Tagged: apache

05/01/2017

Apache 2.4 에서 RemoteIPInternalProxy 의미

Apache 2.4 에서 RemoteIPInternalProxy 는 다음과 같이 사용합니다.

RemoteIPInternalProxy 192.0.2.0/24

1	RemoteIPInternalProxy 192.0.2.0/24

이 문법을 X-Forwared-For 와 함께 사용하면 다음과 같다.

RemoteIPInternalProxy 192.0.2.0/24 
X-Forwarded-For 198.51.100.1, 198.51.100.2, 192.0.2.1

1 2	RemoteIPInternalProxy 192.0.2.0/24 X-Forwarded-For 198.51.100.1, 198.51.100.2, 192.0.2.1

X-Forwarded-For 는 원격지 주소를 192.0.2.1 이 된다. 그런데 RemoteIPInternalProxy 의 영향으로 인해서 192.0.2.1 은 내부 Proxy 로 지정되었기 때문에 X-Forwarded-For 의 원격지 주소는 198.51.100.2 가 된다.

ps, X-Forwarded-For 는 여러개의 IP를 기록할 수 있다. 만일 여러개를 기록할 경우에 맨 오른쪽에 IP가 최종 원격지 IP 주소가 된다.

04/16/2017

Apache Proxy Load Balancer 구성

Apache 웹 서버는 세계적으로 많이 사용되는 웹 서버이다. 많은 기능을 내장하고 있는데, 그 중에서 Proxy Load Balancer 구성에 대해서 설치부터 설정까지 기술 한다.

기술 환경은 다음과 같다.

배포판: Ubuntu14.04 64bit
Apache: 2.4.25
컴파일 설치.

운영환경도 아주 중요하다. 이 문서에서 기술한 운영 환경은 AWS 환경이며 External ELB 바로 뒤에 Apache 웹 서버가 있다. 이 Apache 웹 서버는 뒤에 WAS 서버가 존재하는 환경이다.

의존성 패키지 설치

컴파일 설치를 하기전에 의존성 패키지를 다음과 같이 설치해 줍니다.

apt install libpcre3-dev
apt install zlib1g-dev # mod_deflate 를 위해서 필요.
apt install libevent-openssl-2.0-5
apt install libssl-dev
apt install libtool autotools-dev

apt install libpcre3-dev

apt install zlib1g-dev # mod_deflate 를 위해서 필요.

apt install libevent-openssl-2.0-5

apt install libssl-dev

apt install libtool autotools-dev

설치

설치는 소스를 받아 직접 컴파일을 했다. 소스는 현재 최신버전인 2.4.25 버전으로 다운받아 압축 해제한다.

wget http://mirror.apache-kr.org//httpd/httpd-2.4.25.tar.bz2
tar xvzf httpd-2.4.25.tar.bz2
cd httpd-2.4.25

wget http://mirror.apache-kr.org//httpd/httpd-2.4.25.tar.bz2

tar xvzf httpd-2.4.25.tar.bz2

cd httpd-2.4.25

Apache 웹 서버의 확장 모듈을 설치하거나 별도의 유틸리티를 사용하기 위해서 apr, apr-utils 도 함께 설치해주어야 한다. 이 기능을 사용하기 위해서는 컴파일 시에 ‘–with-included-apr’ 옵션을 주어야 한다.

cd srclib
wget http://mirror.apache-kr.org//apr/apr-1.5.2.tar.bz2
wget http://mirror.apache-kr.org//apr/apr-util-1.5.4.tar.bz2
tar xvjf apr-1.5.2.tar.bz2; mv apr-1.5.2 apr
tar xvjf apr-util-1.5.4.tar.bz2; mv apr-util-1.5.4 apr-util

cd srclib

wget http://mirror.apache-kr.org//apr/apr-1.5.2.tar.bz2

wget http://mirror.apache-kr.org//apr/apr-util-1.5.4.tar.bz2

tar xvjf apr-1.5.2.tar.bz2; mv apr-1.5.2 apr

tar xvjf apr-util-1.5.4.tar.bz2; mv apr-util-1.5.4 apr-util

이제 다음과 같이 Configure 해줍니다.

./configure \
--prefix=/opt/httpd-2.4.25 \
--with-z \
--with-pcre \
--enable-http \
--enable-mpms-shared=all \
--enable-mods-static='vhost_alias log_config logio mime mime_magic alias headers status http negotiation' \
--enable-mods-shared='file_cache disk_cache deflate expires usertrack unique_id actions userdir autoindex cache mem_cache distcache auth_digest rewrite remoteip event prefork worker' \
--enable-ssl \
--with-ssl \
--with-openssl \
--enable-allowmethods \
--enable-session \
--enable-session-cookie \
--enable-session-crypto \
--with-crypto \
--enable-session-dbd=no \
--enable-log-debug \
--enable-log-forensic \
--enable-logio \
--disable-imagemap \
--disable-include \
--disable-charset-lite \
--disable-cgid \
--disable-asis \
--enable-ldap=no \
--enable-authnz-ldap=no \
--enable-cgid=no \
--enable-dav=no \
--enable-dav-fs=no \
--enable-isapi=no \
--enable-logio \
--enable-proxy \
--enable-proxy-connect \
--enable-proxy-ftp=no \
--enable-proxy-http \
--enable-proxy-fcgi=no \
--enable-proxy-scgi=no \
--enable-proxy-fdpass=no \
--enable-proxy-ajp \
--enable-proxy-balancer \
--enable-proxy-express \
--enable-proxy-hcheck \
--enable-ext-filter=no \
--enable-authnz-ldap=no \
--enable-lbmethod-byrequests \
--enable-lbmethod-bytraffic \
--enable-lbmethod-bybusyness \
--enable-lbmethod-heartbeat=no \
--enable-dav-lock=no\
--enable-so \
--with-included-apr

./configure \

--prefix=/opt/httpd-2.4.25 \

--with-z \

--with-pcre \

--enable-http \

--enable-mpms-shared=all \

--enable-mods-static='vhost_alias log_config logio mime mime_magic alias headers status http negotiation' \

--enable-mods-shared='file_cache disk_cache deflate expires usertrack unique_id actions userdir autoindex cache mem_cache distcache auth_digest rewrite remoteip event prefork worker' \

--enable-ssl \

--with-ssl \

--with-openssl \

--enable-allowmethods \

--enable-session \

--enable-session-cookie \

--enable-session-crypto \

--with-crypto \

--enable-session-dbd=no \

--enable-log-debug \

--enable-log-forensic \

--enable-logio \

--disable-imagemap \

--disable-include \

--disable-charset-lite \

--disable-cgid \

--disable-asis \

--enable-ldap=no \

--enable-authnz-ldap=no \

--enable-cgid=no \

--enable-dav=no \

--enable-dav-fs=no \

--enable-isapi=no \

--enable-logio \

--enable-proxy \

--enable-proxy-connect \

--enable-proxy-ftp=no \

--enable-proxy-http \

--enable-proxy-fcgi=no \

--enable-proxy-scgi=no \

--enable-proxy-fdpass=no \

--enable-proxy-ajp \

--enable-proxy-balancer \

--enable-proxy-express \

--enable-proxy-hcheck \

--enable-ext-filter=no \

--enable-authnz-ldap=no \

--enable-lbmethod-byrequests \

--enable-lbmethod-bytraffic \

--enable-lbmethod-bybusyness \

--enable-lbmethod-heartbeat=no \

--enable-dav-lock=no\

--enable-so \

--with-included-apr

아무런 오류 없이 끝나면 다음과 같이 컴파일, 설치 해줍니다.

make 
make install

1 2	make make install

설치 디렉토리로 이동해서 다음과 같이 심볼릭 링크를 생성해 줍니다.

ln -s httpd-2.4.25 httpd

1	ln -s httpd-2.4.25 httpd

httpd.conf 설정

Apache 웹 서버의 주요 설정은 httpd.conf 파일에서 이루어 집니다. 웹 서버이름, 실행할 데몬 소유자, 로깅, 사용할 모듈, 사용할 기능파일등에 대해서 설정할 수 있습니다.

사용할 모듈 설정

컴파일 설치를 했어도 사용할 모듈들을 최소화할 수 있습니다. 다음과 같이 해줍니다.

