rsync 로 백업할려고 하라는대로 했는데 접속시마다 계속 패스워드 물어본다.
/var/log/secure 에
Authentication refused: bad ownership or modes for directory /home/daehan
퍼미션을 보니 707이었다. 무슨 작업(뭘?)하느라 바꿔놓고 그냥놔둔듯
755로 바꾸니 바로 되네...
일반적인게 아니니 검색해도 안나오지..
SSH key접속시 password 계속 묻는 문제
ssh rsa key를 이용하여 password 없이 설정 하는 방법은 많이 공유되어 있다. 하지만, 특정 계정에 대해서 ssh key를 설정(authorized_keys)를 권한에 맞도록 설정했지만, 안되는 경우가 발생했다. 반나절 동
sncap.tistory.com
데몬없이 하는 경우 ssh 계정하고 패스하고 입력해주면서 해야하는데
데몬으로 하면 그런거 없다. (iptables에서 포트제한하는 경우라면 873포트를 열어줘야 한다)
예) 서버 CentOS 6.8 / 서버ip - 123.456.789.012 의 Gallery 디렉토리(원본)를 내 서버(타켓)로 동기화 하려고 한다.
==== xinetd 설치
]# yum -y install xinetd
==== /etc/xinetd.d/rsync 파일편집
]# vi /etc/xinetd.d/rsync
disable = no 로 변경해주고 저장.
==== /etc/rsyncd.conf 를 맹글어준다.
]# vi /etc/rsyncd.conf
[daehans]
path = /home/daehan/Gallery
comment = myGallery
uid = nobody
gid = nobody
use chroot = yes
read only = yes
# hosts allow = all host
max connections = 10
timeout 600
----------------
[섹션이름]
path = 섹션의 경로
==== SELinux 사용시라면 퍼미션 오류나므로
참고 : http://webinformation.tistory.com/30
]# getsebool -a | grep rsync
postgresql_can_rsync --> off
rsync_anon_write --> off
rsync_client --> off
rsync_export_all_ro --> off
rsync_full_access --> off
확인 후 rsync_export_all_ro 를 on 으로 변경
]# setsebool -P rsync_export_all_ro 1
-P 옵션은 서버를 재 시작해도 on 시키겠다는 의미.
==== xinetd 재시작 및 chkconfig 등록
]# service xinetd restart
]# chkconfig xinetd on
===== 123.456.789.012 서버의 설정끝.
===== 내서버에서 rsync로 실행하면 된다.
rsync -avr 원본서버도메인이나IP주소::섹션이름 내서버의경로
]# rsync -avr --delete 123.456.789.012::daehans /home/Gal_backup
다시 입력하기 귀찮아서리 백업용.
CentOS 6.8 에서 /etc/sysconfig/iptables 파일이다.
7.x 부터는 firewalld 인가로 한다는데 virtualbox 에서라도 테스트해야하나 -_-;;
난 기본적으로 ssh포트를 변경해버리므로 22번 포트를 막아버린다.
주의) 개인적으로 사용하는것이므로 혹 이 글을 다른분들이 보신다면
참고만 하시고 다른 자료를 참고하시길 권합니다.
[root@localhost sysconfig]# vi iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
# ftp
-A INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
# ssh port 22 deny
# -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# new ssh
-A INPUT -m state --state NEW -m tcp -p tcp --dport 변경포트번호 -j ACCEPT
# web httpd
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
# samba
-A INPUT -m state --state NEW -m tcp -p tcp --dport 137 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 138 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
# openssl, webdav
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
# rsync daemon
# -A INPUT -m state --state NEW -m tcp -p tcp --dport 873 -j ACCEPT
# webdav
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5005 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5006 -j ACCEPT
# 이 위로 열어 줄 포트들을 지정해주면 된다.
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
ftp로 접속하려는데
500 OOPS vsftpd: refusing to run with writable root inside chroot()
나오면서 접속이 안된다.
CentOS7은 뭐이리 안되는게 많은지..
원래
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd/chroot_list
# 주석해제했다.
chroot_list_enable=YES
# (default follows) 이놈도 주석해제 하고 chroot_list 파일에 허용할 아이디입력
chroot_list_file=/etc/vsftpd/chroot_list
허용할 이라고 했는데 chroot 가 적용안되게 할 계정이라고 하는게 맞겠지.
근데 /etc/vsftpd/chroot_list 파일이 없었다.
]# vi /etc/vsftpd/chroot_list
로 파일만들어서 첫줄에 daehan 계정명을 써주고 저장.
여러 계정일 경우 한 줄에 하나씩 써주면 된다더라. user_list 파일을 보니...ㅋㅋㅋ
]# systemctl restart vsftpd
잘된다.
까페24에 가상서버 호스팅이 1G 메모리에 5,500원이길래 신청했다.
https://www.cafe24.com/?controller=product_page&type=server&page=virtual_linux
CentOS 7.x os만
15분인가? 정도 후에 셋팅됐다길래 한 짓
1. yum 업데이트
]# yum -y update
2. 기본으로 사용 할 사용자추가 후 패스워드 지정
]# useradd daehan
]# passwd daehan
3. root로 바로 로그인 못하도록 sshd_config 파일변경
]# vi /etc/ssh/sshd_config 파일을 열어서
#PermitRootLogin yes 라는 부분을 주석제거 하고
PermitRootLogin no 로 변경 후 저장
4. sshd 재시작
]# systemctl restart sshd.service
ssh 포트 바꾸고 iptables 에서도 설정해줘야하는데
피곤해서 여기까지만 하고 다음에...
vsftp 설치하고 잘되던 놈이 재부팅 하니 로그인은 되는데
500 OOPS: cannot change directory
요래 GR하면서 디렉토리 리스트를 못보여준다.
검색해보니 selinux 문제란다.. 망할넘의 selinux
웹서버에 삼바에 ftp에 아주 번거롭게 만드는 놈일세...
]# getsebool -a | grep ftp
해서 ftp_home_dir 상태가 off 이면
]# setsebool -P ftp_home_dir=1
]# service vsftpd restart
요러면 된단다...
-P 는 재부팅 후에도 적용된다는건데 저 옵션주면 한참 걸리기는 하더라.
근데 안돼 ㅜㅜ
그래서 allow_ftpd_full_access 옵션주면 된다는 게 있길래 했더니 된다.
]# setsebool -P allow_ftpd_full_access on
]# service vsftpd restart
]# setsebool -P allow_ftpd_full_access=1 도 같은거다
클라우드서버 맹글어보자고 삽질...
알고보면 별거 없는데 작업했던거 까먹을까봐 메모.
서버 CentOS 6.8 가상서버 호스팅.
APM : Apache 2.2.15 / php 5.6.17 / MySQL 5.7.10
전부 yum으로 설치하고 업그레이드 함.
귀찮아서 selinux 설정은 끈 상태임.
웹서버 홈디렉토리 경로는 /home/daehan/www 임.
phpMyAdmin 으로 owncloud 데이터베이스를 만들어 둠.
utf8 콜레이션은 utf8mb4_general_ci 으로...
https://download.owncloud.org/download/repositories/stable/owncloud/
로 가서 Select Your Operating System 에서 CentOS 클릭
하단의 CentOS_6 owncloud-9.1.1-1
라고 되어 있는 부분의 쉘상에서 설명대로 한다.
]# rpm --import https://download.owncloud.org/download/repositories/stable/CentOS_6/repodata/repomd.xml.key
]# wget http://download.owncloud.org/download/repositories/stable/CentOS_6_SCL_PHP54/ce:stable.repo -O /etc/yum.repos.d/ce:stable.repo
]# yum clean expire-cache
]# yum -y install owncloud
끝나면 /var/www/html 디렉토리에 owncloud 디렉토리에 설치가 되어 있음.
별것없이 그냥 웹서버만 다시 시작해줘도 된다. 그게 보안상으로도 좋고~
]# service httpd restart
http://도메인/ouncloud/
로 접속해서 관리자 접속 아이디와 패스를 만들고 DB정보를 입력하면 된다.
-----------------------------------------------------------------------------------------------------------------
근데 나는 보안따위 개나줘버려~
홈디렉토리 경로로 owncloud 디렉토리를 옮겨준다.
]# mv /var/www/html/owncloud /home/daehan/www/
이러저런 문제가 많으니 owncloud 디렉토리 전체를 소유자를 apache로 해준다.
]# chown -R apache:apache /home/daehan/www/owncloud
아파치 설정파일을 수정해줘야 한다.
]# vi /etc/httpd/conf.d/owncloud.conf
# Alias /owncloud "/var/www/html/owncloud/"
// 첫번째 Alias 부분 필요없으니 주석처리해준다.
<Directory "/home/daehan/www/owncloud">
Options +FollowSymLinks
AllowOverride All
<IfModule mod_dav.c>
Dav off
</IfModule>
SetEnv HOME home/daehan/www/owncloud
SetEnv HTTP_HOME home/daehan/www/owncloud
</Directory>
<Directory "home/daehan/www/data/">
# just in case if .htaccess gets disabled
Require all denied
</Directory>
저장 한 후 아파치를 재시작해준다.
