Tagged: Apache 설정

10/09/2014

Apache Options, AllowOverride

Apache 설정 중에 Directory 디렉티브(Directive) 내에서 Options, AllowOverride 등을 사용할 수 있는데 이에 대해서 자세히 알아 보겠습니다.

AllowOverride

AllowOverride 는 AccessFileName 에 지정한 파일에서 아파치의 설정을 덮어쓸 수 있도록 해줍니다. 보통 AccessFileName 에는 .htaccess 를 지정해주고 DocumentRoot 에 .htaccess 파일에 아피치 설정에 대한 것을 해두면 아파치는 이 파일을 읽어서 반영해 줍니다.

만일 AccessFileName 을 지정하지 않았고 .htaccess 파일이 필요없을 경우에는 AllowOverride 를 사용할 필요가 없기 때문에 다음과 같이 None 으로 설정해주면 좋습니다.

<Directory "/home/nymph203/www">
    AllowOverride None
</Directory>

AllowOverride None

</Directory>

AllowOverride 를 사용할때에 지정할 수 있는 옵션들이 있는데 다음과 같습니다.

FileInfo : 문서의 유형을 제어하는 지시자 사용을 허락함. 문서 유형을 제어하는 지시자에는 AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument, LanguagePriority 등이다.
Indexes : 디렉토리 인덱싱을 제어하는 지시자 사용을 허락함. 사용 가능한 지시자로는 AddDescription, AddIcon, AddIconByEncoding, AddIconByType 등이 있다.
AuthConfig : 인증 유형을 사용할 수 있도록 허용함.
Limit : 호스트 접근을 제어하는 지시어 사용을 허용함. Allow, Deny, Order 같은 지시어를 사용할 수 있다.
Options : 지정한 디렉토리를 제어할수 있도록 지시자 사용을 허용함.

AllowOverride 는 AccessFileName 에 지정된 파일에서 쓰일수 있는 기능들을 정의한다고 생각하면 됩니다.

Options

이것은 <Directory > 디렉티브로 지정한 파일시스템에 대해서 아파치 서버가 어떻게 제어할지를 지정해 줍니다. 아주 중요한 부분으로 보안의 시작점이라고 보시면 됩니다.

FollowSymLinks: 파일의 심볼릭 링크를 허용하고 아파치는 이를 이용할 수 있다.
SymLinksIfOwnerMatch: 심볼릭 링크를 허용하지만 심볼릭 링크의 소유자가 사용자여야 된다.
Indexes : 아파치가 디렉토리에 접근했는데, DirectoryIndex 지시자로 설정한 파일이 없을 경우 디렉토리안의 파일 목록을 보여준다.
ExecCGI : 지정한 디렉토리내에서 CGI 실행을 허용한다.
MutiViews: 클라이언트의 요청에 따라서 적절한 페이지를 보여준다.
None : 모든 설정을 사용할 수 없다.

예제로는 다음과 같이 사용합니다.

<Directory "/home/nymph203/www">
      Options SymLinksIfOwnerMatch MultiViews
      AllowOverride None
      Require method GET POST
</Directory>

Options SymLinksIfOwnerMatch MultiViews

AllowOverride None

Require method GET POST

</Directory>

10/04/2014

Apache mod_ruid2 설치

Apache 는 TCP/IP 접속과 접속이 이루어진 후에 컨텐츠를 처리하는 프로세스의 권한이 다릅니다. TCP/IP 접속관련은 Root 권한으로 동작하고 이후 동작은 아파치의 설정에 따른 권한으로 실행 됩니다.

아파치의 동작 권한은 다음과 같이 설정 합니다.

# User/Group: The name (or #number) of the user/group to run httpd as.
# It is usually good practice to create a dedicated user and group for
# running httpd, as with most system services.
#
User nobody
Group nobody

# User/Group: The name (or #number) of the user/group to run httpd as.

# It is usually good practice to create a dedicated user and group for

# running httpd, as with most system services.

User nobody

Group nobody

위 설정은 아파치의 컨텐츠를 처리하는 프로세스가 nobody:nobody 권한으로 동작하도록 지정한 것입니다.