LoadModule authn_core_module modules/mod_authn_core.so
LoadModule authz_core_module modules/mod_authz_core.so
LoadModule access_compat_module modules/mod_access_compat.so
LoadModule allowmethods_module modules/mod_allowmethods.so
LoadModule watchdog_module modules/mod_watchdog.so
LoadModule reqtimeout_module modules/mod_reqtimeout.so
LoadModule request_module modules/mod_request.so
LoadModule filter_module modules/mod_filter.so
LoadModule env_module modules/mod_env.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule remoteip_module modules/mod_remoteip.so
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
LoadModule proxy_hcheck_module modules/mod_proxy_hcheck.so
LoadModule session_module modules/mod_session.so
LoadModule session_cookie_module modules/mod_session_cookie.so
LoadModule lbmethod_byrequests_module modules/mod_lbmethod_byrequests.so
LoadModule lbmethod_bytraffic_module modules/mod_lbmethod_bytraffic.so
LoadModule lbmethod_bybusyness_module modules/mod_lbmethod_bybusyness.so
LoadModule unixd_module modules/mod_unixd.so

LoadModule authn_core_module modules/mod_authn_core.so

LoadModule authz_core_module modules/mod_authz_core.so

LoadModule access_compat_module modules/mod_access_compat.so

LoadModule allowmethods_module modules/mod_allowmethods.so

LoadModule watchdog_module modules/mod_watchdog.so

LoadModule reqtimeout_module modules/mod_reqtimeout.so

LoadModule request_module modules/mod_request.so

LoadModule filter_module modules/mod_filter.so

LoadModule env_module modules/mod_env.so

LoadModule setenvif_module modules/mod_setenvif.so

LoadModule remoteip_module modules/mod_remoteip.so

LoadModule proxy_module modules/mod_proxy.so

LoadModule proxy_http_module modules/mod_proxy_http.so

LoadModule proxy_balancer_module modules/mod_proxy_balancer.so

LoadModule proxy_hcheck_module modules/mod_proxy_hcheck.so

LoadModule session_module modules/mod_session.so

LoadModule session_cookie_module modules/mod_session_cookie.so

LoadModule lbmethod_byrequests_module modules/mod_lbmethod_byrequests.so

LoadModule lbmethod_bytraffic_module modules/mod_lbmethod_bytraffic.so

LoadModule lbmethod_bybusyness_module modules/mod_lbmethod_bybusyness.so

LoadModule unixd_module modules/mod_unixd.so

어떤 기능을 사용할 것인지에 따라서 위 설정은 달라지지만, 적어도 Proxy Load Balancer 를 운영하기 위해 필요한 것과 불필요한 것만 위에서 기술 했다.

현재 활성화된 모듈이 무엇인지는 다음의 명령어로 확인 가능하다.

/opt/httpd/bin/httpd -M

1	/opt/httpd/bin/httpd -M

데몬 사용자/그룹 지정

Apache 웹 서버는 실행 프로세스와 HTTP 를 처리하는 데몬의 사용자/그룹를 다르게 지정할 수 있다. mod_unixd 에서 제공하는 것으로 다음과 같이 지정할 수 있다.

<IfModule unixd_module>
User daemon
Group daemon

</IfModule>

User daemon

Group daemon

</IfModule>

RemoteIp 사용 설정

Apache 웹 서버 앞에 AWS ELB 가 있다. AWS 의 ELB 는 Client IP 를 ‘X-Forwarded-IP’ 헤더에 담아 뒤로 넘겨준다. 하지만 Apache 웹 서버는 이것이 Client IP 인지를 인식하지 못하는데, ‘X-Forwarded-IP’ 헤더 필드 값이 실제 IP 로 사용하도록 지정할 수 있는데 mod_remoteip 가 이를 담당 한다. 다음과 같이 설정해 준다.

<IfModule remoteip_module>
   RemoteIPHeader X-Forwarded-For
   RemoteIPProxiesHeader   X-Forwarded-By
</IfModule>

RemoteIPHeader X-Forwarded-For

RemoteIPProxiesHeader X-Forwarded-By

</IfModule>

이렇게 설정을 해주면 이제부터 Apache 내부에서 사용하던 Client IP 관련 환경변수들이 ‘X-Forwarded-For’ 값으로 대체(override)된다. 바꿔말해서 Client IP 관련 환경 변수들을 하나하나 찾아서 ‘X-Forwarded-For’ 값으로 대체하지 않아도 된다.

log 설정

mod_remoteip 를 사용할 경우에 Apache 웹 서버의 로그에 Client IP 가 기록되도록 다음과 같이 추가해 준다.

LogFormat "%a %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" proxy_combined

1	LogFormat "%a %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" proxy_combined

기준의 combined 로그 포맷을 이용해 ‘%h’ -> ‘%a’, ‘%b’->’%O’ 로 교체해주고 ‘proxy_combined’ 이름의 로그 포맷을 정의했다.

추가 설정

Apache 웹 서버는 기능별로 설정들을 따로 모아서 conf/extra 디렉토리에 모아 뒀다. 필요한 기능과 설정을 하고 싶다면 이 파일들을 수정하고 httpd.conf 파일에서 Include 명령어로 포함시켜주면 동작한다.

주요하게 포함되어지는 파일들은 다음과 같다.

Include conf/extra/httpd-mpm.conf
Include conf/extra/httpd-languages.conf
Include conf/extra/httpd-vhosts.conf
Include conf/extra/httpd-default.conf

Include conf/extra/httpd-mpm.conf

Include conf/extra/httpd-languages.conf

Include conf/extra/httpd-vhosts.conf

Include conf/extra/httpd-default.conf

httpd-mpm.conf

Apache 웹 서버의 프로세스 모델을 설정하는 파일이다. Apache 2.4 에서는 주요하게 세가지를 제공 한다.

event (2.4 기본)
profork
worker

event 프로세스 모델은 ‘mpm_event_module’ 을 이용해서 설정 가능하며 httpd-mpm.conf 파일 중간쯤에 있다.

모델별로 동작 방법은 다르지만 설정하는 내용은 비슷하다. 대부분이 초기 프로세스 개수, 최소, 최대 쓰레드(Thread) 개수, 한 쓰레드당 최대 worker 등을 지정하는 식이다.

이 값은 얼마만큼 Apache 웹 서버가 일하는지에 따라서 달리 설정되어 진다. 이 값은 서비스 오픈전 부하 테스트를 거쳐서 확정된다.

httpd-default.conf

이 설정은 매우 중요하다. 특히나 AWS ELB 뒤에 Apache 웹 서버를 운영중이라면 아주 중요하다.

여기에서 reqtimeout_module 부분을 수정하지 않으면 아마도 로그에 ‘ELB-HealthChecker/1.0’ 요청에 대해서 408 을 리턴하는 것을 볼 수 있다.

10.204.211.223 - - [01/Nov/2011:14:42:22 +0000] "GET /health HTTP/1.1" 200 351 "-" "ELB-HealthChecker/1.0"
10.204.211.223 - - [01/Nov/2011:14:42:43 +0000] "-" 408 0 "-" "-"

1 2	10.204.211.223 - - [01/Nov/2011:14:42:22 +0000] "GET /health HTTP/1.1" 200 351 "-" "ELB-HealthChecker/1.0" 10.204.211.223 - - [01/Nov/2011:14:42:43 +0000] "-" 408 0 "-" "-"

이는 httpd-default.conf 파일에서 다음을 수정해줘야 한다.

<IfModule reqtimeout_module>
-  RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500
+  RequestReadTimeout header=65 body=65
</IfModule>

- RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500

+ RequestReadTimeout header=65 body=65

</IfModule>

이렇게 해야 하는 이유는 AWS ELB 의 Health Checker 가 Apache 웹 서버의 Alive 를 알아내기 위해서 패킷을 보내는데, AWS ELB 의 기본 Idle 값(60)보다 크게 잡아야 하기 때문이다.

위와같이 설정하면 408 오류는 보이지 않게 된다.

httpd-vhosts.conf

Proxy Load Balancer 설정

Proxy Load Balancer 설정을 위해서는 Proxy 설정을 먼저 알아야 한다. Apache 웹 서버의 Proxy 설정은 다음과 같다.