]# /etc/rd.d/init.d/httpd stop
중지 어쩌구 저쩌구
]# /etc/rd.d/init.d/httpd start
시작 어쩌구 저쩌구
]# service httpd restart
이걸로 한큐에 해도 되는데 되다 안되다 하는 경우가 있다. (내가 설치한게 다 그렇지 뭐)
http://도메인/ouncloud/
로 접속해서 관리자 접속 아이디와 패스를 만들고 DB정보를 입력하면 된다.
# tar xvfz vsftpd-1.2.0.tar.gz # cd vsftpd-1.2.0 |
# make # make install (vsftpd 데몬, man page, xinetd 용 설정 파일 설치) # cp vsftpd.conf /etc (환경설정 파일 복사) # chmod 600 /etc/vsftpd.conf # cp RedHat/vsftpd.pam /etc/pam.d/vsftpd (PAM 설정 파일 복사) |
pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed |
# FTP 접속을 허용하지 않을 ID를 등록한다. # /etc/passwd를 참조해서 설치할 서버의 환경에 맞게 등록 root bin daemon adm lp sync shutdown halt news uucp operator games nobody smmsp xfs gdm mysql |
# anonymous 사용자의 접속 허용 여부 (default = YES) # 공개된 형태의 FTP 서버로 운영할 것이 아니라면 NO로 한다. anonymous_enable=NO # 로컬 계정 사용자의 접속 허용 여부 (default = NO) local_enable=YES # write 명령어 허용 여부 (defualt = NO) write_enable=YES # 로컬 계정 사용자용 umask (default = 077) local_umask=022 # anonymous 사용자가 파일을 업로드 할 수 있는지 여부 (default = NO) # anon_upload_enable=YES # anonymous 사용자의 디렉토리 생성 허용 여부 (default = NO) # anon_mkdir_write_enable=YES # 파일 전송 로그를 남길 것인지 여부 (default = YES) xferlog_enable=YES # xferlog 표준 포맷으로 로그를 남길지 여부 (기본 설정파일은 YES) # 아래에서 NO로 설정했을 때를 설명함 xferlog_std_format=YES # 파일 전송 로그 파일명 xferlog_file=/var/log/vsftpd.log # FTP 서버 접속할 때 로긴 메시지 (default = vsFTPd 버전번호) # 한글 사용 가능 # ftpd_banner=Welcome to blah FTP service. # ------------------------------------------------------------------- # 기본 설정 파일에는 없는 설정값으로 필요한 설정만 추가한다. # ※ 중요한 설정은 굵은 글씨로 표시 # ------------------------------------------------------------------- # PAM 파일명을 지정 (설치할 때 /etc/pam.d/vsftpd명으로 복사함) pam_service_name=vsftpd # wtmp에 로그 남기기 (YES로 해야만 last 명령어로 접속 여부 확인 가능) session_support=YES # 사용자가 자신의 home directory를 벗어나지 못하도록 설정 chroot_local_user=YES # 새로운 디렉토리에 들어갔을 때 뿌려줄 환경 메시지를 저장한 파일명 # message_file=.message # xferlog 형식으로 log를 남기려면 (위에서 이미 YES로 했음) # xferlog_std_format=NO # # - xferlog 표준 포맷은 로긴, 디렉토리 생성등의 로그를 남기지 않음 # 그러나 vsftpd 스타일 로그는 이를 포함한 보다 상세한 로그를 남김 # - vsftpd 스타일 로그 예 # # Sun Jul 12 01:38:32 2003 [pid 31200] CONNECT: Client 127.0.0.1 # Sun Jul 12 01:38:34 2003 [pid 31199] [truefeel] FAIL LOGIN: Client 127.0.0.1 # Sun Jul 12 01:38:38 2003 [pid 31199] [truefeel] OK LOGIN: Client 127.0.0.1 # Sun Jul 12 01:38:41 2003 [pid 31201] [truefeel] OK MKDIR: Client 127.0.0.1, /mp3 # Sun Jul 12 01:39:06 2003 [pid 31201] [truefeel] OK UPLOAD: Client 127.0.0.1, /델리 # 스파이스 5집 - [04]키치죠지의 검은 고양이.mp3, 6855473 bytes, 3857.39Kbyte/sec # 전송속도 제한 (0은 제한없음, 단위는 초당 bytes) anon_max_rate=0 local_max_rate=0 trans_chunk_size=0 # 최대 접속 설정 (단 xinetd를 통하지 않고 standalone으로 동작할 때만 사용 가능) # standalone을 위해서는 listen=YES 추가하고 별도로 vsftpd를 띄워야 함 # # max_clients=최대 접속자 수, max_per_ip=IP당 접속 수 # max_clients=100 # max_per_ip=3 # Standalone 으로 운영할 때 listen=YES. 포트 변경을 원할 경우 listen_port 설정 # 디폴트 포트는 21번 포트이다. # listen=YES # listen_port=21 |
# /etc/rc.d/init.d/xinetd restart |
[출처] REDHAT에 YUM 설치..|작성자 신쥐
파일에
대한 정보를 700 으로 변경 시 root만이 사용가능하며
이를 다른 User에게도 허용하고 싶을 때는 Group 권한을 사용한다.
# ls -al /bin/su
-rwsr-x--- 1 root client 74651 Apr 11 2006
/bin/su
Client 라는 Group 생성 후 해당 파일에 대한 Permission 을
# chmod 4750 /bin/su
Su 에 대한 파일 소유권을 조정
# chgrp client /bin/su
함으로써 해당 파일에 대한 권한을 root와 group client에 속한 user로
제한할 수 있다.
[출처] 시스템 설치 후 Permission 보안 변경|작성자 정신차렷
~/.vimrc 파일을 만든다.
자신의 홈디렉토리에 .vimrc
]vi .vimrc
set fileencodings=utf-8,euc-kr
한 줄 추가해준 후 wq
다방24는 utf-8용으로 아파치를 설정해놔서리.....
그리고.....
터미널 프로그램에서 굳이 utf-8로 지정할 필요없을듯.
PuTTY의 경우 서버의 환경(/etc/sysconfig/i18n)이
LANG="ko_KR.eucKR"
SUPPORTED="en_US.UTF-8:en_US:en:ko_KR.eucKR:ko_KR:ko"
SYSFONT="latarcyrheb-sun16"
요렇게 되어 있으면 한글이 왕창 깨져버린다.
]# yum -y install kde-i18n-Korean fonts-korean
]# vi /etc/sysconfig/i18n| LANG="ko_KR.eucKR" SUPPORTED="en_US.UTF-8;en_US;en;ko_KR;eucKR;ko" SYSFONT="lat0-sun 16" |
[출처] CentOS5.3 - 한글|작성자 억수로
- 런레벨 1 : 싱글모드 부팅. MS윈도우즈의 안전모드와 비슷
- 런레벨 3 : 콘솔모드로 부팅(대부분 요거겠지)
- 런레벨 5 : X 윈도우로 부팅
- 런레벨 6 : 계속 재부팅만 한다.
런레벨 수정
- /etc/inittab 파일에서 다음 항목의 숫자를 직접 수정함으로 변경 가능
id:3:initdefault:
넥스트라인 기술지원부
VSFTP 환경설정(vsftpd.conf)
VSFTP
리눅스에서 사용하는 FTP 서버용 소프트웨어는 proftp, vsftp가 주로 사용됩니다. Proftp에 비해서 속도와 보안, 성능이 뛰어나며 무엇보다 안정성을 보장할 수 있는 프로그램입니다.
