Voyager of Linux

Tomcat

Tomcat manager 암호화 패스워드 설정

01/05/2016

Tomcat 에는 Tomcat 서버를 관리를 쉽게 하기위한 GUI,Script 페이지를 제공합니다. 그런데, 여기에 접근하기 위해서는 인증을 설정해야 하는데 이는 $CATALINA_BASE/conf/tomcat-users.xml 파일에 설정하도록 되어 있습니다.

<tomcat-users>
  <role rolename="manager-gui"/>
  <role rolename="manager-script"/>
  <user username="admin" password="admin" roles="manager-gui,manager-script"/>
</tomcat-users>

<tomcat-users>

</tomcat-users>

그런데, 여기에는 패스워드를 입력하도록 되어 있는데 텍스트로 되어 있습니다. 보안상 좋지 않습니다. 그래서 Tomcat manager 암호화 패스워드 설정 을 하는게 좋습니다. 이 문서는 Tomcat 7.x 버전에서 테스트 되었습니다. Digest 암호화 생성 다음과 같이 패스워드를 생성 합니다.

]# cd $CATALINA_HOME/bin
]# ./digest.sh -a SHA mypassword
mypassword:91dfd9ddb4198affc5c194cd8ce6d338fde470e2

]# cd $CATALINA_HOME/bin

]# ./digest.sh -a SHA mypassword

mypassword:91dfd9ddb4198affc5c194cd8ce6d338fde470e2

SHA 암호화된 패스워드가 나왔습니다. 이것을 다음과 같이 $CATALINA_BASE/conf/tomcat-users.xml 에 넣어줍니다.

<tomcat-users>
  <role rolename="manager-gui"/>
  <role rolename="manager-script"/>
  <user username="admin" password="91dfd9ddb4198affc5c194cd8ce6d338fde470e2" roles="manager-gui,manager-script"/>
</tomcat-users>

<tomcat-users>

</tomcat-users>

이제 이러한 암호화 패스워드를 Tomcat 서버가 알아먹도록 설정을 […]

Tomcat

Tomcat 에러 정보 숨기기

01/04/2016

Java 애플리케이션을 작성할때에 에러 발생시 보여줄 에러 페이지를 설정할 수 있습니다. 웹 애플리케이션 설정 파일인 web.xml 파일에 다음과 같이 해줍니다.

<error-page>
    <error-code>404</error-code>
    <location>/error/404.jsp</location>
</error-page>
<error-page>
    <error-code>500</error-code>
    <location>/error/500.jsp</location>
</error-page>

<error-page>

<error-code>404</error-code>

<location>/error/404.jsp</location>

</error-page>

<error-page>

<error-code>500</error-code>

<location>/error/500.jsp</location>

</error-page>

단순하게 HTTP 응답코드 뿐만 아니라 Java Exception 객체에 따른 에러도 설정할 수 있습니다.

<error-page>
    <exception-type>java.lang.Throwable</exception-type>
    <location>/error/exception.jsp</location>
</error-page>
<error-page>
    <exception-type>java.lang.NullPointerException</exception-type>
    <location>/servlet/ErrorServlet2</location>
</error-page>

<error-page>

<exception-type>java.lang.Throwable</exception-type>

<location>/error/exception.jsp</location>

</error-page>

<error-page>

<exception-type>java.lang.NullPointerException</exception-type>

<location>/servlet/ErrorServlet2</location>

</error-page>

하지만 이러한 것은 웹 애플리케이션 개발단계에서 설정을 하는 것인데, 이것 말고 서버단계에서 Tomcat 에러 정보 숨기기 를 할 수 있습니다. Tomcat Server 정보 숨기기 에러가 발생했을때보면 Tomcat 서버의 정보가 함께 표시됩니다. 불필요한 정보 입니다. 이를 숨기거나 다른 것으로 서버단에서 바꿀 수 있습니다. $CATALINA_HOME/lib 디렉토리로 이동하고 […]

Installation

CentOS에서 SNMP 설치 및 설정하기

12/29/2015

SNMP(Simple Network Management Protocol) 은 원래 네트워크 장비를 관리하기 위한 통신 규약입니다. 그런데, 이제는 네트워크 장비뿐만아니라 컴퓨터, 전자장비까지 확장해서 사용하고 있습니다. 리눅스 시스템에서도 SNMP를 사용할 수 있습니다. 이를 이용하면 SNMP 를 이용해서 중앙집중식으로 각각의 장비들의 자원, 자원사용량등을 장비에 거의 모든 것을 알 수 있고 가지고 올 수 있습니다. 저의 경우에는 Cacti 라는 시스템 자원 모니터링 시스템에서 원격 시스템의 자원 사용량을 가지고 오기 위해서 각 서버마다 SNMP를 사용합니다. 준비 이 문서는 다음과 같은 환경에서 작성되었습니다. CentOS 7 X86_64 SNMP는 서버/클라언트 구조를 가지고 […]

Installation, Linux

보호된 글: 시스템 자원 모니터링 Cacti

12/28/2015

보호 글이라서 요약이 없습니다.