ProxyPass "/balancer-manager" !
ProxyPassReverse "/balancer-manager" !

ProxyPass "/adm/" "balancer://admincluster/adm/"
ProxyPassReverse "/adm/" "balancer://admincluster/adm/"

ProxyPass "/balancer-manager" !

ProxyPassReverse "/balancer-manager" !

ProxyPass "/adm/" "balancer://admincluster/adm/"

ProxyPassReverse "/adm/" "balancer://admincluster/adm/"

Proxy 는 ReverseProxy 로 동작하게 하면서 Load Balancer 를 지정하고 있다. URL 이 /adm 으로 들어올 경우에 위 설정을 따르게 되고 Load Balancer 로 연결이 된다.

<Proxy "balancer://admincluster">

    # Server 1
    BalancerMember "http://192.168.96.34:8280" route=192.168.96.34:8280 loadfactor=1 retry=10 timeout=60

    # Server 2
    BalancerMember "http://192.168.96.19:8380" route=192.168.96.19:8380 loadfactor=1 retry=10 timeout=60

    ProxySet lbmethod=bybusyness
</Proxy>

# Server 1

BalancerMember "http://192.168.96.34:8280" route=192.168.96.34:8280 loadfactor=1 retry=10 timeout=60

# Server 2

BalancerMember "http://192.168.96.19:8380" route=192.168.96.19:8380 loadfactor=1 retry=10 timeout=60

ProxySet lbmethod=bybusyness

</Proxy>

Load Balancer 설정에서는 Balancer 를 위한 서버의 Member 를 등록한다. route 는 Sticky Session 부분과 관련이 있으며 Tomcat의 jvmRoute 파라메터에서 사용되어지기도 해서 WAS 서버 설정과 관련이 있다.

그러나 WAS 서버에서 Session Cluster 설정을 했다면 route 는 그냥 WAS 서버의 호출 주소를 적어줘도 된다.

CustomLog 설정

CustomLog 설정에서 rotatelogs 시에 파일명을 날짜별로 되도록 다음과 같이 수정한다.

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/adm-7080-access_log.%Y-%m-%d.log 86400" combinedio

1	CustomLog "\|/opt/httpd/bin/rotatelogs /opt/httpd/logs/adm-7080-access_log.%Y-%m-%d.log 86400" combinedio

지금까지 Apache 2.4 에서 기초적인 Reverse Proxy 설정을 기술했다. 기본적인 설정일뿐이며 이를 기반으로 다양한 기능들을 추가하면 된다. 추가적인 기능으로는 CustomLog 에서 파일형태(그림파일), URI 별로 쪼개서 로깅하기 혹은 IP 를 기반으로 차단하기, 이미지 파일 캐싱하기 등등이 있다.

04/13/2017

Apache 2.4 환경변수를 이용한 로그 남기기 – mod_setenvif

Apache 2.4 에서 로그를 남기는 다양한 방법이 있는데, mod_setenvif 모듈을 이용하면 다양한 조건에 부합한 것만 로그를 남길 수 있다.

<VirtualHost 192.168.96.30:80>

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access.%Y-%m-%d.log 86400" combinedio

</VirtualHost>

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access.%Y-%m-%d.log 86400" combinedio

</VirtualHost>

위 예제는 access.2017-04-13.log 파일에 로깅을 하는데 combinedio 로 정의된 로그 포맷대로 기록하며 86400(1day) 하루에 한번 로그 로테이션을 하도록 설정한 것이다.

그런데, 만일 기록되어지는 로그중에 특정 형식의 URI 로 시작하는 경우에 별도의 로그 파일에 기록하고 싶다면 어떻게 해야할까?

192.168.96.11 - - [13/Apr/2017:23:43:03 +0900] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 58 "http://linux.systemv.pe.kr/wp-admin/edit.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.54 Safari/537.36" "-"

1	192.168.96.11 - - [13/Apr/2017:23:43:03 +0900] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 58 "http://linux.systemv.pe.kr/wp-admin/edit.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.54 Safari/537.36" "-"

위 처럼 /wp-admin 으로 시작하는 URI 를 별도 파일로 기록하고 싶다면 다음과 같이 하면 된다.

SetEnvIfNoCase Request_URI "^/wp-admin.*" object_is_admin

<VirtualHost 192.168.96.30:80>

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access.%Y-%m-%d.log 86400" combinedio
CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access_wp_admin.%Y-%m-%d.log 86400" combinedio env=object_is_admin

</VirtualHost>

SetEnvIfNoCase Request_URI "^/wp-admin.*" object_is_admin

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access.%Y-%m-%d.log 86400" combinedio

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access_wp_admin.%Y-%m-%d.log 86400" combinedio env=object_is_admin

</VirtualHost>

위와같이 mod_setenvif 모듈이 제공하는 SetEnvIfNoCase 문을 이용해 URI 에 형태를 정규표현식을 이용해 매칭시키고 이것을 변수로 등록한다. 그리고 CustomLog 를 하나 더 추가해 ‘combinedio env=object_is_admin’ 처럼 환경변수를 인식 시켜준다.

위와같이 하면 access_wp_admin.%Y-%m-%d.log 파일에는 /wp-admin 으로 시작하는 URI 에 대해서만 기록하게 된다.

한가지 주의할 것은 기존의 access.%Y-%m-%d.log 파일에도 여전히 /wp-admin 으로 시작하는 URI 도 함께 기록된다는 것이다. 이를 피하기 위해서 다음과 같이 지정해줄 수 있다.

SetEnvIfNoCase Request_URI "^/wp-admin.*" object_is_admin

<VirtualHost 192.168.96.30:80>

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access.%Y-%m-%d.log 86400" combinedio env=!object_is_admin
CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access_wp_admin.%Y-%m-%d.log 86400" combinedio env=object_is_admin

</VirtualHost>

SetEnvIfNoCase Request_URI "^/wp-admin.*" object_is_admin

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access.%Y-%m-%d.log 86400" combinedio env=!object_is_admin

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access_wp_admin.%Y-%m-%d.log 86400" combinedio env=object_is_admin

</VirtualHost>

access.%Y-%m-%d.log 에는 ‘combinedio env=!object_is_admin’ 을 적용함으로써 /wp-admin 으로 시작하는 URI 는 기록하지 못하도록 했다.

그런데, 만일 두가지 환경변수를 함꺼번에 적용하고 싶다면 어떻게 해야 할까?

SetEnvIfNoCase Request_URI "^/wp-admin.*" object_is_admin
SetEnvIfNoCase Request_URI "^/favicon.*" object_is_favicon

1 2	SetEnvIfNoCase Request_URI "^/wp-admin." object_is_admin SetEnvIfNoCase Request_URI "^/favicon." object_is_favicon

두가지의 환경 변수를 정의했을 경우에 이 두가지를 한꺼번에 정의하기 위해서는 env 를 쓸수가 없다. env 는 OR 연산자를 제공하지 않았다. 다음의 경우

SetEnvIfNoCase Request_URI "^/wp-admin.*" object_is_admin
SetEnvIfNoCase Request_URI "^/favicon.*" object_is_favicon

<VirtualHost 192.168.96.30:80>

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access.%Y-%m-%d.log 86400" combinedio env=!object_is_admin|!object_is_favicon
CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access_wp_admin.%Y-%m-%d.log 86400" combinedio env=object_is_admin

</VirtualHost>

SetEnvIfNoCase Request_URI "^/wp-admin.*" object_is_admin

SetEnvIfNoCase Request_URI "^/favicon.*" object_is_favicon

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access.%Y-%m-%d.log 86400" combinedio env=!object_is_admin|!object_is_favicon

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access_wp_admin.%Y-%m-%d.log 86400" combinedio env=object_is_admin

</VirtualHost>

위와 같이 할 경우에 configtest 는 통과하고 재시작도 아주 잘되지만 적용되지 않는다.

이럴때는 변수 선언을 key=value 형식으로 바꾸고 CustomLog 에는 expr 를 사용해야 한다.