설정파일경로 : /etc/vsftpd/vsftpd.conf
① 기본설정 background=YES (기본값 = NO) VsFTP 데몬을 background로 실행할 것인지 설정 합니다. listen=YES (기본값 = NO) VsFTP 데몬은 기본적으로 inetd 모드로 동작이 됩니다. 따라서 독립모드(standalone)로 데몬을 운영하실 거라면 이 옵션과 listen 옵션을 모두YES로 켜주셔야 됩니다. 반대로 VsFTP 데몬을 inetd 모드로 운영하시려면 이 옵션과listen 옵션을 비활성화 하시면 됩니다.일반적으로 FTP 데몬은 많은 접속이 있을 경우에standalone 모드로 운영하는것이 좋으며, 많은 접속이 없는 경우에는 inetd 모드로 운영하는것이 시스템 자원효율에 좋습니다. background 옵션과 같이 사용되며, 이 옵션은listen_port에서 들어오는 요청에 대해서 데몬이 요청을 받아드릴지에 대해 설정합니다.만약 데몬을 독립모드(standalone)로 운영하실 거라면 background 옵션과 같이 이 옵션도 함께 활성화 시켜야 됩니다. listen_ipv6=NO (기본값 = NO) listen 옵션과 동일하지만, IPv6에서 운영할 때 사용 합니다. 일반적으로 IPv6는 사용하지 않으므로 비활성화 하시면 됩니다. listen_port=21 만약 vsftpd를 xinetd모드가 아닌 독립데몬 (standalone)으로 서비스하려면 위의 listen지시자를 YES로 설정하시고 listen_port 에 서비스할 포트번호(기본 21번)를 지정하시면 됩니다. listen_address=none (기본값 = none) 멀티 FTP 데몬을 사용할 때 요청을 받아드릴 IP를 설정합니다. listen_address6=none (기본값 = none) listen_address와 동일하며 IPv6에서 운영할 때 사용 합니다. pasv_address=none (기본값 = none) NAT를 사용하는 클라이언트의 공용 IP를 설정할 때 사용 합니다. 일반적으로 설정하지 않아도 상관 없습니다. nopriv_user=ftpsecure (기본값 = nobody) VsFTPd가 구동될 서버의 유저를 설정합니다. max_clients=30 (기본값 = 0) FTP 서버에 접속할 수 있는 클라이언트의 max_per_ip=3 이 설정은 동시 ftp 접속자수를 제한하는 설정입니다. 첫번째 max_client 는 ftp 접속을 최대 30명까지만 허용한다는 설정입니다. 그리고 max_per_ip 는 한 IP(호스트)에서 동시에 3번까지만 접속이 가능하다는 설정입니다. 이 또한 서비스거부공격(DoS)를 방어하기 위한 방법으로 활용될 수 있습니다. local_max_rate=0 (기본값 = 0) 계정 사용자의 최대전송률을 지정합니다. 업/다운로드의 속도를 제한할 때 사용하며, 단위는 bps 입니다. trans_chunk_size=0 위의 세가지 설정은 ftp 서비스의 전송속도를 제한 하도록 하는 설정입니다. 즉, 초당byte 수를 지정할 수 있으며 제한없이 허용하려면 0 으로 설정하시면 됩니다. 이 설정은vsftpd 가 독립데몬(standalone)모드로 서비스될 때에만 적용되는 것입니다. use_localtime=YES (기본값 = NO) 서버의 FTP 데몬시간을 서버의 표준시간으로 고정할지 설정합니다. 만약 이 옵션을 비활성화 하게되면 표준시각(GMT)를 보여주므로, 한국의 경우 9시간의 오차가 발생합니다. setproctitle_enable=YES (기본값 = NO) 프로토콜의 현재 상태를 출력해줄 것인지 설정합니다. 이 옵션을 활성화하면 ps 명령어를 사용했을 때 세션의 현재 상태도 보여줍니다. 또한 LTN에서 제공하는 ftpwho 스크립트를 사용할 때에도 이 옵션을 활성화 하셔야 됩니다. user_config_dir=none (기본값 = none) 특정 사용자의 개별 설정 파일을 지정합니다. 이 옵션을 사용하면 /etc/vsftpd/vsftpd.conf의 지시문을 무시하고 사용할 수 있습니다. ② 접속설정 local_enable=YES 로컬 계정 사용자들의 접속을 허용할 것인가의 여부를 결정합니다. YES 로 설정하면 로컬계정사용자의 접속을 허용하는 것이며 NO로 설정하면 허용하지 않는 것입니다. 기본 설정은 YES로 되어있기 때문에 접속을 허용하게 됩니다. 만약 NO로 설정되어 있을 때 로컬 계정으로 접속을 시도하면 “530 This FTP server is anonymous only.”와 같은 에러메시지를 출력하면서 접속을 거부합니다. pam_service_name=vsftpd vsftpd에서 PAM설정파일명으로 사용할 파일명을 지정합니다. 이 설정이 적용되면 기본이vsftpd 이므로 /etc/pam.d/vsftpd 파일이 사용됩니다. userlist_enable=YES (기본값 = NO) 명시된 사용자만 로그인을 허용할 때 사용하는 옵션입니다. userlist_deny 옵션이 비활성화 된 상태에서만 작동합니다. userlist_deny=YES (기본값 = YES) 명시된 사용자가 로그인을 할 수 없도록 제한하는 옵션 입니다. userlist_enable 옵션이 비활성화 된 상태에서만 작동하며, 서로 반대되는 개념 입니다. userlist_file=/etc/vsftpd.user_list (기본값 = /etc/vsftpd.user_list) 명시된 사용자를 읽어올 파일을 지정합니다. text_userdb_names=NO (기본값 = NO) 디렉토리 목록의 사용자와 그룹 필드들에 있는 숫자 ID 들이 보이는 것이 기본값 입니다. 당신은 이 파라미터를 활성화 함으로써 글자 이름을 사용할 수도 있습니다. 그러나 이 항목은 성능상의 이유로 기본적으로 비활성화 되어 있습니다. tcp_wrappers=YES tcp_wrappers 적용 여부를 설정하는 것으로 사용할 것인가(YES) 사용하지 않을 것인가(NO)를 설정합니다. YES로 설정하시면 허용할 호스트는 /etc/hosts.allow 허용하지 않을 호스트는 /etc/hosts.deny에 설정합니다. ssl_tlsv1=YES (기본값 = YES) TLS를 사용할 것인지에 대해 설정합니다. 이 옵션은 TLS를 활성화하며, TLS가 가능한 클라이언트가 이용하는데 도움이 됩니다. ssl_enable=NO (기본값 = NO) SSL을 통한 보안접속을 지원할 것인지에 대해 설정합니다. 만약 OpenSSL에 대해서 컴파일 되어 있고, 이 옵션을 허용할 경우 vsftpd는 SSL을 통한 보안 접속을 지원합니다. 이 옵션은 제어 연결을 지원(로그인을 포함)하며, 또한 데이터 연결도 지원 합니다. 사용자는 SSL을 지원하는 클라이언트를 필요로 할 것이며, 반드시 필요한 경우에만 허용하는것이 좋습니다. 그러나 vsftpd는 OpenSSL 라이브러리의 보안과 관련한 게런티를 만들 수 없으며, 이 옵션을 활성화 합니다는것은 OpenSSL 라이브러리의 보안을 믿는다는 것을 전제로 합니다. ssl_sslv2=NO (기본값 = NO) SSL v2 프로토콜 연결을 허용할 것인지에 대해 설정합니다. 이 옵션은 ssl_enable이 활성화 되었을 때만 적용되며, TLS v1 연결들을 선호 합니다. ssl_sslv3=NO (기본값 = NO) SSL v3 프로토콜 연결을 허용할 것인지에 대해 설정합니다. 이 옵션은 ssl_enable이 활성화 되었을 때만 적용되며, TLS v1 연결들을 선호 합니다. dsa_cert_file=none (기본값 = none) SSL 인증서의 위치를 지정합니다. SSL의 암호화 접속을 사용하기 위해, DSA 인증서의 위치를 지정합니다. ssl_ciphers=DES-CBC3-SHA (기본값 = DES-CBC3-SHA) 이 옵션은 vsftpd가 암호화 된 SSL 연결들에 대해 어떤 SSL 암호화 방식을 선택하는지에 따라 사용됩니다. 더 자세한 사항은 관련 암호 메뉴얼 페이지를 보십시요. 암호화를 알리지 않는 것은 원격에서 선택된 암호화 방식의 취약점을 공격하려고 불법적인 원격 공격을 막기 위한 유용한 보안 지침이 될 수 있습니다. force_local_data_ssl=YES (기본값 = YES) 이 옵션은 ssl_enable이 활성화 되었을 때만 적용되며, 만약 이 옵션이 활성화 되어 있습니다. 모든 비익명 로그인은 데이터 연결 상태에서 데이터를 주고 받기 위해 보안 SSL연결을 사용하도록 강제적으로 설정됩니다. force_local_logins_ssl=YES (기본값 = YES) 이 옵션은 ssl_enable이 활성화 되었을 때만 적용되며, 만약 이 옵션이 활성화 되어 있습니다. 모든 비익명 로그인은 비밀번호를 전달하기 위해 보안 SSL 연결을 사용하도록 강제적으로 설정됩니다. ③ 대기시간 설정 connect_timeout=60 (기본값 = 60/초) 액티브 모드(Active Mode)를 사용하는 클라이언트의 접속 허용시간을 설정합니다. 