html">
Deny from env=go_out
</Directory>
# 웹서버 정보 보기 금지부분
ServerTokens Prod
---------------------------
가상호스트생성
---------------------------
NameVirtualHost 211.199.155.26:80
<VirtualHost 211.199.155.26:80>
    ServerAdmin admin@feelplaza.com
    DocumentRoot /home/kjw38317/public_html
    ServerName feelplaza.com
    ErrorLog logs/feeplaza.com-error_log
    CustomLog logs/feelplaza.com-access_log common
</VirtualHost>

문법체크
/usr/local/apache/bin/httpd -t

실행
/usr/local/apache/bin/apachectl restart

링크
ln -sf /usr/local/apache/bin/httpd /sbin/httpd
ln -sf /usr/local/apache/bin/apachectl /sbin/apachectl

PHP보안 설정
vim /usr/local/apache/conf/php.ini
----------------
url_fopen (php 인젝션공격대비 방어)
allow_url_fopen=Off
register_globals=On (제로보드사용시 On 미사용시 Off권장)
disable-functions=system,passthru,exec,shell_exec (php특정함수명으로 인한 공격대비)
----------------
apachectl restart

MYSQL의 운용

mysql -u root -p mysql
create database 디비;
grant all privileges on 디비.* to 사용자@localhost
> identified by '패스워드';
mysql 서버에 접속후 root 패스워드 수정 및 새로운 사용자 추가 과정 수행
root 패스워드 설정하기 위해 다음 과정 수행
- mysql 데이터베이스의 user 테이블에 해당하는 값 추가
- use mysql;
- select user,password from user;
- update user set password=password('vnawlfqhwmd') where user='root';
- "\q" 명령으로 서버접속을 끝내고 "./mysqladmin -u root reload" 명령 실행한다.
- 이제 mysql 서버 종료는 "./mysqladmin -u root -p guseoajfxlzoq shutdown" 명령으로 종료가 된다.
- 다시 터미널로 서버에 접속할때는 "./mysql -u root -p패스워드" 로 접속(비밀번호 붙일것)

■새로운 사용자 추가 수행■
{{
}}
요약
1.유저추가
insert into user
values('localhost','incheon',password('wjddktkfkd'),'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y
');

2.디비 생성
create database incheon;

3.생성된 디비로 접속 가능 토록
insert into db values('%','incheon','incheon','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y');
{{
}}
- 새로운 db 사용자를 mysql 데이터베이스의 user 테이블에 추가 해야 한다.
- use mysql; (사용자계정은 mysql이라고 쓴곳에다가 사용자계정명을 작성)
- desc user; [user 테이블 필드 내용 출력]

- 가정 ( 사용자 계정 : carina, 패스워드 : 1111 )

-insert into user
values('localhost','kokomi',password('vnawlfqhwmd'),'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y');

- insert 작업 후 select 문을 이용하여 확인할 수 있다. 그리고 서버를 재시동 한다.
=========================================
이제, 등록된 사용자가 사용할 수 있는 물리적 데이터베이스 공간을 만들어 주자.
2가지 방법이 있다.

쉘 명령에서 "./mysqladmin -u root -p '패스워드' create carina" 명령을 주면 "carina"라는 이름으로 데이터베이스
가 생성된다.

mysql 쉘 명령에서 "create database carina;" 명령을 주면 "carina"라는 이름으로 데이터베이스가 생성된다.

- show databases; 명령으로 확인해 보면 생성된 데이터베이스 이름이 표시 될 것이다.
마지막으로, 생성된 데이터베이스에 접근 가능하도록 설정하자.

- 이는 mysql 데이터베이스의 db 테이블에 다음과 같이 정보를 입력하는 과정으로 처리한다.
"insert into db values('%','kjw38317','kjw38317','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y');
이로써 작업이 모두 끝났다.