SetEnvIfNoCase Request_URI "^/wp-admin.*" object_is_admin=yes
SetEnvIfNoCase Request_URI "^/favicon.*" object_is_favicon=yes

<VirtualHost 192.168.96.30:80>

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access.%Y-%m-%d.log 86400" combinedio expr=!(reqenv('object_is_admin')=='yes'||reqenv('object_is_favicon')=='yes')
CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access_wp_admin.%Y-%m-%d.log 86400" combinedio env=object_is_admin
CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access_favicon.%Y-%m-%d.log 86400" combinedio env=object_is_favicon
</VirtualHost>

SetEnvIfNoCase Request_URI "^/wp-admin.*" object_is_admin=yes

SetEnvIfNoCase Request_URI "^/favicon.*" object_is_favicon=yes

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access.%Y-%m-%d.log 86400" combinedio expr=!(reqenv('object_is_admin')=='yes'||reqenv('object_is_favicon')=='yes')

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access_wp_admin.%Y-%m-%d.log 86400" combinedio env=object_is_admin

CustomLog "|/opt/httpd/bin/rotatelogs /opt/httpd/logs/access_favicon.%Y-%m-%d.log 86400" combinedio env=object_is_favicon

</VirtualHost>

위와같이 expr 를 사용해 AND, OR 연산을 이용할 수 있다.

참고: How to impose two conditions at once for Apache CustomLog?

01/18/2016

Apache Tomcat 연동하기 – mod_jk

Tomcat 을 단독으로 운영하지는 않는다. 여러 서버에서 설치한 후에 이것을 부하분산하는 방법으로 운영하는데, 자주 쓰이는 방법이 Tomcat 앞단에 Apache 웹 서버를 두고 이 둘을 연결해주는 방법으로 사용을 한다.

이때 연결방법이 여러가지가 있는데, Tomcat 과 Apache 를 위한 전용의 모듈이 있는데 그것이 바로 mod_jk 이다. mod_jk 는 AJP 프로토콜을 사용해서 이 둘을 연결해주는데, 다른 연결들보다 성능이 우수하다.

환경

이번 테스트한 환경은 다음과 같다.

OS: CentOS7 x86_64
Java Version: jdk-1.8.0_u65
WAS: Tomcat 8.0.30

그리고 서버는 한대이고 Tomcat 을 여러개 설치했다. 이때에 하나의 Tomcat 을가지고 멀티인스턴스 생성방법을 사용했다. 각각의 WAS 서버의 정보는 다음과 같다.

instance1, 8109 AJP Port
instance2, 8209 AJP Port
instance3, 8309 AJP Port

Apache 웹 서버는 CentOS 7 에 Yum 을 이용해서 설치했다. 이때 설치할때에 “httpd-devel.x86_64” 도 함께 설치해줘야 한다.

mod_jk 설치

mod_jk 는 Apache 홈페이지에서 다운로드 가능하다.

]# wget http://mirror.apache-kr.org/tomcat/tomcat-connectors/jk/tomcat-connectors-1.2.41-src.tar.gz
]# tar xvzf tomcat-connectors-1.2.41-src.tar.gz

1 2	]# wget http://mirror.apache-kr.org/tomcat/tomcat-connectors/jk/tomcat-connectors-1.2.41-src.tar.gz ]# tar xvzf tomcat-connectors-1.2.41-src.tar.gz

설치는 apxs 를 이용해서 Apache 모듈로 설치를 해주면 끝나게 된다.

]# cd tomcat-connectors-1.2.41-src/native
]# ./configure --with-apxs=/usr/bin/apxs
]# make
ake[1]: Entering directory `/root/tomcat-connectors-1.2.41-src/native/apache-2.0'
../scripts/build/instdso.sh SH_LIBTOOL='/usr/lib64/apr-1/build/libtool --silent' mod_jk.la `pwd`
/usr/lib64/apr-1/build/libtool --silent --mode=install cp mod_jk.la /root/tomcat-connectors-1.2.41-src/native/apache-2.0/
libtool: install: warning: remember to run `libtool --finish /usr/lib64/httpd/modules'
make[1]: Leaving directory `/root/tomcat-connectors-1.2.41-src/native/apache-2.0'
]# make install
usr/lib64/httpd/build/instdso.sh SH_LIBTOOL='/usr/lib64/apr-1/build/libtool' mod_jk.la /usr/lib64/httpd/modules
/usr/lib64/apr-1/build/libtool --mode=install install mod_jk.la /usr/lib64/httpd/modules/
libtool: install: install .libs/mod_jk.so /usr/lib64/httpd/modules/mod_jk.so
libtool: install: install .libs/mod_jk.lai /usr/lib64/httpd/modules/mod_jk.la
libtool: install: install .libs/mod_jk.a /usr/lib64/httpd/modules/mod_jk.a
libtool: install: chmod 644 /usr/lib64/httpd/modules/mod_jk.a

]# cd tomcat-connectors-1.2.41-src/native

]# ./configure --with-apxs=/usr/bin/apxs

]# make

ake[1]: Entering directory `/root/tomcat-connectors-1.2.41-src/native/apache-2.0'

../scripts/build/instdso.sh SH_LIBTOOL='/usr/lib64/apr-1/build/libtool --silent' mod_jk.la `pwd`

/usr/lib64/apr-1/build/libtool --silent --mode=install cp mod_jk.la /root/tomcat-connectors-1.2.41-src/native/apache-2.0/

libtool: install: warning: remember to run `libtool --finish /usr/lib64/httpd/modules'

make[1]: Leaving directory `/root/tomcat-connectors-1.2.41-src/native/apache-2.0'

]# make install

usr/lib64/httpd/build/instdso.sh SH_LIBTOOL='/usr/lib64/apr-1/build/libtool' mod_jk.la /usr/lib64/httpd/modules

/usr/lib64/apr-1/build/libtool --mode=install install mod_jk.la /usr/lib64/httpd/modules/

libtool: install: install .libs/mod_jk.so /usr/lib64/httpd/modules/mod_jk.so

libtool: install: install .libs/mod_jk.lai /usr/lib64/httpd/modules/mod_jk.la

libtool: install: install .libs/mod_jk.a /usr/lib64/httpd/modules/mod_jk.a

libtool: install: chmod 644 /usr/lib64/httpd/modules/mod_jk.a

위와같이 오류없이 libtool 로 설치가 완료되면 정상이다.

mod_jk 설정

mod_jk 에 대한 설정은 기본적으로 두가지 측면에서 이루어진다. 첫째는 Apache 웹서버에서 mod_jk 를 핸들링을 어떻게 할건지에 대한 설정이고 두번째는 mod_jk 가 Apache로부터 받은 요청을 어떻게 Tomcat 에 전달할 것인지에 대한 것이다.

Apache 웹서버에서 mod_jk 설정

mod_jk 를 정상적으로 컴파일 설치했다면 Apache 웹서버에서 이를 인식시켜주고 설정을 해줘야 한다.

여기서 한가지 주의해야할 것이 있는데, CentOS7 에서 Yum 으로 설치한 Apache 의 경우에는 설정하는데 카테고리별로 디렉토리를 분리를 해놨다.

모듈 로딩 설정 디렉토리: /etc/httpd/conf.modules.d
모듈별 설정 디렉토리: /etc/httpd/conf.d

모듈을 로딩하기 위해서 다음과 같이 conf.modules.d 디렉토리에서 파일을 작성한다.

LoadModule jk_module modules/mod_jk.so

1	LoadModule jk_module modules/mod_jk.so

이렇게 하고나서 다음과 같이 문법 테스트를 해준다. 이 문법 테스트는 설정을 변경할때마다 해주는 것이 좋다.

]# apachectl configtest

1	]# apachectl configtest

이제 Apache 에서 mod_jk 에 대한 설정을 다음과 같이 해준다.