그런데, 이렇게 하면 버추얼 호스트(VirtualHost) 설정을 할 경우에 보통 각 계정별로 RootDocument 를 설정하는데, 이럴경우 아파치 프로세스는 한가지의 권한으로 동작하고 모든 계정에 접근해야 함으로 각 계정에 액세스 권한을 줘야 합니다. 그래서 주로 다음과 같이 해줘야 합니다.

ls -lh /home/
합계 0
drwx-----x 2 test  test  59 10월  4 23:06 test
drwx-----x 2 test1 test1 59 10월  4 23:06 test1
drwx-----x 2 test2 test2 59 10월  4 23:06 test2

ls -lh /home/

합계 0

drwx-----x 2 test test 59 10월 4 23:06 test

drwx-----x 2 test1 test1 59 10월 4 23:06 test1

drwx-----x 2 test2 test2 59 10월 4 23:06 test2

이러한 아파치 권한과 리눅스 시스템 계정별 권한때문에 공개 CMS 프로그램들(xe, gnuboard, wordpress) 등을 설치할때에 홈디렉토리의 퍼미션을 777 로 하게됩니다. 이럴경우 보안상 큰 문제가 됩니다.

아파치의 컨텐츠 프로세스마다 지정한 시스템 계정의 권한으로 동작하도록 하게 한다면 각 계정별로 퍼미션을 바꿀 필요가 없게 됩니다. 이러한 것을 가능하도록 해주는 모듈이 바로 mod_ruid2 입니다.

이 문서는 Apache mod_ruid2 설치 에 관련된 내용 입니다.

1. 설치 환경

설치 환경은 다음과 같습니다.

배포판: CentOS 7
Apache Version: 2.4.10
Apache MPM: prefork

2. mod_ruid2 설치.

mod_ruid2 프로젝트 홈페이지에서 다운로드 받고 압축을 해제한 후에 apxs 를 이용해서 다음과 같이 설치 해줍니다.

# mod_ruid2 다운로드
wget http://downloads.sourceforge.net/project/mod-ruid/mod_ruid2/mod_ruid2-0.9.8.tar.bz2?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fmod-ruid%2F&ts=1412085172&use_mirror=cznic
# 압축 해제
tar xvjf mod_ruid2-0.9.8.tar.bz2
# 디렉토리 변경
cd mod_ruid2-0.9.8
# 컴파일 설치 
/usr/local/apache2.4.10/bin/apxs -a -i -l cap -c mod_ruid2.c
/usr/local/apache2.4.10/build/libtool --silent --mode=link gcc -std=gnu99 -Wl,-z,relro,-z,now,-L/usr/lib64   -o mod_ruid2.la  -lcap -rpath /usr/local/apache2.4.10/modules -module -avoid-version    mod_ruid2.lo
/usr/local/apache2.4.10/build/instdso.sh SH_LIBTOOL='/usr/local/apache2.4.10/build/libtool' mod_ruid2.la /usr/local/apache2.4.10/modules
/usr/local/apache2.4.10/build/libtool --mode=install install mod_ruid2.la /usr/local/apache2.4.10/modules/
libtool: install: install .libs/mod_ruid2.so /usr/local/apache2.4.10/modules/mod_ruid2.so
libtool: install: install .libs/mod_ruid2.lai /usr/local/apache2.4.10/modules/mod_ruid2.la
libtool: install: install .libs/mod_ruid2.a /usr/local/apache2.4.10/modules/mod_ruid2.a
libtool: install: chmod 644 /usr/local/apache2.4.10/modules/mod_ruid2.a
libtool: install: ranlib /usr/local/apache2.4.10/modules/mod_ruid2.a
libtool: finish: PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin:/sbin" ldconfig -n /usr/local/apache2.4.10/modules
----------------------------------------------------------------------
Libraries have been installed in:
   /usr/local/apache2.4.10/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
   - add LIBDIR to the `LD_LIBRARY_PATH' environment variable
     during execution
   - add LIBDIR to the `LD_RUN_PATH' environment variable
     during linking
   - use the `-Wl,-rpath -Wl,LIBDIR' linker flag
   - have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------
chmod 755 /usr/local/apache2.4.10/modules/mod_ruid2.so
[activating module `ruid2' in /usr/local/apache2.4.10/conf/httpd.conf]