클라이언트의 요청패킷(SYN Packet)을 받은뒤, 지정된 시간내에 접속이 안될경우 종료합니다. accept_timeout=60 (기본값 = 60/초) 패시브 모드(Passive Mode)를 사용하는 클라이언트의 접속 허용시간을 설정합니다. 클라이언트의 요청패킷(SYN Packet)을 받은뒤, 지정된 시간내에 접속이 안될경우 종료합니다. data_connection_timeout=300 (기본값 = 300/Secs) 데이터 전송시 적용되는 타임아웃값을 설정합니다. 만약 ftp 연결시 큰 파일을 업로드 또는 다운로드 할 때에 전송도중 접속이 끊기는 상황이 발생한다면 이 설정을 주석처리하거나 또는 이 값을 현재 설정값 보다 크게 잡아주시고 재시도 해보십시요. idle_session_timeout=300 (기본값 = 300/Secs) ftp 연결에서 idle 타임에 대한 타임아웃값을 설정합니다. 예를 들어 이 값이 600으로 설정되어 있다면 ftp 접속후에 600초(10분)동안 아무런 작업도 없이 놀고 있다면 강제 로그아웃(timeout)시켜 버립니다. ④ 메시지 설정 banner_file=/etc/vsftpd/welcome.msg (기본값 = none) 사용자가 FTP 서버에 접속했을 때 보여줄 환영 메시지 파일을 설정합니다. ftpd_banner=Welcome to blah FTP service. ftp 서버로 접속할 때에 안내메시지등을 출력하려면 여기서 설정하시면 됩니다. 이 설정이 적용되면 ftp 접속을 하였을 때 "Welcome to blah FTP service"라는 안내문이 출력됩니다. 이 설정에서 한글을 사용할 수도 있습니다. 각 디렉토리별 안내문에 대한 설정은 다음 지시자의 설명을 보시기 바랍니다. dirmessage_enable=YES ftp 접속한 사용자가 특정 디렉토리로 이동하였을 때 개별 디렉토리의 메시지를 보여주도록 허용할 것인가(YES) 허용하지 않을 것인가(NO) 를 설정하는 것입니다. 밑에서 설명하고 있는 "message_file" 지시자에서 개별 디렉토리안내 파일로 사용할 파일명을 지정할 수 있습니다. Message_file=.message ftp 접속후에 특정 디렉토리로 이동할 때에 디렉토리 안내메시지 파일로 사용할 파일명을 지정한 것입니다. 이 설정은 바로 위에서 설명한 "dirmessage_enable" 이 YES로 설정되어 있을 때 적용됩니다. ⑤ 모드설정 port_enable=YES (기본값 = YES) 데이터 전송을 위해서 Active Mode를 사용할 것인지 설정합니다. connect_from_port_20=YES ftp 서비스는 기본적으로 21번 포트와 20번 포트를 사용합니다. ftp 접속과 명령어에 사용되는 포트는 21번이며 실제 데이터전송에 사용되는 기본포트는 20번입니다. 이때 20번 포트의 데이터전송 연결을 허용할 것인가(YES) 허용하지 않을 것인가(NO)를 설정하는 지시자 입니다. ftp_data_port=20 (기본값 = 20) 데이터 전송 포트를 지정합니다. connect_from_port_20 옵션이 활성화 되었을 때 사용되는 포트를 지정합니다. pasv_enable=YES (기본값 = YES) 데이터 전송을 위해서 Passive mode를 사용할 것인지 설정합니다. Active Mode로 접근할 수 없는 사용자들을 위해 활성화 하는 것 이 좋습니다. pasv_promiscuous=NO (기본값 = NO) 동일한 IP주소에서 이루어지는 데이터 연결을 보장해주는 보안체크 기능을 사용할 것인지 설정합니다. pasv_min_port=0 pasv_max_port=0 (기본값 = 0) 패시브 모드로 연결시 할당될 최대 및 최소 포트를 설정하는 옵션 입니다. 일반적으로 50000~60000 포트를 지정하는 것이 좋으며, 기본값인 0으로 설정하게 되면 well-known port를 제외한 무작위 포트를 이용하게 됩니다. ascii_upload_enable=YES ascii_download_enable=YES 기본적으로 ASCII 모드로 업로드/다운로드하는 것이 제한되어 있습니다. 이 설정으로ASCII모드로의 업로드/다운로드를 허용하도록 설정할 수 있습니다. ⑥ 권한설정 local_umask=022 로컬계정 사용자들의 umask 값을 설정하는 지시자입니다. 거의 모든 ftp 서버에서 기본umask 값은 022 입니다. 하지만 vsftp 에서의 umask 기본값은 077입니다. Umask 값이077 일 경우에 새로 생성되는 파일의 퍼미션은 600 이 되며 새로 생성되는 디렉토리의 퍼미션은 700 이 됩니다. 당연히 umask 값이 022 일 때보다는 보안이 훨씬 강화됩니다.여기서 "local_umask=022"의 주석을 제거하여 유효하게 설정하면 대부분의 FTP 서버에서 사용하는 umask 값을 022로 설정하게 됩니다. 만약 022 외에 다른 umask 값을 설정하고자 한다면 그 값을 설정해 주시면 됩니다. file_open_mode=0644 (기본값 = 0666) 파일이 업로드 되었을 때의 퍼미션을 지정해주는 옵션 입니다. 이 옵션은 반드시 umask 옵션보다 아래에 있어야 됩니다. dirlist_enable=YES (기본값 = YES) 접속한 디렉토리의 파일리스트를 보여줄 지 설정합니다. force_dot_files=NO (기본값 = NO) 히든 파일/디렉토리를 보여줄 것인지 설정하는 옵션 입니다. 히든 파일/디렉토리는 dot(.) 으로 시작하는 것을 말합니다. tilde_user_enable=NO (기본값 = NO) 이 옵션이 활성화되면, vsftpd는 ~chris/pics와 같이 사용자 계정 이름에 틸드 표시가 따라오는 경우의 경로명을 접근하도록 시도하고 해석할 것입니다. vsftpd는 항상 ~ 와 ~/somthing 을 해석합니다는 것을 주의하시기 바랍니다. (여기서 ~ 는 기본적으로 로그인 했을 때의 디렉토리로 해석됩니다.) ~user 경로들은 _current_ chroot() 에서 /etc/passwd 파일을 찾을 수 있을 경우에만 해석 될 수 있을 것입니다. hide_ids=NO (기본값 = NO) 디렉토리 목록에서 UID를 보여주지 않고, 모두 FTP로 표시할 것인지 설정합니다. 이 옵션을 활성화 하면 모든 파일의 소유권이 FTP로 표시되므로 보안에 도움이 될 수 있습니다. write_enable=YES (기본값 = NO) ftp 로 접속이 된 상태에서 사용할 수 있는 ftp 전용명령어에는 여러가지가 있습니다.이 설정은 ftp 전용명령어 중에 write 명령어를 허용할 것인가를 결정하는 것입니다. 허용하려면 YES, 허용하지 않으려면 NO 를 설정하시면 됩니다. download_enable=YES (기본값 = YES) 다운로드에 대한 권한을 설정합니다. chmod_enable=YES (기본값 = YES) 사용자가 퍼미션을 변경할 수 있도록 설정합니다. use_sendfile=YES (기본값 = YES) 이 옵션은 당신의 플랫폼에서 sendfile() 시스템 호출을 사용하는 것과 관련된 이익을 테스트 할 때 사용되는 내부 설정입니다. cmds_allowed=PASV,RETR,QUIT (기본값 = none) 사용자에게 허가할 명령어를 지정합니다. deny_file={*.mp3,*.mov} (기본값 = none) 업로드를 거부할 파일명을 지정합니다. hide_file={*.mp3,*.mov} (기본값 = none) 숨길 파일명을 지정합니다. 이 옵션을 사용하면 서버에 실제로 데이터는 존재하지만, FTP 사용자에게는 보이지 않도록 설정하는 기능입니다. 악의적인 사용자에게 간단한 fake를 걸 수 있습니다. async_abor_enable=YES (기본값 = NO) async ABOR 명령어를 사용할 수 있도록 설정합니다. 일부 FTP 클라이언트에서 파일전송을 취소했을 경우, 취소되지 않은 상태로 있는 경우가 생길 수 있는데 그것을 방지하기 위해 사용할 수 있습니다. 그러나 보안상 좋지 않기 때문에, 비활성화 하시는것이 좋습니다. ls_recurse_enable=YES ftp 접속에서는 ls 사용시 –R 옵션을 허요하지 않는 것이 기본 설정입니다. –R 옵션이란 서브디렉토리내의 파일들의 리스팅(목록)까지 모두 확인할 수 있도록 하는 것입니다. 서버부하등의 이유로 ftp에서 기본적으로는 지원하지 않지만 vsftpd 에서는 이 옵션을 사용하여 허용하도록 설정할 수 있습니다. 즉, 이 지시자의 값이 YES로 되어 있다면 ftp접속후에 디렉토리 목록 확인시에 서브디렉토리들의 목록들까지 한번에 볼 수 있는 –R옵션을 허용하게 됩니다. ⑦ 보안설정 chroot_list_enable=YES (기본값 = NO) 명시된 사용자가 자신의 홈상위 디렉토리를 접근할 수 없도록 설정합니다. 이 옵션은 chroot_local_user 옵션이 비활성화되어 있어야 사용할 수 있습니다. 전체 적용이 아니라 일부 사용자만 제한할때 편하지만, 개별 적용은 보안상 좋지 않습니다. chroot_list_file=/etc/vsftpd.chroot_list 전체 사용자가 아닌 특정 사용자들에 대하여 자신의 홈디렉토리를 루트디렉토리로 인식하도록 하는 기능으로서 이 기능은 사용자의 홈디렉토리의 상위디렉토리로 벗어나지 못하도록 하는 설정입니다. 