HowTo

Nginx 설정.

12/27/2015

이 문서는 Nginx 설정에 대한 문서 입니다. 계속적으로 업데이트가 됩니다. 요청 메소드 제한 요청 메소드는 GET, HEAD, POST, PUT, DELETE 등이 있다. 문제는 대부분 웹 서비스는 GET, HEAD, POST 만 필요로한다는 것이다. Nginx 에서 이를 다음과 같이 제한 할 수 있다.

# Only allow GET and HEAD and POST request methods
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 444;
}

# Only allow GET and HEAD and POST request methods

if ($request_method !~ ^(GET|HEAD|POST)$ ) {

return 444;

}

GZIP 설정

# Turns on the gzip compression
gzip on;
# The minimum size file to compress the files
gzip_min_length  1100;
# Set the buffer size of gzip, 4 32k is good enough for almost everybody
gzip_buffers  4 32k;
# This directive let you specify which file types should be compressed
gzip_types    text/plain application/x-javascript text/xml text/css;
# Enable response header of "Vary: Accept-Encoding"
gzip_vary on;
# Set the compression level
gzip_comp_level 9;
# Require that client announce HTTP 1.1 to use compression
gzip_http_version 1.1;

# Turns on the gzip compression

gzip on;

# The minimum size file to compress the files

gzip_min_length 1100;

# Set the buffer size of gzip, 4 32k is good enough for almost everybody

gzip_buffers 4 32k;

# This directive let you specify which file types should be compressed

gzip_types text/plain application/x-javascript text/xml text/css;

# Enable response header of "Vary: Accept-Encoding"

gzip_vary on;

# Set the compression level

gzip_comp_level 9;

# Require that client announce HTTP 1.1 to use compression

gzip_http_version 1.1;

Installation, Linux

Nginx + PHP-FPM + MariaDB 설치 (CentOS 7)

12/27/2015

과거에는 APM (Apache + PHP + MySQL)이 인기있는 플랫폼이 였지만 최근에는 Nginx 가 나오고 PHP-FPM 이 나오면서 NPM 으로 많이 대체되고 있는 추세에 있습니다. 이 글은 Nginx,PHP-FPM, MariaDB 설치에 관한 것입니다. 준비 이 글에서 NPM을 설치하는 환경은 다음과 같습니다. CentOS 7.2.1511 X86_64 Selinux Disable 작성시간: 2015. 12. 27 설치하는 방법은 CentOS 7 에서 제공하는 패키지 관리 프로그램인 YUM을 이용하는 것입니다. 다음과 같이 CentOS 7 를 최신 버전으로 만듭니다.

yum update -y

1	yum update -y

PHP 설치 다음과같이 YUM 을 이용해서 설치해 줍니다.

yum install php-fpm php-mysql php-cli

1	yum install php-fpm php-mysql php-cli

php-mysql […]

Java, Programming

보호된 글: 가비지 컬렉터를 위한 테스트 코드

12/27/2015

보호 글이라서 요약이 없습니다.

HowTo

DNS amplification DDos attacks (DNS 증폭 DDos 공격)

12/25/2015

최근에 관리하는 서버에 트래픽이 몰리는 현상이 발생했다. 웹 서비스 트래픽도 아니기에 뭔가 싶어 봤더니 53 포트를 통한 input 트래픽이였다. 그래서 ngrep 으로 53 포트를 모니터링 하니 대략 다음과 같이 나왔다.

U 27.102.207.300:53 -> 186.2.161.134:14455
^............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........
#
U 186.2.161.134:12806 -> 27.102.207.300:53
.............ddos.cat.......)#(......
#
U 27.102.207.300:53 -> 186.2.161.134:12806
.............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........
#
U 186.2.161.134:32940 -> 27.102.207.300:53
.............ddos.cat.......)#(......
#
U 27.102.207.300:53 -> 186.2.161.134:32940
.............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........
#
U 186.2.161.134:60056 -> 27.102.207.300:53
.............ddos.cat.......)#(......
#
U 27.102.207.300:53 -> 186.2.161.134:60056
.............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........
#
U 186.2.161.134:44315 -> 27.102.207.300:53
t............ddos.cat.......)#(......
#
U 27.102.207.300:53 -> 186.2.161.134:44315
t............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........