# mod_ruid2 다운로드

wget http://downloads.sourceforge.net/project/mod-ruid/mod_ruid2/mod_ruid2-0.9.8.tar.bz2?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fmod-ruid%2F&ts=1412085172&use_mirror=cznic

# 압축 해제

tar xvjf mod_ruid2-0.9.8.tar.bz2

# 디렉토리 변경

cd mod_ruid2-0.9.8

# 컴파일 설치

/usr/local/apache2.4.10/bin/apxs -a -i -l cap -c mod_ruid2.c

/usr/local/apache2.4.10/build/libtool --silent --mode=link gcc -std=gnu99 -Wl,-z,relro,-z,now,-L/usr/lib64 -o mod_ruid2.la -lcap -rpath /usr/local/apache2.4.10/modules -module -avoid-version mod_ruid2.lo

/usr/local/apache2.4.10/build/instdso.sh SH_LIBTOOL='/usr/local/apache2.4.10/build/libtool' mod_ruid2.la /usr/local/apache2.4.10/modules

/usr/local/apache2.4.10/build/libtool --mode=install install mod_ruid2.la /usr/local/apache2.4.10/modules/

libtool: install: install .libs/mod_ruid2.so /usr/local/apache2.4.10/modules/mod_ruid2.so

libtool: install: install .libs/mod_ruid2.lai /usr/local/apache2.4.10/modules/mod_ruid2.la

libtool: install: install .libs/mod_ruid2.a /usr/local/apache2.4.10/modules/mod_ruid2.a

libtool: install: chmod 644 /usr/local/apache2.4.10/modules/mod_ruid2.a

libtool: install: ranlib /usr/local/apache2.4.10/modules/mod_ruid2.a

libtool: finish: PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin:/sbin" ldconfig -n /usr/local/apache2.4.10/modules

----------------------------------------------------------------------

Libraries have been installed in:

/usr/local/apache2.4.10/modules

If you ever happen to want to link against installed libraries

in a given directory, LIBDIR, you must either use libtool, and

specify the full pathname of the library, or use the `-LLIBDIR'

flag during linking and do at least one of the following:

- add LIBDIR to the `LD_LIBRARY_PATH' environment variable

during execution

- add LIBDIR to the `LD_RUN_PATH' environment variable

during linking

- use the `-Wl,-rpath -Wl,LIBDIR' linker flag

- have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for

more information, such as the ld(1) and ld.so(8) manual pages.

----------------------------------------------------------------------

chmod 755 /usr/local/apache2.4.10/modules/mod_ruid2.so

[activating module `ruid2' in /usr/local/apache2.4.10/conf/httpd.conf]

모듈 파일이 설치되고 httpd.conf 파일에 이 모듈이 자동으로 활성화 됩니다.

3. mod_ruid2 설정

기본적으로 다음과 같이 사용을 하시면 됩니다.

<VirtualHost *:80>
........
........
    <IfModule mod_ruid2.c>
        RMode config
        RUidGid test test
    </IfModule>
</VirtualHost>

........

RMode config

RUidGid test test

</IfModule>

</VirtualHost>

4. 그러나, 아직은..