<IfModule jk_module>

    # We need a workers file exactly once
    # and in the global server
    JkWorkersFile conf.d/workers.properties

    # Our JK error log
    # You can (and should) use rotatelogs here
    JkLogFile logs/mod_jk.log

    # Our JK log level (trace,debug,info,warn,error)
    JkLogLevel info

    # Our JK shared memory file
    JkShmFile logs/mod_jk.shm

    # If you want to put all mounts into an external file
    # that gets reloaded automatically after changes
    # (with a default latency of 1 minute),
    # you can define the name of the file here.
    JkMountFile conf.d/uriworkermap.properties

</IfModule>

# We need a workers file exactly once

# and in the global server

JkWorkersFile conf.d/workers.properties

# Our JK error log

# You can (and should) use rotatelogs here

JkLogFile logs/mod_jk.log

# Our JK log level (trace,debug,info,warn,error)

JkLogLevel info

# Our JK shared memory file

JkShmFile logs/mod_jk.shm

# If you want to put all mounts into an external file

# that gets reloaded automatically after changes

# (with a default latency of 1 minute),

# you can define the name of the file here.

JkMountFile conf.d/uriworkermap.properties

</IfModule>

기본적인 설정은 위와 같다. 저장한 다음에 “workers.properties”, “uriworkermap.properties” 빈 파일을 만들어 줍니다. Apache 문법 테스트를 해보고 오류가 없다면 정상이다.

mod_jk worker 설정

이 설정은 Apache 와 Tomcat 간에 어떻게 연결을 해야하는지에 대해 정의한다. 이 파일은 위에 “httpd-jk.conf” 파일에서 “conf.d/workers.properties” 로 정의되어 있다.

여기서 고려해야할 사항은 다음과 같다.

worker 이름: worker 이름은 정하기 나름이지만 각각 뒷단의 Tomcat 서버를 구분할 수 있는 이름이여야 한다. 이 worker 이름은 나중에 로드밸런싱을 할때에 Tomcat 에도 적용되어지는 이름이기에 잘 설정해야 한다.
worker port: 여기서 말하는 port 는 뒷단 Tomcat 서버의 AJP 포트를 말한다.
worker type: 이건 ajp13 으로 설정하면 된다.
worker lbfactor: 부하분산을 위한 설정으로 뒷단 Tomcat 서버들에 연결 무게를 설정해준다.

worker.list=instance1,instance2,instance3

worker.instance1.port=8109
worker.instance1.host=localhost
worker.instance1.type=ajp13
worker.instance1.lbfactor=1

worker.instance2.port=8209
worker.instance2.host=localhost
worker.instance2.type=ajp13
worker.instance2.lbfactor=1

worker.instance3.port=8309
worker.instance3.host=localhost
worker.instance3.type=ajp13
worker.instance3.lbfactor=1

worker.list=instance1,instance2,instance3

worker.instance1.port=8109

worker.instance1.host=localhost

worker.instance1.type=ajp13

worker.instance1.lbfactor=1

worker.instance2.port=8209

worker.instance2.host=localhost

worker.instance2.type=ajp13

worker.instance2.lbfactor=1

worker.instance3.port=8309

worker.instance3.host=localhost

worker.instance3.type=ajp13

worker.instance3.lbfactor=1

mod_jk uriworkermap 설정

이 설정은 특정 URI 에 대해서 mod_jk 의 woker 가 동작하도록 해서 요청을 Tomcat 에 넘길 수 있도록 해준다. Apache – Tomcat 구조에서 최초의 요청은 Apache 가 받아 URI 를 해석하는데, 이 설정을 해주면 특정 URI 에 대해서 Apache 가 Tomcat 에게 넘기게 된다.

여기서 간단한 시나리오를 생각해보자. 현재까지 설정은 부하분산(Loadbalance) 가 없는 것이다. 각 3대의 Tomcat 인스턴스에 대해서 동일한 무게를 주었을 뿐이다. 이렇게되면 특정 URI 요청이 있을때에 어느 Tomcat 인스턴스로 보낼것인지도 문제가 된다.

테스트를 위해서 Tomcat 설치시 나오는 메인페이지를 기준으로 하기로 했다. 이 페이지를 들여다보면 jsp, png, css 파일들로 이루어져 있다. 그러면 jsp 는 instance1 서버가 서빙을 하게하고 png 는 instance2 이 css 는 instance3 이 하게 하면 어떨까하는 시나리오를 만들고 이를 설정에 적용해 보자.

/*.jsp=instance1
/*.png=instance2
/*.css=instance3

/*.jsp=instance1

/*.png=instance2

/*.css=instance3

테스트

테스트는 간단하다. 브라우저를 실행시키고 http://apache-server-ip/index.jsp 주소로 이동해보는 것이다. 이때 Tomcat 초기 메인화면이 나온다면 정상이다.

그런데, 설정에서 jsp 는 instance1이 png 파일은 instance2 이 css 파일은 instance3 이 처리하도록 설정했었다. 그렇다면 실제로 그렇게 되고 있는지 확인을 해야하는데 확인방법은 각각 Tomcat 인스턴스에 접속 로그를 확인하면 된다.

내가 확인해본 바로는 원하는대로 로그가 찍혔다.

로드밸런스 설정

앞에 예제들은 로드밸런스 설정과는 관계가 없다. 로드밸런스라고 하면 instance1 인스턴스가 응답하지 않을 경우에 다른 서버들이 그 역활을 대신하는 것을 말한다. 이를 위해서는 woker 설정과 urlworkermap 설정을 변경해주어야 한다.

일단, 테스트를 위한 시나리오는 앞에서 서빙했던 jsp, png, css 파일들은 각각의 인스턴스들이 모두 제공하는 것으로 한다. 이렇게되면 urlworkermap 설정은 다음과 같이 바꿔주면 된다.

/*=balancer

1	/*=balancer

worker 이름을 balancer 라고 했는데, 이는 worker 설정파일에서 사용할 것이다.

로드밸런스는 특정 인스턴스가 죽었을 경우에 다른 서버가 그 역활을 대신하는 것이다. 이를 위해서 로드밸런스 역활을 위한 worker 이름을 정의하고 그 worker 에 로드밸런스를 위한 worker 이름을 정의해주면 된다. 기존의 worker 파일에 다음과 같이 로드밸런스 내용을 추가하면 된다.

worker.list=balancer

worker.instance1.port=8109
worker.instance1.host=localhost
worker.instance1.type=ajp13
worker.instance1.lbfactor=1

worker.instance2.port=8209
worker.instance2.host=localhost
worker.instance2.type=ajp13
worker.instance2.lbfactor=1

worker.instance3.port=8309
worker.instance3.host=localhost
worker.instance3.type=ajp13
worker.instance3.lbfactor=1

worker.balancer.type=lb
worker.balancer.balance_workers=instance1,instance2,instance3
worker.balancer.sticky_session=TRUE

worker.list=balancer

worker.instance1.port=8109

worker.instance1.host=localhost

worker.instance1.type=ajp13

worker.instance1.lbfactor=1

worker.instance2.port=8209

worker.instance2.host=localhost

worker.instance2.type=ajp13

worker.instance2.lbfactor=1

worker.instance3.port=8309

worker.instance3.host=localhost

worker.instance3.type=ajp13

worker.instance3.lbfactor=1

worker.balancer.type=lb

worker.balancer.balance_workers=instance1,instance2,instance3

worker.balancer.sticky_session=TRUE

강조한 라인을 주의깊게 보기 바란다.

한가지 더, Tomcat 인스턴스들에게 설정을 해줘야 한다. JvmRoute 설정이라고 하는데, 이 설정을 위한 방법은 두가지가 있다. 첫째는 System.property 를 이용한 방법이고 두번째는 server.xml 을 편집하는 방법이다.

첫번째 방법은 Tomcat 인스턴스 구동시에 커맨드라인으로 값을 넣어주는 것으로 다음과 같이 해주면 된다.

JVM_OPTS=" ${JVM_OPTS} -DjvmRoute=instance1"

1	JVM_OPTS=" ${JVM_OPTS} -DjvmRoute=instance1"

보통 Tomcat 의 시작 스크립트는 JVM_OPTS 옵션을 인식한다. 위와같이 Tomcat 인스턴스의 시작 스크립트에 커맨드 라인 옵션으로 jvmRoute 이름을 주면 인식하게 된다.

두번째는 server.xml 파일을 다음과 같이 편집하는 것이다.

    <!-- You should set jvmRoute to support load-balancing via AJP ie :
    <Engine name="Catalina" defaultHost="localhost" jvmRoute="jvm1">
    -->
    <Engine name="Catalina" defaultHost="localhost" jvmRoute="instance1">

<!-- You should set jvmRoute to support load-balancing via AJP ie :

-->

위와같이 설정해주면 된다.