U 27.102.207.300:53 -> 186.2.161.134:14455

^............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........

U 186.2.161.134:12806 -> 27.102.207.300:53

.............ddos.cat.......)#(......

U 27.102.207.300:53 -> 186.2.161.134:12806

.............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........

U 186.2.161.134:32940 -> 27.102.207.300:53

.............ddos.cat.......)#(......

U 27.102.207.300:53 -> 186.2.161.134:32940

.............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........

U 186.2.161.134:60056 -> 27.102.207.300:53

.............ddos.cat.......)#(......

U 27.102.207.300:53 -> 186.2.161.134:60056

.............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........

U 186.2.161.134:44315 -> 27.102.207.300:53

t............ddos.cat.......)#(......

U 27.102.207.300:53 -> 186.2.161.134:44315

t............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........

뭔가 자꾸 DNS 서버에 쿼리(Query)를 보내고 있었고 이로 인해서 트래픽이 발생하는게 분명했다. DNS amplification DDos attacks (DNS 증폭 DDos 공격) ‘DNS amplification DDos Attacks’ 는 DNS 증폭 DDos 공격으로 불리운다. 왜 ‘증폭’ 일까? DDos 는 대량의 트래픽이 필요하다. 초당 수십 Gbps 를 유발시켜야 하는데 이렇게 할려면 많은 장비가 필요하다. […]

HowTo, Linux

gitlab 패스워드 리셋하기

12/22/2015

gitlab 패스워드 리셋하기 Gitlab 을 사용하다가 갑자기 패스워드를 잊어버리는 경우가 생길 수 있습니다. 이럴때 보통 Web 에서 ‘Fogot your password’ 링크를 클릭하고 리셋될 패스워드를 가입할때 적어놓은 E-mail 로 발송을 해줍니다. 그런데, E-mail 주소가 없는 거라면 패스워드를 리셋할 수가 없어서 로그인을 못하게 됩니다. 이럴때는 Gitlab 서버에 터미널로 로그인을 해서 gitlab-rails console을 실행하고 패스워드를 바꿀 수 있습니다. 먼저 gitlab-rails console로 접속을 합니다.

]# gitlab-rails console
Loading production environment (Rails 4.2.4)
irb(main):001:0>
irb(main):002:0*

]# gitlab-rails console

Loading production environment (Rails 4.2.4)

irb(main):001:0>

irb(main):002:0*

여기서 만일 E-mail 주소를 정확하게 알고 있다면 다음과 같이 user 객체를 지정할 수 있습니다.

irb(main):005:0* user = User.find_by(email: 'admin@local.host')
=> nil

1 2	irb(main):005:0* user = User.find_by(email: 'admin@local.host') => nil

그런데 위와같이 ‘nil’ 로 나오면 […]

HowTo

Suspend 된 게스트 시작 않될때 해결 방법.

12/21/2015

Suspend 는 보통 게스트를 Paused 상태로 만드는 것을 말한다. 이는 동작상태를 하드디스크에 그대로 저장하고 끝내는 것을 말하며 이를 재시작하는 것을 Resume 이라고 한다. 명령어로는 그냥 start 명령어를 쓰지만 Suspend 에서는 부팅이 아닌 저장하고 끝난 부분을 풀고 바로 시작되는 것이 다르다. 그런데, Suspend 한 이미지를 시작하려고 할 때에 다음과 같이 오류가 나왔다.

]# virsh start perfectServer
오류:도메인 perfectServer 시작하기 실패
오류:Unable to read from monitor: Connection reset by peer

]# virsh start perfectServer

오류:도메인 perfectServer 시작하기 실패

오류:Unable to read from monitor: Connection reset by peer

아무리 Resume 을 할려고 하더라도 위와 같은 오류로 시작도 않되었다. 이럴때는 다음과 같이 해서 부티을 시도하는 것이 좋다.

]# virsh managedsave-remove perfectServer
Removed managedsave image for domain perfectServer

1 2	]# virsh managedsave-remove perfectServer Removed managedsave image for domain perfectServer

이는 앞에서도 말했듯이 Supsend 될때에 저장된 이미지를 삭제하도록 한다. […]