이 모듈은 프로세스의 소유권 변환을 해줌으로 보안성을 향상시키지만 다음과 같은 모듈과 호환성을 제공하지 않습니다. (함께 쓸수 없다는 이야기…)

mod_cache
mod_cache_disk
mod_cache_socache
MPM worker
MPM event

Apache 2.4.10 이후로 SSLSessionCache를 위해선 mod_cache_socache 의 의존성을 가지고 있기 때문에 mod_ruid2 를 사용한다면 SSL 제대로 동작하지 않을 가능성이 있습니다. (mod_cache_socache 는 과거의 mod_mem_cache 입니다.)

MPM event 일 경우에 이것이 동작하지 않는다는게 가장 큰 문제로 보입니다.

10/03/2014

Apache mod_deflate 설정

Apache 2.4 에서 mod_deflate 설정 에 대한 문서 입니다.

Apache 2.2 에비해서 Apache 2.4 에서의 설정이 새롭게 바뀌었습니다.

1. Requirement

Apache 2.4 에서 mod_deflate 를 사용하기 위해서는 다음과 같은 모듈들도 활성화되어야 합니다.

mod_setenvif : 환경변수를 정의한다.
mod_headers : HTTP 요청 헤더와 응답 헤더를 조절하고 수정하는 지시어를 제공한다.
mod_deflate : 서버의 출력을 네트웍으로 클라이언트에 보내기 전에 압축하는 기능 제공

위 모듈들이 Apache 2.4.10 에 활성화 되어 있어야 합니다.

2. 설정

mod_deflate 의 설정은 Apache 2.2 와 2.4 가 차이가 있습니다. 두 버전에 상관없이 설정할 수 있는 방법도 있는데, 이것은 아파치 문서에 나와 있는 방법이기도 합니다.

이미지를 제외한 모든 것을 압축

<Location />
# 필터를 추가한다
SetOutputFilter DEFLATE

# Netscape 4.x에 문제가 있다...
BrowserMatch ^Mozilla/4 gzip-only-text/html

# Netscape 4.06-4.08에 더 문제가 있다
BrowserMatch ^Mozilla/4\.0[678] no-gzip

# MSIE은 Netscape라고 자신을 알리지만, 문제가 없다
# BrowserMatch \bMSIE !no-gzip !gzip-only-text/html

# 주의: 아파치 2.0.48까지 mod_setenvif의 버그때문에
# 위의 정규표현식은 동작하지 않는다. 원하는 효과를
# 얻기위해 다음과 같이 수정하여 사용한다:
BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html

# 이미지를 압축하지 않는다
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png)$ no-gzip dont-vary

# 프록시가 잘못된 내용을 전달하지않도록 한다
Header append Vary User-Agent env=!dont-vary
</Location>

이미지를 제외한 모든 것을 압축

# 필터를 추가한다

SetOutputFilter DEFLATE

# Netscape 4.x에 문제가 있다...

BrowserMatch ^Mozilla/4 gzip-only-text/html

# Netscape 4.06-4.08에 더 문제가 있다

BrowserMatch ^Mozilla/4\.0[678] no-gzip

# MSIE은 Netscape라고 자신을 알리지만, 문제가 없다

# BrowserMatch \bMSIE !no-gzip !gzip-only-text/html

# 주의: 아파치 2.0.48까지 mod_setenvif의 버그때문에

# 위의 정규표현식은 동작하지 않는다. 원하는 효과를

# 얻기위해 다음과 같이 수정하여 사용한다:

BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html

# 이미지를 압축하지 않는다

SetEnvIfNoCase Request_URI \

\.(?:gif|jpe?g|png)$ no-gzip dont-vary

# 프록시가 잘못된 내용을 전달하지않도록 한다

Header append Vary User-Agent env=!dont-vary

</Location>

그런데, Apache 2.4 의 Fileter 모듈을 적용해서 특정한 컨텐츠타입에만 Deflate 를 적용하면 다음과 같습니다.