만일 두가지 설정을 모두 했을 경우에는 server.xml 파일 설정이 우선되어 적용된다.

테스트

편한 방법으로 설정하고 Apache와 Tomcat 인스턴스를 재시작해주고 index.jsp 를 호출해보면 된다.

HTTP 접속 포트 끄기

이렇게 Apache – Tomcat 연동을 하고나면 반드시 Tomcat 인스턴스의 HTTP 접속 포트를 Disable 해주는걸 잊지 말아야 한다.

    <!--
    <Connector port="8380" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="83443" />
    -->

<!--

<Connector port="8380" protocol="HTTP/1.1"

connectionTimeout="20000"

redirectPort="83443" />

-->

10/21/2014

아파치 로그 분석하기

아파치 웹 서버에는 접속에 대한 로그를 남길 수 있습니다.

로그의 형식은 다양하지만 대략적으로 어느 컴퓨터(IP 주소)에서 어떤 기기, 어떤 프로그램을 이용해서 어떤 웹 페이지를 접속했는지, 각 컨텐츠의 전송량등의 정보가 담깁니다.

이 문서는 아파치 로그 분석하기 에 대한 것입니다.

전송량 통계

로그 파일에 컨텐츠의 전송량이 담기기 때문에 이것들을 전부 더하면 아파치 웹 서버가 내보낸 전송량을 알 수 있겠지요? awk 쉘 스크립트로 간단하게 할 수 있습니다.

awk '{ s += $10 } END { print "Total ", s/1024/1024 " MB", "- Average ", s/NR/1024/1024 " MB", "- Access ", NR }' access_log

1	awk '{ s += $10 } END { print "Total ", s/1024/1024 " MB", "- Average ", s/NR/1024/1024 " MB", "- Access ", NR }' access_log

여기서 중요한 것이 access_log 파일에 전송량을 표시하는 위치 입니다. 위 명령어 앞줄에 ‘s += $10’ 이 있는데, 공백을 기준으로 10번째 칸이 전송량을 표시한다는 거기 때문에 전송량 표시되는 부분이 12번째 칸이라면 이것을 ‘s += $12’ 로 고쳐줍니다.

좀 더 나가서 특정 아이피에 대한 것만 계산하고 싶다면 다음과 같이 해줍니다.

grep "192.168.0.12" access_log | awk '{ s += $10 } END { print "Total ", s/1024/1024 " MB", "- Average ", s/NR/1024/1024 " MB", "- Access ", NR }'

1	grep "192.168.0.12" access_log \| awk '{ s += $10 } END { print "Total ", s/1024/1024 " MB", "- Average ", s/NR/1024/1024 " MB", "- Access ", NR }'

grep 을 이용해서 필요로하는 컨테츠만을 뽑아서 총 전송량을 계산할 수 있습니다.

로봇에 의한 전송량도 계산할 수 있습니다. 구글 봇이 페이지를 긁어가는데 들어간 전송량은 다음과 같이 계산할 수 있습니다.

grep -i "googlebot" access_log | awk '{ s += $10 } END { print "Total ", s/1024/1024 " MB", "- Average ", s/NR/1024/1024 " MB", "- Access ", NR }'

1	grep -i "googlebot" access_log \| awk '{ s += $10 } END { print "Total ", s/1024/1024 " MB", "- Average ", s/NR/1024/1024 " MB", "- Access ", NR }'

HTTP 응답코드별 트래픽 계산은 다음과 같이 할 수 있습니다.

awk '($9 ~ /200/)' access_log | awk '{ s += $10 } END { print "Total ", s/1024/1024 " MB", "- Average ", s/NR/1024/1024 " MB", "- Access ", NR }'

1	awk '($9 ~ /200/)' access_log \| awk '{ s += $10 } END { print "Total ", s/1024/1024 " MB", "- Average ", s/NR/1024/1024 " MB", "- Access ", NR }'

응답코드만을 다르게하면 응답코드별로 트래픽 양을 알수 있습니다.

HTTP 응답코드 세기

HTTP 응답코드는 중요 합니다. 이를 잘 파악하면 웹 사이트에 대한 상태를 알 수도 있습니다.

# cut 를 이용한 방법
cat access.log | cut -d '"' -f3 | cut -d ' ' -f2 | sort | uniq -c | sort -r
     59 200
     11 404
      5 302
# awk 를 이용한 방법
     59 200
     11 404
      5 302

# cut 를 이용한 방법

59 200

11 404

5 302

# awk 를 이용한 방법

59 200

11 404

5 302

외부에서 이미지 링크 파악

종종 외부 사이트에서 내 사이트에서 이미지를 링크걸어놓은 것을 볼 수 있습니다. 트래픽을 절약하기 위해서 종종 사용하기도 하는데, 이러한 것을 다음과 같이 파악할 수 있습니다.

awk '($2 ~ /\.(jpg|gif)/ && $4 !~ /^http:\/\/linux\.systemv\.pe\.kr/){print $4}' linux.systemv.pe.kr.access.log | sort | uniq -c | sort -r

1	awk '($2 ~ /\.(jpg\|gif)/ && $4 !~ /^http:\/\/linux\.systemv\.pe\.kr/){print $4}' linux.systemv.pe.kr.access.log \| sort \| uniq -c \| sort -r

http://linux.systemv.pe.kr 부분을 자신의 웹사이트 주소를 입력해 주시면 됩니다.

10/09/2014

Apache Options, AllowOverride

Apache 설정 중에 Directory 디렉티브(Directive) 내에서 Options, AllowOverride 등을 사용할 수 있는데 이에 대해서 자세히 알아 보겠습니다.

AllowOverride

AllowOverride 는 AccessFileName 에 지정한 파일에서 아파치의 설정을 덮어쓸 수 있도록 해줍니다. 보통 AccessFileName 에는 .htaccess 를 지정해주고 DocumentRoot 에 .htaccess 파일에 아피치 설정에 대한 것을 해두면 아파치는 이 파일을 읽어서 반영해 줍니다.

만일 AccessFileName 을 지정하지 않았고 .htaccess 파일이 필요없을 경우에는 AllowOverride 를 사용할 필요가 없기 때문에 다음과 같이 None 으로 설정해주면 좋습니다.

<Directory "/home/nymph203/www">
    AllowOverride None
</Directory>

AllowOverride None

</Directory>

AllowOverride 를 사용할때에 지정할 수 있는 옵션들이 있는데 다음과 같습니다.

FileInfo : 문서의 유형을 제어하는 지시자 사용을 허락함. 문서 유형을 제어하는 지시자에는 AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument, LanguagePriority 등이다.
Indexes : 디렉토리 인덱싱을 제어하는 지시자 사용을 허락함. 사용 가능한 지시자로는 AddDescription, AddIcon, AddIconByEncoding, AddIconByType 등이 있다.
AuthConfig : 인증 유형을 사용할 수 있도록 허용함.
Limit : 호스트 접근을 제어하는 지시어 사용을 허용함. Allow, Deny, Order 같은 지시어를 사용할 수 있다.
Options : 지정한 디렉토리를 제어할수 있도록 지시자 사용을 허용함.

AllowOverride 는 AccessFileName 에 지정된 파일에서 쓰일수 있는 기능들을 정의한다고 생각하면 됩니다.

Options

이것은 <Directory > 디렉티브로 지정한 파일시스템에 대해서 아파치 서버가 어떻게 제어할지를 지정해 줍니다. 아주 중요한 부분으로 보안의 시작점이라고 보시면 됩니다.

FollowSymLinks: 파일의 심볼릭 링크를 허용하고 아파치는 이를 이용할 수 있다.
SymLinksIfOwnerMatch: 심볼릭 링크를 허용하지만 심볼릭 링크의 소유자가 사용자여야 된다.
Indexes : 아파치가 디렉토리에 접근했는데, DirectoryIndex 지시자로 설정한 파일이 없을 경우 디렉토리안의 파일 목록을 보여준다.
ExecCGI : 지정한 디렉토리내에서 CGI 실행을 허용한다.
MutiViews: 클라이언트의 요청에 따라서 적절한 페이지를 보여준다.
None : 모든 설정을 사용할 수 없다.