새롭게 생성된 데이터베이스에 접근해보자
"./mysql -u carina -p패스워드"
- 추가적으로 현재의 데이터베이스에 php 구문을 이용하여 접근하는 php 구문은 다음과 같다.
$conn=mysql_connect("localhost","carina","1111");

----------------------------------------------------------
아그리고 하나 정리 사용자계정 생성후 사용자 계정아이디로 sql 접속시 루트일경우엔
못들어간다 이유는 루트랑 사용자 계정이 다르기에 su (사용자아이디)후에 재접속한다
-----------------------------------------------------------

mysqld 루트 비번 분실 혹은 루트접속 안될때
1. 현재 가동되어 있는 mysqld 데몬을 내린다.
   /etc/init.d/mysqld stop
2. safe_mysqld -Sg & 옵션으로 mysql 을 skip grant table옵션으로
   백그라운드 가동한다.
   (= safe_mysqld --skip-grant &)
3. 현재 skip grant table 상태이므로, 아이디와 비번없이 작동가능하다.
   mysql mysql
4. 루뜨 유저의 비번을 준다.
   use mysql;
   update user set password = password('패스워드')
   where user = 'root';
   한다음 quit 로 빠져나온다.
5  mysql 을 종료한후 정상적인 mysql 데몬을 띄운다.
   /etc/init.d/mysqld restart
6. 루트의 권한이 정상인지 확인한다.
   mysql -u root -p mysql
7. 정상 접근되면 확인 도장 찍기 위해서 루트 권한을
   다시 한번 지정해준다.
   grant all privileges on *.* to root@localhost
   -> identified by '암호';
8. 일반적인 db 추가와 사용자 권한설정을 한다.
   예) create database dbname;
       grant all privileges on dbname.* to dbuser@localhost
       -> identified by 'dbpasswd';
    여기서 dbname, dbuser, dbpasswd 는 db계정에 맞게 적당이 변경하여 추가한다

Proftp와 Bind의 설치 By Goodman
proftpd-1.2.9rc2p 최신버젼 2003.10.5
./configure
./make
./make install
vim /usr/local/etc/proftpd.conf
# /etc/init.d/xinetd restart
---------------------------------------------------
[root@feelplaza conf]# cd /usr/local/etc/proftpd.conf
bash: cd: /usr/local/etc/proftpd.conf: Not a directory
[root@feelplaza conf]# cat /usr/local/etc/proftpd.conf
# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.
ServerName                     "Goodman FTP ^^/"
ServerType                      standalone
DefaultServer                   on
# Port 21 is the standard FTP port.
Port                            21
# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask                           022
# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances                    30

# Set the user and group under which the server will run.
User                            nobody
Group                           nobody <--nogrup 으로 되어있으면 nobody로 변경한다

# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot ~ <---주석을 풀고 저렇게 넣어 줘야만 사용자가 상위디렉으로 이동하지못한다.

# Normally, we want files to be overwriteable.
<Directory />
  AllowOverwrite                on
</Directory>
# A basic anonymous configuration, no upload directories.  If you do not
# want anonymous users, simply delete this entire <Anonymous> section.
<Anonymous ~ftp>
  User                          ftp
  Group                         ftp
  # We want clients to be able to login with "anonymous" as well as "ftp"
  UserAlias                     anonymous ftp
  # Limit the maximum number of anonymous logins
  MaxClients                    10
  # We want 'welcome.msg' displayed at login, and '.message' displayed
  # in each newly chdired directory.
  DisplayLogin                  welcome.msg
  DisplayFirstChdir             .message <--- 2개모두 멧돼지 파일이다 접속시 출력한다./home/계정에넣는다.
  # Limit WRITE everywhere in the anonymous chroot
  <Limit WRITE>
    DenyAll
  </Limit>
</Anonymous>
# difault root

맷되지 파일작성요령
-지원하는 특수 명령어-
%T 현재시간
%F 현 파일시스템에 사용가능한 용량
%C 현재 작업 디렉토리
%R 원격 호스트 이름
%L 로컬 호스트 이름
%u ident 프로토콜에 의한 사용자이름
%U 접속한 원래 사용자 이름
%M 최대 접속 가능 인원
%N 현재 접속 인원
%E 서버의 관리자 Email
ftpwho : 각 ftp의 유저의 상태에 대한 정보를 보여준다.
           -v 옵션을 사용하면 좀더 상세한 정보를 알 수 있다.
ftpcount : 현재 서버에 몇 명이 접속해 있는지 알아보는 명령.
FTP 사용자 로그 보기
     ProFTPD는 지금까지 접속한 로그의 내용을 ‘/var/log/secure" 파일에 모두 기록해 둔다.
     하지만 이부분은 단순히 ProFTPD 뿐만 아니라 다른 데몬의 사용내역까지 기록해 두기 때문에
     ProFTPD의 내용만 보기 위해서는 다음과 같은 명령을 사용한다.
# cat /var/log/secure | grep proftpd