<ifmodule filter_module>
        # HTML, TXT, CSS, JavaScript, JSON, XML, HTC:
        FilterDeclare   COMPRESS
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$text/html'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$text/css'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$text/plain'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$text/xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$text/x-component'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/javascript'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/json'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/xhtml+xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/rss+xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/atom+xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/vnd.ms-fontobject'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$image/svg+xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$image/x-icon'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/x-font-ttf'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$font/opentype'"
        FilterChain     COMPRESS
        FilterProtocol  COMPRESS  DEFLATE change=yes;byteranges=no
</ifmodule>
<ifmodule !filter_module>
        # Legacy versions of Apache
        AddOutputFilterByType DEFLATE text/html text/plain text/css application/json
        AddOutputFilterByType DEFLATE application/javascript
        AddOutputFilterByType DEFLATE text/xml application/xml text/x-component
        AddOutputFilterByType DEFLATE application/xhtml+xml application/rss+xml application/atom+xml
        AddOutputFilterByType DEFLATE image/x-icon image/svg+xml application/vnd.ms-fontobject application/x-font-ttf font/opentype
</ifmodule>

# HTML, TXT, CSS, JavaScript, JSON, XML, HTC:

FilterDeclare COMPRESS

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$text/html'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$text/css'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$text/plain'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$text/xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$text/x-component'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/javascript'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/json'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/xhtml+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/rss+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/atom+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/vnd.ms-fontobject'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$image/svg+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$image/x-icon'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/x-font-ttf'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$font/opentype'"

FilterChain COMPRESS

FilterProtocol COMPRESS DEFLATE change=yes;byteranges=no

</ifmodule>

# Legacy versions of Apache

AddOutputFilterByType DEFLATE text/html text/plain text/css application/json

AddOutputFilterByType DEFLATE application/javascript

AddOutputFilterByType DEFLATE text/xml application/xml text/x-component

AddOutputFilterByType DEFLATE application/xhtml+xml application/rss+xml application/atom+xml

AddOutputFilterByType DEFLATE image/x-icon image/svg+xml application/vnd.ms-fontobject application/x-font-ttf font/opentype

</ifmodule>

deflate 를 사용하는데 따라 클라이언트에게 압축된 컨텐츠라는 걸 알려주기 위해서 헤더값을 다음과 같이 조작해 줍니다.

<IfModule setenvif_module> 
        <IfModule headers_module> 
                SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding 
                RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding 
        </IfModule>
</IfModule>

SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding

RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding

</IfModule>

이것을 종합하면 다음과 같습니다.

<IfModule deflate_module> 
        <IfModule setenvif_module>
                <IfModule headers_module>
                        SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding
                        RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding
                </IfModule>
        </IfModule>

        <IfModule filter_module> 
                # HTML, TXT, CSS, JavaScript, JSON, XML, HTC 
                FilterDeclare  COMPRESS 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/html'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/css'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/plain'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/x-component'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/javascript'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/json'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/xhtml+xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/rss+xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/atom+xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/vnd.ms-fontobject'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'image/svg+xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'image/x-icon'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/x-font-ttf'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'font/opentype'" 
                FilterChain    COMPRESS 
                FilterProtocol COMPRESS DEFLATE change=yes;byteranges=no
        </IfModule>

        <IfModule !filter_module> 
                # Legacy versions of Apache 
                AddOutputFilterByType DEFLATE text/html text/plain text/css application/json 
                AddOutputFilterByType DEFLATE application/javascript 
                AddOutputFilterByType DEFLATE text/xml application/xml text/x-component 
                AddOutputFilterByType DEFLATE application/xhtml+xml application/rss+xml application/atom+xml 
                AddOutputFilterByType DEFLATE image/svg+xml application/vnd.ms-fontobject application/x-font-ttf font/opentype
        </IfModule>
</IfModule>

SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding

RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding

</IfModule>

# HTML, TXT, CSS, JavaScript, JSON, XML, HTC

FilterDeclare COMPRESS

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/html'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/css'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/plain'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/x-component'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/javascript'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/json'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/xhtml+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/rss+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/atom+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/vnd.ms-fontobject'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'image/svg+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'image/x-icon'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/x-font-ttf'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'font/opentype'"

FilterChain COMPRESS

FilterProtocol COMPRESS DEFLATE change=yes;byteranges=no

</IfModule>

# Legacy versions of Apache

AddOutputFilterByType DEFLATE text/html text/plain text/css application/json

AddOutputFilterByType DEFLATE application/javascript

AddOutputFilterByType DEFLATE text/xml application/xml text/x-component

AddOutputFilterByType DEFLATE application/xhtml+xml application/rss+xml application/atom+xml

AddOutputFilterByType DEFLATE image/svg+xml application/vnd.ms-fontobject application/x-font-ttf font/opentype

</IfModule>

09/30/2014

Apache 설정

Apache 설정이 필요 합니다. 그대로 쓰더라도 아무 문제가 없기는 하지만 아주 조금만 설정을 해주면 보안도 높아지고 성능도 좋아집니다.

이 문서의 내용은 Apache 2.4.10 기준으로 작성 되었습니다.

1. Default Character Set

아파치의 기본 문자셋을 지정해 줍니다.

# Specify a Default Charset
AddDefaultCharset utf-8

1 2	# Specify a Default Charset AddDefaultCharset utf-8

2. Server Signature

서버의 자세한 정보를 숨깁니다. 이는 컴파일 설치를 했다면 conf/extra/httpd-default.conf 파일에 정의되어 있으며 httpd.conf 에서 extra/httpd-default.conf 파일을 Include 해주면 활성화됩니다.

ServerSignature Off
ServerTokens Prod

1 2	ServerSignature Off ServerTokens Prod

3. 디렉토리 리스팅 비활성화

컴파일 설치를 했다면 httpd.conf 파일에서 extra/httpd-autoindex.html 파일을 활성화 하지 않습니다. 그리고 다음과 같이 디렉토리 리스팅을 비활성화 해줍니다.

<IfModule mod_autoindex>
	Options -Indexes
</IfModule>

Options -Indexes

</IfModule>

4. backup 파일이나 source 파일 접근 금지

<FilesMatch "(\.(bak|config|conf|sql|fla|ini|log|sh|inc|swp|dist)|~)$">
	Order allow,deny
	Deny from all
	Satisfy All
</FilesMatch>

Order allow,deny

Deny from all

Satisfy All

</FilesMatch>

09/20/2014

Apache 웹 서버, Configtest 체크 만들기

Apache 웹 서버 시스템을 다루다보면 자주 접하게 되는 문제가 Apache 웹 서버의 재시작 문제입니다. 이것이 왜 문제가 되는가 하면, 재시작을 위해서는 Apache 웹 서버의 설정 파일들이 문제가 없는지에 대한 테스트가 선행되어야 하기 때문입니다.

다행스럽게도 Apache 는 설정 파일에 대한 적합성 테스트를 제공 합니다.

# Apache 웹 서버의 Configtest
/usr/local/apache2/bin/httpd -t
AH00112: Warning: DocumentRoot [/home/memolog/www] does not exist
AH00112: Warning: DocumentRoot [/home/wpblog/www] does not exist
Syntax OK

# Apache 웹 서버의 Configtest

/usr/local/apache2/bin/httpd -t

AH00112: Warning: DocumentRoot [/home/memolog/www] does not exist

AH00112: Warning: DocumentRoot [/home/wpblog/www] does not exist

Syntax OK

만일 설정파일에 문제가 있다면 다음과 같이 됩니다.