예제로는 다음과 같이 사용합니다.

<Directory "/home/nymph203/www">
      Options SymLinksIfOwnerMatch MultiViews
      AllowOverride None
      Require method GET POST
</Directory>

Options SymLinksIfOwnerMatch MultiViews

AllowOverride None

Require method GET POST

</Directory>

10/04/2014

Apache mod_ruid2 설치

Apache 는 TCP/IP 접속과 접속이 이루어진 후에 컨텐츠를 처리하는 프로세스의 권한이 다릅니다. TCP/IP 접속관련은 Root 권한으로 동작하고 이후 동작은 아파치의 설정에 따른 권한으로 실행 됩니다.

아파치의 동작 권한은 다음과 같이 설정 합니다.

# User/Group: The name (or #number) of the user/group to run httpd as.
# It is usually good practice to create a dedicated user and group for
# running httpd, as with most system services.
#
User nobody
Group nobody

# User/Group: The name (or #number) of the user/group to run httpd as.

# It is usually good practice to create a dedicated user and group for

# running httpd, as with most system services.

User nobody

Group nobody

위 설정은 아파치의 컨텐츠를 처리하는 프로세스가 nobody:nobody 권한으로 동작하도록 지정한 것입니다.

그런데, 이렇게 하면 버추얼 호스트(VirtualHost) 설정을 할 경우에 보통 각 계정별로 RootDocument 를 설정하는데, 이럴경우 아파치 프로세스는 한가지의 권한으로 동작하고 모든 계정에 접근해야 함으로 각 계정에 액세스 권한을 줘야 합니다. 그래서 주로 다음과 같이 해줘야 합니다.

ls -lh /home/
합계 0
drwx-----x 2 test  test  59 10월  4 23:06 test
drwx-----x 2 test1 test1 59 10월  4 23:06 test1
drwx-----x 2 test2 test2 59 10월  4 23:06 test2

ls -lh /home/

합계 0

drwx-----x 2 test test 59 10월 4 23:06 test

drwx-----x 2 test1 test1 59 10월 4 23:06 test1

drwx-----x 2 test2 test2 59 10월 4 23:06 test2

이러한 아파치 권한과 리눅스 시스템 계정별 권한때문에 공개 CMS 프로그램들(xe, gnuboard, wordpress) 등을 설치할때에 홈디렉토리의 퍼미션을 777 로 하게됩니다. 이럴경우 보안상 큰 문제가 됩니다.

아파치의 컨텐츠 프로세스마다 지정한 시스템 계정의 권한으로 동작하도록 하게 한다면 각 계정별로 퍼미션을 바꿀 필요가 없게 됩니다. 이러한 것을 가능하도록 해주는 모듈이 바로 mod_ruid2 입니다.

이 문서는 Apache mod_ruid2 설치 에 관련된 내용 입니다.

1. 설치 환경

설치 환경은 다음과 같습니다.

배포판: CentOS 7
Apache Version: 2.4.10
Apache MPM: prefork

2. mod_ruid2 설치.

mod_ruid2 프로젝트 홈페이지에서 다운로드 받고 압축을 해제한 후에 apxs 를 이용해서 다음과 같이 설치 해줍니다.

# mod_ruid2 다운로드
wget http://downloads.sourceforge.net/project/mod-ruid/mod_ruid2/mod_ruid2-0.9.8.tar.bz2?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fmod-ruid%2F&ts=1412085172&use_mirror=cznic
# 압축 해제
tar xvjf mod_ruid2-0.9.8.tar.bz2
# 디렉토리 변경
cd mod_ruid2-0.9.8
# 컴파일 설치 
/usr/local/apache2.4.10/bin/apxs -a -i -l cap -c mod_ruid2.c
/usr/local/apache2.4.10/build/libtool --silent --mode=link gcc -std=gnu99 -Wl,-z,relro,-z,now,-L/usr/lib64   -o mod_ruid2.la  -lcap -rpath /usr/local/apache2.4.10/modules -module -avoid-version    mod_ruid2.lo
/usr/local/apache2.4.10/build/instdso.sh SH_LIBTOOL='/usr/local/apache2.4.10/build/libtool' mod_ruid2.la /usr/local/apache2.4.10/modules
/usr/local/apache2.4.10/build/libtool --mode=install install mod_ruid2.la /usr/local/apache2.4.10/modules/
libtool: install: install .libs/mod_ruid2.so /usr/local/apache2.4.10/modules/mod_ruid2.so
libtool: install: install .libs/mod_ruid2.lai /usr/local/apache2.4.10/modules/mod_ruid2.la
libtool: install: install .libs/mod_ruid2.a /usr/local/apache2.4.10/modules/mod_ruid2.a
libtool: install: chmod 644 /usr/local/apache2.4.10/modules/mod_ruid2.a
libtool: install: ranlib /usr/local/apache2.4.10/modules/mod_ruid2.a
libtool: finish: PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin:/sbin" ldconfig -n /usr/local/apache2.4.10/modules
----------------------------------------------------------------------
Libraries have been installed in:
   /usr/local/apache2.4.10/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
   - add LIBDIR to the `LD_LIBRARY_PATH' environment variable
     during execution
   - add LIBDIR to the `LD_RUN_PATH' environment variable
     during linking
   - use the `-Wl,-rpath -Wl,LIBDIR' linker flag
   - have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------
chmod 755 /usr/local/apache2.4.10/modules/mod_ruid2.so
[activating module `ruid2' in /usr/local/apache2.4.10/conf/httpd.conf]

# mod_ruid2 다운로드

wget http://downloads.sourceforge.net/project/mod-ruid/mod_ruid2/mod_ruid2-0.9.8.tar.bz2?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fmod-ruid%2F&ts=1412085172&use_mirror=cznic

# 압축 해제

tar xvjf mod_ruid2-0.9.8.tar.bz2

# 디렉토리 변경

cd mod_ruid2-0.9.8

# 컴파일 설치

/usr/local/apache2.4.10/bin/apxs -a -i -l cap -c mod_ruid2.c

/usr/local/apache2.4.10/build/libtool --silent --mode=link gcc -std=gnu99 -Wl,-z,relro,-z,now,-L/usr/lib64 -o mod_ruid2.la -lcap -rpath /usr/local/apache2.4.10/modules -module -avoid-version mod_ruid2.lo

/usr/local/apache2.4.10/build/instdso.sh SH_LIBTOOL='/usr/local/apache2.4.10/build/libtool' mod_ruid2.la /usr/local/apache2.4.10/modules

/usr/local/apache2.4.10/build/libtool --mode=install install mod_ruid2.la /usr/local/apache2.4.10/modules/

libtool: install: install .libs/mod_ruid2.so /usr/local/apache2.4.10/modules/mod_ruid2.so

libtool: install: install .libs/mod_ruid2.lai /usr/local/apache2.4.10/modules/mod_ruid2.la

libtool: install: install .libs/mod_ruid2.a /usr/local/apache2.4.10/modules/mod_ruid2.a

libtool: install: chmod 644 /usr/local/apache2.4.10/modules/mod_ruid2.a

libtool: install: ranlib /usr/local/apache2.4.10/modules/mod_ruid2.a

libtool: finish: PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin:/sbin" ldconfig -n /usr/local/apache2.4.10/modules

----------------------------------------------------------------------

Libraries have been installed in:

/usr/local/apache2.4.10/modules

If you ever happen to want to link against installed libraries

in a given directory, LIBDIR, you must either use libtool, and

specify the full pathname of the library, or use the `-LLIBDIR'

flag during linking and do at least one of the following:

- add LIBDIR to the `LD_LIBRARY_PATH' environment variable

during execution

- add LIBDIR to the `LD_RUN_PATH' environment variable

during linking

- use the `-Wl,-rpath -Wl,LIBDIR' linker flag

- have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for

more information, such as the ld(1) and ld.so(8) manual pages.

----------------------------------------------------------------------

chmod 755 /usr/local/apache2.4.10/modules/mod_ruid2.so

[activating module `ruid2' in /usr/local/apache2.4.10/conf/httpd.conf]

모듈 파일이 설치되고 httpd.conf 파일에 이 모듈이 자동으로 활성화 됩니다.