BIND의설정
useradd -s /binfalse -d / named
./configure --prefix=/usr/local/named
make
make install
NAMED 설정시 RNDC키 생성
----------------------------------------
cd /usr/local/named/sbin/
dnssec-keygen -a hmac-md5 -b 128 -n HOST ns1
ls -al
그럼 키가 두개 생긴것을 볼수 있다
[root@feelplaza sbin]# cat Kns1.+157+55367.key
ns1. IN KEY 512 3 157 D+qMO81ty1wZh2u4zCZMVA==
[root@feelplaza sbin]# cat Kns1.+157+55367.private
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: D+qMO81ty1wZh2u4zCZMVA==
[root@feelplaza sbin]#
--------------------------------------------------
위처럼 얻은 키값을 secret에 삽이 하여야 하며
또한 위값은 두개 모두 동일하다는 것을 알수 있다.
--------------------------------------------------
여기에서 얻은 키값은 named.conf에 복사해서 편집한다.
예) 원격의 네임서버 named.conf 파일 :
  key rndc_key {
        algorithm "hmac-md5";
        secret "D+qMO81ty1wZh2u4zCZMVA==";
  };
  controls { // 127.0.0.1의 953번 포트 사용
        inet 127.0.0.1 allow { localhost; 허락할_호스트;} keys { rndc_key; };
  };
이와 같은 설정이 되어 있다면,
  ./rndc reload
  ./rndc staus
  ./rndc stop
●named.conf●
[root@feelplaza sbin]# cat /usr/local/named/etc/named.conf
// generated by named-bootconf.pl
options {
        pid-file "/usr/local/named/var/named.pid"; <---mkdir /usr/local/named/var를 생성
        시킨후 chown -R named:named /usr/local/named/var 해줘야만 pid가 생성된다.

        directory "/var/named";
        /*잡스러운 주석들..
         */
        // query-source address * port 53;
};
// a caching only nameserver config
//
key rndc_key {
        algorithm "hmac-md5";
        secret "D+qMO81ty1wZh2u4zCZMVA=="; 위에서 얻은 RNDC키값이다 이키값을 넣는다.
  };
  controls { // 127.0.0.1의 953번 포트 사용
        inet 127.0.0.1 allow { localhost; } keys { rndc_key; };
  };

zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
        allow-update { none; };
        allow-transfer { none; };
};

zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "named.local";
        allow-update { none; };
        allow-transfer { none; };
};

zone "feelplaza.com" IN {
        type master;
        file "feelplaza.com.zone";
        allow-update { none; };
        allow-transfer { none; };
};

zone "155.199.211.in-addr.arpa" IN {
        type master;
        file "155.199.211.zone";
        allow-update { none; };
        allow-transfer { none; };
};
RECORD ZONE 생성 및 작성
[root@feelplaza named]# cat 155.199.211.zone
$TTL    86400
@       IN      SOA     ns1.feelplaza.com. root.ns1.feelplaza.com.  (
                                      2003101000 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
              IN      NS      ns1.feelplaza.com.

26              IN      PTR     ns1
26              IN      PTR     mail
26              IN      PTR     www
26              IN      PTR     ftp
[root@feelplaza named]# cat feelplaza.com.zone
$TTL    86400
@       IN      SOA     ns1.feelplaza.com. root.ns1.feelplaza.com.  (
                                      2003101000 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
              IN      NS      ns1.feelplaza.com.
              IN      MX      10      mail.feelplaza.com.

ns1             IN      A       211.199.155.26
feelplaza.com    IN      A       211.199.155.26
mail            IN      A       211.199.155.26
www           IN      A       211.199.155.26
ftp             IN      A       211.199.155.26
------------------------------------------------------------------------------------
[root@feelplaza named]# cat localhost.zone
$TTL    86400
@       IN      SOA     localhost. root.localhost.  (
                                      2003101000 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
              IN      NS      localhost.
              IN      NS       127.0.0.1
------------------------------------------------------------------------------------
[root@feelplaza named]# cat named.local
$TTL    86400
@       IN      SOA     localhost. root.localhost.  (

                                      2003101000 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
              IN      NS      localhost.

1              IN      PTR     ns1
1              IN      PTR     mail
1              IN      PTR     www
1              IN      PTR     ftp
------------------------------------------------------------------------------------
Telnet 관련자료 환영메시지 입력
vi /etc/motd 요기다가 써주면 된다.

추천하기

목록보기