# Apache 설정 파일에 문제가 있을때 출력
/usr/local/apache2/bin/httpd -t
httpd: Syntax error on line 481 of /usr/local/apache2/conf/httpd.conf: Expected </IfModule> but saw </IfModul>

# Apache 설정 파일에 문제가 있을때 출력2
/usr/local/apache2/bin/httpd -t
AH00526: Syntax error on line 488 of /usr/local/apache2/conf/httpd.conf:
Invalid command 'adlkjfl', perhaps misspelled or defined by a module not included in the server configuration

# Apache 설정 파일에 문제가 있을때 출력

/usr/local/apache2/bin/httpd -t

httpd: Syntax error on line 481 of /usr/local/apache2/conf/httpd.conf: Expected </IfModule> but saw </IfModul>

# Apache 설정 파일에 문제가 있을때 출력2

/usr/local/apache2/bin/httpd -t

AH00526: Syntax error on line 488 of /usr/local/apache2/conf/httpd.conf:

Invalid command 'adlkjfl', perhaps misspelled or defined by a module not included in the server configuration

Apache 웹 서버는 어떻게 설정 파일에 문법 체크를 하는 걸까?

1. server/main.c

httpd 실행파일은 server/main.c 에서부터 만들어집니다. 이 파일에는 main() 함수가 존재하고 Switch 문으로 httpd 의 옵션들을 받도록 되어 있습니다.

        case 'L':
            ap_show_directives();
            destroy_and_exit_process(process, 0); 

        case 't':
            configtestonly = 1;
            break;

       case 'T':
           ap_document_root_check = 0;
           break;

        case 'S':
            configtestonly = 1;
            new = (char **)apr_array_push(ap_server_config_defines);
            *new = "DUMP_VHOSTS";
            break;

        case 'M':
            configtestonly = 1;
            new = (char **)apr_array_push(ap_server_config_defines);
            *new = "DUMP_MODULES";
            break;

        case 'h':
        case '?':
            usage(process);
        }

582

583

584

585

586

587

588

589

590

591

592

593

594

595

596

597

598

599

600

601

602

603

604

605

606

607

608

609

case 'L':

ap_show_directives();

destroy_and_exit_process(process, 0);

case 't':

configtestonly = 1;

break;

case 'T':

ap_document_root_check = 0;

break;

case 'S':

configtestonly = 1;

new = (char **)apr_array_push(ap_server_config_defines);

*new = "DUMP_VHOSTS";

break;

case 'M':

configtestonly = 1;

new = (char **)apr_array_push(ap_server_config_defines);

*new = "DUMP_MODULES";

break;

case 'h':

case '?':

usage(process);

}

configtest 옵션을 주면 내부적으로 configtestonly 값이 1루 세팅 됩니다.

        if (configtestonly) {
            ap_run_test_config(pconf, server_conf);
            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, NULL, "Syntax OK");
            destroy_and_exit_process(process, 0); 
        }

657

658

659

660

661

if (configtestonly) {

ap_run_test_config(pconf, server_conf);

ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, NULL, "Syntax OK");

destroy_and_exit_process(process, 0);

}

Apache 에서 configtest 를 실행하면 바로 위 구문이 실행됩니다. ap_run_test_config 가 실행되네요. ap_run* 은 일종의 매크로 같은 것인것으로 보인다.

server/config.c 에는 Apache의 설정 파일들을 읽고, 검사를 하고, 추가된 모듈이 있다면 모듈에 맞게 문법을 검사 합니다.

내용이 복잡한데, 어째되었던간에 결과는 다음과 같은 문자열을 화면에 뿌리도록 되어 있습니다.

ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, NULL, “Syntax OK”);
return apr_pstrcat(p, “Syntax error in -C/-c directive: “, errmsg, NULL);
return apr_psprintf(p, “Syntax error on line %d of %s: %s”,

위와같이 문제가 없으면 ‘Syntax OK’, 문제가 있으면 ‘Syntax error’ 라는 문장을 가진 문자열을 리턴 합니다.

2. 쉘 종료 변수와 stdout, stderr

쉘은 프로그램이 정상 종료나 비정상 종료에 대해 다음과 같은 환경변수를 가집니다.