먼저 "chroot_list_enable=YES" 로 설정하시고 /etc/vsftpd.chroot_list 파일에는 이 기능을 적용할 사용자계정명을 등록해 두시면 됩니다. 즉, /etc/vsftpd.chroot_list 파일에 등록된 사용자들에 한하여 chroot()기능이 적용되어 자기 자신의 홈디렉토리 상위 디렉토리의 이동이 제한됩니다. 이 파일에 등록할 때에는 한행에 한 사용자 계정씩만 등록하셔야 합니다. 만약 전체 사용자를 대상으로 chroot()기능을 적용하고자 한다면 바로 밑에서 설정하고 있는 "chroot_local_user=YES"로 설정하시기 바랍니다. passwd_chroot_enable=NO (기본값 = NO) SSH로 접속했을 때 자신의 홈 상위 디렉토리를 접근할 수 없도록 설정합니다. chroot_local_user 옵션이 활성화되었고, OpenSSH에 패치를 했을경우, SSH 또한 자신의 홈상위 디렉토리를 접근할 수 없도록 설정할 수 있으며, /etc/passwd 파일의 홈 디렉토리 필드의 /home/사용자/./와 같이 "/./"를 붙여 사용자를 홈디렉토리에 제한하게 합니다. chroot_local_user=YES 특정 사용자가 아닌 전체 사용자를 대상으로 chroot()기능을 적용하여 자기 자신의 홈디렉토링 상위 디렉토리로 이동하지 못하도록 하려면 이 설정을 YES로 설정하십시요. 반드시 앞의 설정과 비교해 보시기 바랍니다. 만약 위 의 두 설정이 모두 설정되었다면 즉, "chroot_list_enable=YES"와 "chroot_local_user=YES" 설정이 모두 YES로 되어 있다면 /etc/vsftpd.chroot_list 에 등록된 사용자들만 chroot()적용을 받지 않게 됩니다.즉, 이 두 설정이 모두 YES 로 되어 있다면 /etc/vsftpd.chroot_list 에 등록된 사용자들을 제외한 나머지 사용자들만 chroot()가 적용되어 상위 디렉토리로의 이동이 안된다는 의미입니다. secure_chroot_dir=/usr/share/empty (기본값 = /usr/share/empty) secure chroot()에 사용될 디렉토리를 지정합니다. 이 옵션에서 지정된 디렉토리는 비어있어야되며, ftp 사용자에 대해 쓰기 권한이 없어야 됩니다. ⑧ 로그설정 xferlog_enable=YES ftp 접속후에 파일 업로드와 다운로드에 대한 로그를 남길것인가(YES) 남가지 않을 것인가(NO)를 설정하는 지시자입니다. 이 지시자의 설정은 디스크의 용량을 고려하여 결정해야 합니다. 즉, 파일 업로드/다운로드 로그는 굉장히 많은 용량을 필요로 하고 또한 시스템 부하율도 함께 고려하여 신중히 결정해야 합니다. 물론 로그를 남기는 것이 로그분석과 개별 사용자의 파일 업로드/다운로드 상황을 알 수 있는 방법이기는 하지만 시스템 상황을 고려해야 하는 의미입니다. vsftpd_log_file=/var/log/vsftpd.log (기본값 = /var/log/vsftpd.log) VsFTP의 기본 로그 파일을 지정합니다. 이 옵션은 xferlog_enable 옵션과 xferlog_std_format 옵션이 비활성화일 때 작동하며, dual_log_enable 옵션이나 syslog_enable 옵션이 활성화될때 사용됩니다. dual_log_enable=NO (기본값 = NO) 2중 로그를 기록할 것인지에 대해 설정합니다. 만약 이 옵션을 활성화하면, /var/log/xferlog와 /var/log/vsftpd.log에 로그가 기록됩니다. syslog_enable=NO (기본값 = NO) syslogd 데몬을 이용해서 로그를 기록할 것인지 설정합니다. xferlog_file=/var/log/vsftpd.log ftp 로그파일의 위치를 결정하는 지시자입니다. Vsftp는 기본적으로 /var/log/vsftpd.log 파일을 기본 로그파일로 사용합니다. 만약 로그파일 위치나 파일명을 변경하시려면 이 지시자에서 설정 변경하시면 됩니다. xferlog_std_format=YES 로그파일에 남길 로그파일의 포맷을 기본포맷으로 남길 것인가(YES) 아닌가(NO)를 설정하는 지시자 입니다. 리눅스에서 ftp 기본 로그파일을 /var/log/xferlog을 사용합니다.이 지시자는 이 파일의 표준포맷으로 로그를 남기도록 하는 설정입니다. 이 파일의 포맷보다는 vsftpd 로그포맷을 사용하시는 것이 보다 자세한 로그를 남길 수 있습니다. 즉,디렉토리생성로그나 또는 로그인 로그 같은 상세로그까지 기록해 줍니다. log_ftp_protocol=YES (기본값 = NO) FTP Protocol의 모든 내용을 기록할지 설정합니다. 이 옵션을 활성화하면 FTP 명령어와 반응이 모두 로깅되므로 디버그에 유용하게 쓰입니다. no_log_lock=NO (기본값 = NO) 로그 파일을 잠글것인지에 대해서 설정합니다. 이 옵션은 vsftpd가 로그 파일을 기록할 때, 파일을 잠그는 것을 막는 옵션 입니다. 보통은 활성화 하지 않아도 되며, 솔라리스/베리타스 파일 시스템 조합에서 때때로 로그파일을 잠그려는 시도를 하는 운영체제 시스템 버그를 피하기 위해 존재 합니다. session_support=YES 이 설정은 YES로 설정되어 유효하게 되었을 때에는 바이너리파일인 wtmp에 ftp 접속관련 기록을 남기게 됩니다. Last 라는 명령어는 각 사용자들의 접속기록을 wtmp 파일에서 가져와 확인하는 명령어이므로 이 설정이 적용되면 last 명령어로 ftp 접속기록을 확인 할 수 있게 됩니다. ⑨ 가상 사용자 설정 guest_enable=NO 가상유저 모드로 운영할 것인지에 대해 설정합니다. (기본값 = NO) 이 옵션을 활성화하면 모든 비익명 사용자는 가상 사용자로 접속이 됩니다. guest_username=ftp 가상유저들의 실제 계정을 지정합니다. (기본값 = ftp) virtual_use_local_privs=NO (기본값 = NO) 가상유저들의 권한을 실제 계정의 권한처럼 허용할 것인지를 설정합니다. 이 옵션이 활성화되어있지 않으면 가상유저는 FTP에 접속해서 파일을 생성하지 못합니다. 또한 가상유저는 기본적으로 anonymous의 권한을 갖고 있습니다. user_sub_token=$USER (기본값 = none) 가상유저들을 지칭할 가상의 변수를 지정합니다. local_root=/home/virtual/$USER (기본값 = none) 가상유저들이 로그인 후 이동될 디렉토리를 지정합니다. ⑩ 익명사용자 기본 설정 anonymous_enable=NO 익명(anonymous) 접속을 허용할 것인가(YES) 허용하지 않을 것인가(NO)를 결정하는 지시자입니다. 기본값은 YES로 되어있으며 익명계정 접속을 허용하지 않으려면 NO 로 설정하시기 바랍니다. anon_max_rate=0 (기본값 = 0) 익명 사용자의 다운로드 최대전송률을 지정합니다. 다운로드 속도를 제한할때 사용하며, 단위는 bps 입니다. allow_anon_ssl=NO (기본값 = NO) 익명사용자의 SSL을 통한 보안접속을 지원할 것인지에 대해 설정합니다. 이 옵션은 ssl_enable이 활성화 되었을 때만 적용됩니다. deny_email_enable=YES (기본값 = NO) 로그인 거부 리스트 사용에 대한 설정을 합니다. /etc/vsftpd.banned_emails 에 설정된 주소로 로그인을 거부할 수 있습니다. 만약 anonymous@ 라고 설정해두면, anonymous@를 사용하는 사용자는 접속할 수 없게됩니다. banned_email_file=/etc/vsftpd.banned_emails (기본값 = /etc/vsftpd.banned_emails) 로그인 거부 파일을 지정합니다. deny_email_enable 옵션을 활성화했을 경우에 리스트를 읽어올 파일을 지정합니다. secure_email_list_enable=NO (기본값 = NO) 명시된 이메일 주소로만 접속을 허용할 지 설정합니다. email_password_file=/etc/vsftpd.email_passwords (기본값 = /etc/vsftpd.email_passwords) 접속을 허용할 이메일 주소 파일을 지정합니다. secure_email_list_enable 옵션을 활성화했을 경우에 리스트를 읽어올 파일을 지정합니다. ftp_username=ftp (기본값 = ftp) 익명 사용자의 접속에 사용될 계정명을 지정합니다. no_anon_password=NO (기본값 = NO) 익명 사용자가 접속할 때 패스워드를 묻지않고 접속시킬 것인지 설정합니다. 이 옵션을 활성화하면 접속시 패스워드를 묻지 않습니다. one_process_model=NO (기본값 = NO) 클라이언트 접속마다 하나의 프로세스가 작동되도록 할 것인지 설정합니다. 이 옵션을 활성화하면 접속하는 수만큼 프로세스가 작동되므로 효율이 좋습니다. anon_root=/var/ftp/pub (기본값 = none) 익명 사용자의 기본 디렉토리를 지정합니다. 일반적으로 익명 사용자의 접근을 허용하면 ftp_username에 지정된 사용자의 홈 디렉토리가 기본적으로 설정됩니다. 그렇지만 만약 변경할 필요가 있을 경우에 이 옵션을 사용하면 됩니다. ⑪ 익명사용자 권한 설정 anon_upload_enable=YES 익명(anonymous) 계정 사용자에게 파일 업로드를 허용할 것인가(YES) 허용하지 않을 것인가(NO) 의 여부를 설정하는 지시자입니다. 기본값은 허용하지 않는 NO 입니다. 가능한 익명 계정으로 접속한 사용자에게는 업로드 권한을 허용하지 않는 것이 보안에 훨씬 좋습니다. 따라서 가능한 NO로 설정하시기 바랍니다. anon_mkdir_write_enable=YES 익명(anonymous) 계정 사용자에게 디렉토리 생성권한을 허용할 것인가(YES) 허용하지 않을 것인가(NO)의 여부를 설정하는 지시자 입니다. 기본값은 허용하지 않는 NO 입니다.가능한 익명계정으로 접속한 사용자에게는 디렉토리 생성권한을 허용하지 않는 것이 보안에 훨씬 좋습니다. 따라서 가능한 NO로 설정하시기 바랍니다. anon_world_readable_only=YES (기본값 = YES) 익명 사용자들의 다운로드에 대한 설정을 합니다. 익명 사용자들이 읽기 가능한 파일을 다운로드 할 수 있게 설정합니다. anon_other_write_enable=NO (기본값 = NO) 익명 사용자의 파일 삭제,변경에 대한 설정을 합니다. 파일 삭제 및 파일명 변경등과 같은 기능을 사용할 수 있게 합니다. chown_uploads=YES (기본값 = NO) 익명 사용자의 소유권 변경에 대한 설정을 합니다. 익명으로 업로드된 파일을 chown_username 옵션으로 명시된 사용자의 소유권으로 변경되도록 할 수 있습니다. anon_umask=022 (기본값 = 077) 익명 사용자의 파일생성 umask 값을 지정 합니다. umask에 대한 설명은 local_mask의 설명을 참조하시기 바랍니다. chown_username=whoever (기본값 = root) 익명 사용자의 소유권 변경이 가능한 계정명을 설정합니다. |
| [리눅스 물결 4호]Sendmail 메일서버 구축하기 |  |
 | |
▒ 강좌에 앞서..
본 강좌는 커널 2.6 기반의 코어리눅스 배포판 천마 RPM 패키지를 기준으로 하였으며 아울러 본자료는 초급 리눅서들을 대상으로한 자료임으로 중급자 이상의 리눅서 혹은 구루(Guru)들의 태클은 사양하겠습니다. 다만 강좌에 보탬이 되는 리플이나 댓글등은 환영합니다. 수정요청 및 문의메일 : xfeel@xfeelis.pe.kr 2004. 11. 09. - Linuxer광민 - ▷ Sendmail 이란? 메일서버의 구성을 놓고 얘기하자면 센드메일 서버만으로 이루어 지는것이 아니다. 정확히 말해 센드메일서버는 보내는 메일서버 즉 메일을 받기위함이 아닌 보내기위한 서버 SMTP(Simple Mail Transfer Protocol) 서버를 얘기 하는것이다. 메일서버에 대한 이해가 잡혀있지 않는 상태에서는 센드메일 서버를 논하기가 어렵다. 일반적인 메일서버의 구성을 보자면 메일을 메일을 보내기위한 SMTP 서버와 반대로 메일을 받기위해 존재하는 POP3서버나 IMAP 서버로 나뉜다. 이중 센드메일은 SMTP 서버에 속하며 받는 메일서버의 경우 위에서 언급한대로 따로 구성된다. 물론 클라이언트(사용자) 입장에서 보면 이들은 하나로 뭉처진 동일한 시스템으로 인식될수 있다. 예를 들어 인터넷이 보급되면서 이제는 너무도 일반화된 웹메일 서비스(다음메일 혹은 핫메일등) 또한 이 메일서버의 구성을 기본으로 웹상에서 메일의 송수신을 제어할수 있도록 PHP나 ASP등의 서버기반 프로그램 언어를 통해 이루어지는 서비스이다. 웹 메일의 관점에서 보자면 사용자들은 별도의 설정없이 메일의 보내기와 받기 서비스를 동시에 마치 하나의 시스템 처럼 생각하며 이용할수 있지만 실제의 구성은 앞에서 언급한대로 각각의 나누어진 서비스 들이다. 자 이제부터 센드메일 관련된 파일들을 알아보고 하나하나 세팅해나가 보자. ▶ 센드메일 서버 주요 설정파일과 관련 파일 및 디렉토리의 쓰임세 /etc/mail/sendmail.mc ------------------ ⑥ admin@spam.pe.kr REJECT - 보기에서와 같이 RELAY 설정한 부분들은 메일의 수발신을 허용하는 설정이다. 다만 access 파일에서의 RELAY 설정은 우선순위를 정하자면 2순위로 생각해야 한다. 그 이유를 설명하자면 뒤에서 다시 언급할 부분인 sendmail.mc 파일과 sendmail.cf 파일의 설정 내역에 따라 외부 네트워크에서의 접근 즉 내부가 아닌 외부에서 smtp를 이용하고자 자신의 메일계정이나 IP를 RELAY 해두었다고 해도 인증 및 제한에 걸려 접근거부 처리가 되는 경우가 있다. 그 이유는 레드헷 계열 7.1 이상의 배포 버전에 설치된 센드메일의 경우 기본적인 설정이 localhost 127.0.0.1 즉 로컬 네트워크나 로컬서버를 통한 메일의 발신을 제외하고 모두 거부하도록 정하고 있다. 이유는 샌드메일서버가 외부 스패머에 의해 스팸메일이 뿌려지는 경유지가 되는것을 막고자 하는 스팸 거부/보안정책 때문이다. 이 제한을 풀어주기 위해서는 다음과 같이 sendmail.mc 파일의 'DAEMON_OPTIONS' 부분을 수정하거나 해당 지시자 자체를 삭제하여야 한다. [root@xfeelis /]# vi /etc/mail/sendmail.mc
...
DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')
... 센드메일의 설치 버전에 따라 약간의 기본 설정값이 다를수 있으나 레드헷 배포판에 포함되어 있는 샌드메일의 경우 위지시자 자체를 삭제하거나 Addr 부분의 IP를 0.0.0.0 으로 수정해주면 된다. 단 절대 #처리는 하지말라. 서버관리자 그룹 슈퍼유저코리아 센드메일 관련 문서를 보면 주석 #처리시 오류가 날수 있음을 알리고 삭제나 변경을 권장하고 있다. 이유는 sendmail.mc 파일의 경우 주석구문 앞에 dnl을 같이 표기하도록 하고 있지만 위의 옵션의 경우 기본값이 활성화인 이유로 행의 첫부분에 dnl 처리가 되지 않아있다. 그렇기에 해당 사항을 잘 모르는 관리자의 경우 그냥 주석처리만 해버리고 설정오류를 찾지못해 애를 먹는 경우가 있다. 이제 본 강좌에서 다루고 있는 Kore 리눅스 배포판에 설치된 센드메일의 sendmail.mc 파일의경우를 보자. 다음과 같은 기본값을 가지고 있을것이다. DAEMON_OPTIONS(`Port=smtp,Addr=0.0.0.0, Name=MTA')dnl 이미 기본 설정값이 Addr 부분을 변경해주고 있음으로 당연히 뒷부분의 dnl 부분만 삭제해주면 되는것이다. 역시 릴리즈 버전인 국내 배포판이 좋기는 좋다. 알아서 이런 부분들을 염두해두어 수정해 주고있으니... >_< 자 이제 다시 access 파일의 설정으로 돌아가보자 자세한 sendmail.mc 파일의 설정에 관해서는 뒤에서 다시 다룰것이니 조급해 하지말자 ㅡㅡa RELAY 설정에 해당하는 값은 위에서 보는바와 같이 해당 도메인, 해당 이메일, 해당 IP, 해당 네트워크 등으로 허용할수 있다. 위의 설정을 참조하여 자신만의 릴레이 설정을 해보도록 하자. 다음은 REJECT 설정이다. REJECT 설정은 RELAY 설정과 반대로 수/발신 거부 설정이다. 이역시 해당 도메인, 해당 이메일, 해당 IP, 해당 네트워크등으로 나누어 설정할수 있다. 다음은 DISCARD 설정이다. 이는 스팸에일을 받되 받은후 POP3 서버가 메일을 가져가지 않도록 바로 폐기해 버리며 메일을 발신한 스패머에게는 폐기통보를 하지않는다 즉 스패머는 메일이 정상적으로 발신된줄 알것이다.. 바보처럼... ㅡ_ㅡ; 다음 설정은 OK 값이다. OK는 특정 도메인 또는 특정 IP나 네트워크 그룹이 REJECT 처리 되어있다고 하더라고 지정한 이메일주소나 IP등에 관계된 메일은 예외적으로 허용처리를 한다는 뜻이다. 예를 들면 이런경우가 있다. 만약 필자가 악명높은 스패머라고 치자. ㅡㅡ;; 필자는 관련 스패머 그룹에서 관련 스팸기법등을 공유할것이다. 어떤 새로운 스패머가 필자의 스팸기법에 관련한 메일링 리스트에 가입하여 필자의 이메일을 받기위해서는 스패머 그룹의 도메인 자체는 거부되어 있겠지만 필자의 이메일 만은 예외로 처리해야 할것이다. 이럴때 쓰는것이 OK 설정 값이다. 물론 OK 설정값을 다른 용도로 활용할수도 있지만 통상적으로 예외처리에 관련된 설정을 주고자 할때 쓰이게 되는것이다. ④ aliases 파일은 말그대로 별칭 설정파일이다. 즉 root 에게로 온 메일을 다른 사용자 계정으로 돌리고 싶다던가 할때 쓰는 것이다. 이 기법을 잘 이용하면 소규모의 메일링 리스트도 운용할수 있다. 자 그 기법을 한번 둘러보자. [root@xfeelis /]# vi /etc/aliases
...