0 : 정상종료
1 : 비정상 종료

]# /usr/local/apache2/bin/httpd -t
AH00526: Syntax error on line 492 of /usr/local/apache2/conf/httpd.conf:
Invalid command 'asdf', perhaps misspelled or defined by a module not included in the server configuration
]# echo $?
1
]# /usr/local/apache2/bin/httpd -t
Syntax OK
]# echo $?
0

]# /usr/local/apache2/bin/httpd -t

AH00526: Syntax error on line 492 of /usr/local/apache2/conf/httpd.conf:

Invalid command 'asdf', perhaps misspelled or defined by a module not included in the server configuration

]# echo $?

]# /usr/local/apache2/bin/httpd -t

Syntax OK

]# echo $?

그런데, Apache 웹 서버도 Configtest 를 진행해서 ‘Syntax OK’ , ‘Syntax error’ 는 stderr 로 메시지를 리턴합니다.

]# /usr/local/apache2/bin/httpd -t > result.out
AH00526: Syntax error on line 492 of /usr/local/apache2/conf/httpd.conf:
Invalid command 'asdf', perhaps misspelled or defined by a module not included in the server configuration
]# cat result.out
]#

]# /usr/local/apache2/bin/httpd -t > result.out

AH00526: Syntax error on line 492 of /usr/local/apache2/conf/httpd.conf:

Invalid command 'asdf', perhaps misspelled or defined by a module not included in the server configuration

]# cat result.out

이렇게 파일에 저장이 되지 않습니다. 다음과 같이하면 파일에 저장이 됩니다.

]# /usr/local/apache2/bin/httpd -t 2> result.out
]# cat result.out 
AH00526: Syntax error on line 492 of /usr/local/apache2/conf/httpd.conf:
Invalid command 'asdf', perhaps misspelled or defined by a module not included in the server configuration
]# /usr/local/apache2/bin/httpd -t 2> result.out
]# cat result.out 
Syntax OK

]# /usr/local/apache2/bin/httpd -t 2> result.out

]# cat result.out

AH00526: Syntax error on line 492 of /usr/local/apache2/conf/httpd.conf:

Invalid command 'asdf', perhaps misspelled or defined by a module not included in the server configuration

]# /usr/local/apache2/bin/httpd -t 2> result.out

]# cat result.out

Syntax OK

Apache 웹 서버는 설정 검사 결과가 통과되던 안되던 메시지는 stderr 로 메시지를 출력 합니다. 단, 쉘 리턴 변수만 달리 됩니다.

3. python 으로 체크 테스트 만들기

python 의 apache configtest 모듈이 있다면 좋았겠지만, 그런게 없더군요. 결국에는 python 에서 외부명령어를 사용하는 방법밖에 없습니다.

python 에서 외부명령어 사용을 위한 방법에는 다양하지만, subprocess 를 이용해 보겠습니다.

#!/usr/bin/python
# -*- coding: utf-8 -*-

import sys
import subprocess

p = subprocess.Popen('httpd -t', stdout=subprocess.PIPE, shell=True, stderr=sys.stdout)
(output, err) = p.communicate()
p_status = p.wait()

if 'Syntax OK' in output and p_status == 0:
    print 'Config file oK'
else:
    print 'Config file fails'

#!/usr/bin/python

# -*- coding: utf-8 -*-

import sys

import subprocess

p = subprocess.Popen('httpd -t', stdout=subprocess.PIPE, shell=True, stderr=sys.stdout)

(output, err) = p.communicate()

p_status = p.wait()

if 'Syntax OK' in output and p_status == 0:

print 'Config file oK'

else:

print 'Config file fails'

위 코드에서 핵심은 Popen 객체에 stderr=sys.stdout 를 주고 외부 프로세스가 끝나기를 기다려 리턴값을 받는 ‘p_status = p.wait()’ 에 있습니다.

2022 5월
일	월	화	수	목	금	토
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31