# Basic system aliases -- these MUST be present. root: xfeel ... 위 설정을 살펴 보자. 위 설정은 mailer-daemon 이라는 계정 즉 sendmail 데몬의 제어를 위해 만들어진 mailer-daemon 계정으로 오는 관련 로그메일을 최종적으로 xfeel 계정 사용자에게 보내주고 있는것이다. 즉 mailer-daemon 은 postmaster 로 별칭 설정 되었으며 다시 postmaster 는 root 로 또 다시 root 는 xfeel 사용자에게 별칭 설정 되어진것이다. 기본적인 설정값에 의한다면 root: xfeel 의 설정은 없기 때문에 sendmail 에 관련된 로그 메일은 root 계정으로 보내어 지겠지만 필자는 이를 다시 xfeel 계정으로 돌려주고 있는것이다. 뭐 굳이 이렇게 까지 설정할 필요가 있느냐고 반문하는 독자가 있다면 뭐라 할말은 없지만 보안적인 요소를 위해 필자는 이렇게 조치하고 있다. 메일을 확인하기 위해서라면 서버에 직접 원격접속 혹은 콘솔상에서 확인하지 않는이상 대부분의 사용자가 Outlook Express 등을 이용할것이다. 만약 root로 보내어진 메일을 Outlook Express등의 메일 확인 프로그램에서 보고자 한다면 해당 프로그램에 root 계정의 패스워드를 사용해야 할것이다. 일반적으로 root 패스워드의 경우 사전상의 단어나 연속적인 숫자등으로 이루어진 패스워드를 사용하지 않는것이 원칙이기에 매우 길고 복잡하게 설정되는것이 일반적이다. 때문에 대부분의 사용자의 경우 계정과 패스워드를 아웃룩에 저장하여 바로 사용하는 경우가 많다. 그럼 root 패스워드를 Outlook Express 따위의 프로그램에 저장하여 사용할것인가? 만약 이런 발상을 하고있는 리눅서가 있다면 당장에 버려라... 보안에 매우 취약하다. Outlook Express 프로그램은 MS 에서도 인정한 보안 취약점을 가지고 있는 매우 귀여운 놈이다.. ㅡ_ㅡ 만약 크래커가 독자들이 사용하는 윈도우PC를 크래킹 하여 Outlook Express 에 저장된 root 계정의 패스워드를 습득한다면? 혹은 독자들이 사용하는 그밖에 메일확인 프로그램을 크랙킹하여 root 패스워드를 습득한다면? 생각하기 싫다.. 더설명할 이유가 없을것이라고 보며 다음으로 넘어가자 ㅡㅡa 자 이제 소규모 메일링 리스트 운용에 대해서 다뤄 보자. 독자들이 운영하는 리눅스 서버에 다음과 같은 계정들이 생성되어 있다고 가정해 보자. [root@xfeelis /]# vi /etc/passwd
root admin adminuser1 adminuser2 adminuser3 user1 user2 user3 만약 메일을 보내고자 하는사람이 support@xfeelis.pe.kr 에 메일을 보낼때 각각 admin, amdinuser1,2,3 계정에 모두 메일이 가도록 설정하고 싶다면 어떻게 해야 할것인가? 물론 보는것과 같이 support 란 계정은 따로 생성되어 있지 않은 상황이다. (뭐 생성되어 있다고 해도 결과에는 차이가 없으나.. 일단 그렇다고 가정하자) 별칭기능을 활용한 소규모 메일링 리스트 기법이 이것이다. [root@xfeelis /]# vi /etc/aliases
...
# Person who should get root's mail support: admin,adminuser1,adminuser2,adminuser3
... 어떤가 대단하지 않은가? 이렇게 간단한 설정으로 메일 그룹을 지정하고 운용할수 있다니.. 잘활용하면 여러모로 쓰임세가 많다. 연구해 보자. ⑤ local-host-names 파일은 메일의 최종 수신지를 지정하는 곳이다. 즉 쉽게 얘기하자면 이런경우가 있다. 독자들의 샌드메일 서버를 거처가는 메일중 최종 수신지가 독자들의 서버인 메일이 서버에 저장되기 위해서 독자들의 도메인 목록을 등록하는것이다. 만약 독자들이 웹호스팅 을 위한 서버를 운영하고 있다고 가정하면 독자 자신의 도메인 뿐만 아니라 고객의 도메인까지 등록해두어야 메일이 정상적으로 전달되는 것이다. 설정은 다음과 같다. [root@xfeelis /]# vi /etc/mail/local-host-names
# local-host-names - include all aliases for your machine here. xfeelis.or.kr userdomain.pe.kr userdomain.co.kr 그냥 위와 같이 도메인만 설정해 주면 된다. ⑥ sendmail.mc 파일은 샌드메일 서버의 주요 설정파일중 하나이며 /etc/mail/sendmail.mc 파일을 바탕으로 M4 유틸을 이용하여 /etc/mail/sendmail.cf 파일을 생성하게 된다. sedmail.mc 파일중 가장 중요한 지시자는 역시 앞부분에서 언급한 외부네트워크에 대한 smtp 이용 제한을 풀어주는 부분과 지금부터 다뤄가고자 하는 SMTP 인증에 관한 부분이다. 앞에 access 부분에서 잠시 거론한대로 외부네트워크에 대한 smtp 이용을 풀어주었다면 샌드메일 서버가 가지고 있는 취약점을 이용하여 스팸메일의 경유지 혹은 스팸서버가 될수 있는 가능성이 존재하는것이다. 이부분을 그냥 넘겨버린다면 심각한 상황이 초래된다. 스팸메일에 의해 샌드메일서버는 과부하가 걸려 시스템의 자원을 모두 고갈시킬것이며 그것마저 다된다면 메일서버는 다운되고 말것이다. 이런것을 막기위한 방법중 하나가 바로 앞에서 언급한 access 파일 운영정책과 지금부터 거론할 SMTP 인증에 대한 부분이다. 사용자가 smtp 서버를 이용하여 외부 네트워크로 메일을 발신하고자 할때 인증절차를 거처서 이용하도록 하는것이다. 실제로 대부분의 메일 호스팅이나 웹호스팅 제공하는 업체에서 이 SMTP 인증 기법을 사용하며 해당 사용자들에게 Outlook Express 등의 메일 송수신 프로그램 옵션에서 SMTP 인증부분을 체크 할것을 공지하고 있다. 그럼 SMTP 인증부분을 활성화 해보자. [root@xfeelis /]# vi /etc/mail/sendmail.mc
...
define(`confAUTH_OPTIONS', `A')dnl ... define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl <- dnl 부분 삭제 ...
... 위 설정에서 define(`confAUTH_OPTIONS', `A') 부분은 dnl 처리를 해줘야 하며 define(`confAUTH_MECHANISMS' 부분은 맨뒤에 dnl을 삭제해야 SMTP 인증기능이 활성화 된다. 위와 같이 설정해 주었다면 이제 다음과 같이 m4 유틸명령어를 사용하여 sendmail.cf 파일을 생성해 보자. [root@xfeelis /]# m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf ⑦ sendmail.cf은 전자에 sendmail.mc 파일을 통하여 생성된 세부 설정파일 정도로 이해하면 될것이다. sendmail.cf 파일에서 눈여겨 봐야할 지시자들은 다음과 같다. FW 지시자 : FW 지시자는 메일의 최종수신지 설정파일에 경로를 지정하는 곳으로서 sendmail 8.9.x 버전까지는 sendmail.cw 의 값으로 되어있지만 8.10.x 이후 버전부터는 local-host-names 파일로 설정되어 있다. 독자들이 사용하는 배포판에 포함된 센드메일의 버전을 확인후 local-host-names 로 변경해주자. # file containing names of hosts for which we receive email MaxMessageSize : 첨부파일을 포함한 메일 메시지 최대크기 제한 설정 부분 # maximum message size 메일의 크기가 20M를 넘는다면 메일은 발신되지 못한다. MinQueueAge : 임시보관 최소 시간 설정 부분 뒤에서 언급하게 될 Timeout 설정값 이전에 적용될 우선적인 옵션으로 발송에 실패한 메일이 다시 재발송을 시도하기까지의 대기 시간을 설정 한다.. 기본값은 30분이며 기본적으로 서버부하를 줄이기 위해 # 주석처리 되어있지만 필요로 한다면 사용하여도 무방하다. # minimum time in queue before retry LogLevel : sendmail 이 가동되면서 발생되는 로그의 기록에 관련한 레벨을 설정 # log level 각종 TimeOut 값 : 센드메일 서버의 각종 Timeout 값을 설정. # timeouts (many of these) - 사용자가 샌드메일 서버에 접속하여 작업하는 최대시간을 설정것으로 기본값은 1분이다. #O Timeout.queuereturn.normal=5d #O Timeout.queuewarn.normal=4h 기타 지시자들은 필자또한 사용하지 않으며 또 자세한 그 쓰임을 알고 있지 못하다. 좀더 자세한 사항은 sendmail.org 의 지시자 관련 문서를 참조바라며 실제로 위 3가지 정도의 옵션으로도 충분히 센드메일 서버에 운영에 있어 부하를 최소화 할수 있다. ⑧ virtusertable 파일은 가상메일 설정파일이라고 부르며 다음과 같은 상황에 사용된다. 만약 필자가 웹호스팅 서버를 운영하고 있다고 가정하자. admin 이란 계정은 당연히 서버에 하나 밖에 존재 할수 없다. 하지만 필자의 서버에서 웹호스팅을 받고 있는 사용자들은 자신들의 도메인을 가지고 메일을 운영할때 실계정명은 user1 등이지만 admin@userdomain.pe.kr 이란 도메인으로 메일을 받고자 요청한다. 일반적인 생각이라면 admin 이란 계정은 단 하나만 존재하기 때문에 필자의 서버에 매칭된 도메인만이 admin@xfeelis.pe.kr 이란 메일을 사용할수 있다. 이를 해결하기 위한 파일이 바로 /etc/mail/virtusertable 파일인 것이다. 다음과 같이 /etc/mail/virtusertable 파일을 편집해 보자. [root@xfeelis /]# vi /etc/mail/virtusertable
admin@xfeelis.pe.kr xfeel admin@userdomain1.pe.kr user1 admin@userdomain2.pe.kr user2 admin@userdomain3.pe.kr user3
[root@xfeelis /]# makemap hash /etc/mail/virtusertable < /etc/mail/virtusertable 어떤까? 매우 쉽지 않은가? 알고 보면 매우 쉬우며 간단한 설정들이 이런 유용한 기능을 발휘하고 있다. 이것이 오픈소스 진영과 리눅스의 힘인것이다. 자 이제 모든 파일의 설정을 마쳤자. 이제 실제로 샌드메일의 가동여부를 테스트 해봐야 할것이다. 우선 샌드메일을 가동 시켜보자. [root@xfeelis /]# /etc/rc.d/init.d/sendmail restart 이제 샌드메일이 정상적으로 가동하는지 확인해 봐야겠다. [root@xfeelis /]# telnet 211.188.120.198 25 25번 포트 즉 SMTP 서버인 샌드메일 서버에 이상없이 접속하였음을 통해 샌드메일이 제대로 가동되고 있음을 확인할수 있다. ▒ 마치며... 필자 또한 아직은 한참을 탐구하고 연구하는 리눅서이며 부족함이 많은것이 사실이기에 강좌를 시작하면서 늘 고민되었던것이 있다면 역시 집필의 수준을 어디로 두어야 하는 것이였습니다. 너무 간단하게 주요 부분만 집고넘어간다면 처음 구축하시는 분들이 생소해 할것이며 또 너무 풀어서 하나 하나 집고 넘어가자니 그 막대한 분량과 함께 정작 실무위주의 기법을 보고자 하는 분들에겐 다소 거리감이 있을수 있기 때문입니다. 개인적으로는 인터넷상에 돌아다니는 하우투 문서에 대해 별로 좋지 않은 입장입니다. 물론 저 또한 리눅스를 처음 접했을 당시는 하우투 문서의 도움을 많이 봤었습니다. 개구리 올챙이적 생각 못한다는 격으로 좀 그렇게 보일수 있지만 하우투 문서의 폐해 또한 만만치 않다고 생각합니다. 이유는 처음 리눅스 시스템을 접하는 대다수의 리눅서들이 하우투 문서를 접하면서 그대로 설정만 따라했지 왜 그렇게 설정되어야 하는가에 대하여 생각을 해보지 않는다는 것입니다. 그 시스템의 구조를 이해하려 노력하고 어떠한 프로세스로 흘러가는지 파악을 하여야 왜 저런 설정이 필요하고 또 저런 운영이 되어야 하는지를 알게 되는데 말입니다... 그렇기 때문에 하우투 문서대로 따라하기식의 설정후 대부분의 리눅서들이 설치나 설정 에러메시지를 접하게 됩니다. 차라리 에러메시지를 접한후 왜 그런 에러가 나타나는지를 찾는 리눅서들은 나은 편입니다. 아얘 이유조차 찾지않고 바로 관련 커뮤니티에 하우투 문서대로 설정을 했는데 설치가 되지않는다 에러가 생긴다 식의 질문이다 답변요구 공세를 하기 시작합니다. 아마도 처음 그 하우투 문서를 작성한 사람은 그런 모습을 보려고 만든것은 아닐것 같다는 생각을 해봅니다. |
출처 :http://paper.cyworld.nate.com/paper/paper_item_read.asp?paper_id=1000032567&post_seq=100642&cpage=1&search_type=&search_keyword=
문제가 된다면 삭제 하겠습니다!
센드메일은 기본으로 로컬호스트에만 리스닝하게 되있습니다. 처음설치시 메일이 안오는건 그 이유지요. 이건 sendmail.mc파일을 수정해 그걸로 다시 sendmail.cf를 만들어 해결하는게 편합니다. sendmail.mc를 찾아 DAEMON_OPTIONS('port=smtp,Addr=127.0.0.1,Name=MTA')dnl 여기를 DAEMON_OPTIONS('port=smtp,Name=MTA')dnl 로 수정 그리고 m4 sendmail.mc > sendmail.cf 해서 만든 파일로 설정파일을 교체하세요. 참고로 sendmail-cf라는 페키지가 설치되있어야 합니다. m4관련해서 오류가 난다면 yum으로 설치해준다. yum install sendmail-cf 같은방법... 물론 기본적인 도메인 과 25번 포트는 열려 있고 이상이 없음에도 수신이 되지 않지요. 이럴 경우, 외부에서 오는 메일을 수신하기 위해서는 /etc/mail/sendmail.cf 화일에서 Cwaispace.net 이렇게 받을 도메인을 설정하고 /etc/mail/sendmail.cf화일에서 #SMTP daemon options O DaemonPortOptions=Port=smtp,Addr=127.0.0.1,Name=MTA 이 부분을 찾아서 Addr=127.0.0.1을 삭제하면 외부 메일 수신이 됩니다.
/etc/rc.d/init.d/sendmail restart |
cat backup_day.sh
날마다 변경된 파일을 조사해서 백업한다.
크론에다 넣고 돌리면 좋쥐
20 4 * * * /home/myhome/backups/backup_day.sh
/home/myhome/myweb/ 은 웹서버의 document root 디렉토리
/home/myhome/backups/daily/ 은 일일백업이 저장될 디렉토리
#!/bin/bash
cd /home/myhome
NOW=`date +"%d %b %Y"`
FTARNM=`date +"%Y_%m_%d"`
OLD=`cat ./backups/.last_day`
tar cfpz /home/myhome/backups/daily/D$FTARNM.tar.gz myweb/ -N "$OLD"
echo $NOW > ./backups/.last_day
#!/bin/bash
cd /home/myhome
NOW=`date +"%d %b %Y"` 오늘날짜를 구한다
FTARNM=`date +"%Y_%m_%d"` 저장될파일이름
OLD=`cat ./backups/.last_day` 마지막 백업한 날짜 -_-;; 주간백업등으로 쓸경우 쓸만하다.
tar cfpz /home/myhome/backups/daily/D$FTARNM.tar.gz myweb/ -N "$OLD"
echo $NOW > ./backups/.last_day