3. mod_ruid2 설정

기본적으로 다음과 같이 사용을 하시면 됩니다.

<VirtualHost *:80>
........
........
    <IfModule mod_ruid2.c>
        RMode config
        RUidGid test test
    </IfModule>
</VirtualHost>

........

RMode config

RUidGid test test

</IfModule>

</VirtualHost>

4. 그러나, 아직은..

이 모듈은 프로세스의 소유권 변환을 해줌으로 보안성을 향상시키지만 다음과 같은 모듈과 호환성을 제공하지 않습니다. (함께 쓸수 없다는 이야기…)

mod_cache
mod_cache_disk
mod_cache_socache
MPM worker
MPM event

Apache 2.4.10 이후로 SSLSessionCache를 위해선 mod_cache_socache 의 의존성을 가지고 있기 때문에 mod_ruid2 를 사용한다면 SSL 제대로 동작하지 않을 가능성이 있습니다. (mod_cache_socache 는 과거의 mod_mem_cache 입니다.)

MPM event 일 경우에 이것이 동작하지 않는다는게 가장 큰 문제로 보입니다.

10/03/2014

Apache mod_deflate 설정

Apache 2.4 에서 mod_deflate 설정 에 대한 문서 입니다.

Apache 2.2 에비해서 Apache 2.4 에서의 설정이 새롭게 바뀌었습니다.

1. Requirement

Apache 2.4 에서 mod_deflate 를 사용하기 위해서는 다음과 같은 모듈들도 활성화되어야 합니다.

mod_setenvif : 환경변수를 정의한다.
mod_headers : HTTP 요청 헤더와 응답 헤더를 조절하고 수정하는 지시어를 제공한다.
mod_deflate : 서버의 출력을 네트웍으로 클라이언트에 보내기 전에 압축하는 기능 제공

위 모듈들이 Apache 2.4.10 에 활성화 되어 있어야 합니다.

2. 설정

mod_deflate 의 설정은 Apache 2.2 와 2.4 가 차이가 있습니다. 두 버전에 상관없이 설정할 수 있는 방법도 있는데, 이것은 아파치 문서에 나와 있는 방법이기도 합니다.

이미지를 제외한 모든 것을 압축

<Location />
# 필터를 추가한다
SetOutputFilter DEFLATE

# Netscape 4.x에 문제가 있다...
BrowserMatch ^Mozilla/4 gzip-only-text/html

# Netscape 4.06-4.08에 더 문제가 있다
BrowserMatch ^Mozilla/4\.0[678] no-gzip

# MSIE은 Netscape라고 자신을 알리지만, 문제가 없다
# BrowserMatch \bMSIE !no-gzip !gzip-only-text/html

# 주의: 아파치 2.0.48까지 mod_setenvif의 버그때문에
# 위의 정규표현식은 동작하지 않는다. 원하는 효과를
# 얻기위해 다음과 같이 수정하여 사용한다:
BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html

# 이미지를 압축하지 않는다
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png)$ no-gzip dont-vary

# 프록시가 잘못된 내용을 전달하지않도록 한다
Header append Vary User-Agent env=!dont-vary
</Location>

이미지를 제외한 모든 것을 압축

# 필터를 추가한다

SetOutputFilter DEFLATE

# Netscape 4.x에 문제가 있다...

BrowserMatch ^Mozilla/4 gzip-only-text/html

# Netscape 4.06-4.08에 더 문제가 있다

BrowserMatch ^Mozilla/4\.0[678] no-gzip

# MSIE은 Netscape라고 자신을 알리지만, 문제가 없다

# BrowserMatch \bMSIE !no-gzip !gzip-only-text/html

# 주의: 아파치 2.0.48까지 mod_setenvif의 버그때문에

# 위의 정규표현식은 동작하지 않는다. 원하는 효과를

# 얻기위해 다음과 같이 수정하여 사용한다:

BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html

# 이미지를 압축하지 않는다

SetEnvIfNoCase Request_URI \

\.(?:gif|jpe?g|png)$ no-gzip dont-vary

# 프록시가 잘못된 내용을 전달하지않도록 한다

Header append Vary User-Agent env=!dont-vary

</Location>

그런데, Apache 2.4 의 Fileter 모듈을 적용해서 특정한 컨텐츠타입에만 Deflate 를 적용하면 다음과 같습니다.

<ifmodule filter_module>
        # HTML, TXT, CSS, JavaScript, JSON, XML, HTC:
        FilterDeclare   COMPRESS
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$text/html'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$text/css'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$text/plain'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$text/xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$text/x-component'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/javascript'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/json'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/xhtml+xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/rss+xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/atom+xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/vnd.ms-fontobject'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$image/svg+xml'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$image/x-icon'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$application/x-font-ttf'"
        FilterProvider  COMPRESS  DEFLATE "%{CONTENT_TYPE} = '$font/opentype'"
        FilterChain     COMPRESS
        FilterProtocol  COMPRESS  DEFLATE change=yes;byteranges=no
</ifmodule>
<ifmodule !filter_module>
        # Legacy versions of Apache
        AddOutputFilterByType DEFLATE text/html text/plain text/css application/json
        AddOutputFilterByType DEFLATE application/javascript
        AddOutputFilterByType DEFLATE text/xml application/xml text/x-component
        AddOutputFilterByType DEFLATE application/xhtml+xml application/rss+xml application/atom+xml
        AddOutputFilterByType DEFLATE image/x-icon image/svg+xml application/vnd.ms-fontobject application/x-font-ttf font/opentype
</ifmodule>

# HTML, TXT, CSS, JavaScript, JSON, XML, HTC:

FilterDeclare COMPRESS

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$text/html'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$text/css'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$text/plain'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$text/xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$text/x-component'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/javascript'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/json'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/xhtml+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/rss+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/atom+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/vnd.ms-fontobject'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$image/svg+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$image/x-icon'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$application/x-font-ttf'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = '$font/opentype'"

FilterChain COMPRESS

FilterProtocol COMPRESS DEFLATE change=yes;byteranges=no

</ifmodule>

# Legacy versions of Apache

AddOutputFilterByType DEFLATE text/html text/plain text/css application/json

AddOutputFilterByType DEFLATE application/javascript

AddOutputFilterByType DEFLATE text/xml application/xml text/x-component

AddOutputFilterByType DEFLATE application/xhtml+xml application/rss+xml application/atom+xml

AddOutputFilterByType DEFLATE image/x-icon image/svg+xml application/vnd.ms-fontobject application/x-font-ttf font/opentype

</ifmodule>

deflate 를 사용하는데 따라 클라이언트에게 압축된 컨텐츠라는 걸 알려주기 위해서 헤더값을 다음과 같이 조작해 줍니다.

<IfModule setenvif_module> 
        <IfModule headers_module> 
                SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding 
                RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding 
        </IfModule>
</IfModule>

SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding

RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding

</IfModule>

이것을 종합하면 다음과 같습니다.

<IfModule deflate_module> 
        <IfModule setenvif_module>
                <IfModule headers_module>
                        SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding
                        RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding
                </IfModule>
        </IfModule>

        <IfModule filter_module> 
                # HTML, TXT, CSS, JavaScript, JSON, XML, HTC 
                FilterDeclare  COMPRESS 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/html'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/css'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/plain'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/x-component'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/javascript'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/json'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/xhtml+xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/rss+xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/atom+xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/vnd.ms-fontobject'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'image/svg+xml'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'image/x-icon'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/x-font-ttf'" 
                FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'font/opentype'" 
                FilterChain    COMPRESS 
                FilterProtocol COMPRESS DEFLATE change=yes;byteranges=no
        </IfModule>

        <IfModule !filter_module> 
                # Legacy versions of Apache 
                AddOutputFilterByType DEFLATE text/html text/plain text/css application/json 
                AddOutputFilterByType DEFLATE application/javascript 
                AddOutputFilterByType DEFLATE text/xml application/xml text/x-component 
                AddOutputFilterByType DEFLATE application/xhtml+xml application/rss+xml application/atom+xml 
                AddOutputFilterByType DEFLATE image/svg+xml application/vnd.ms-fontobject application/x-font-ttf font/opentype
        </IfModule>
</IfModule>

SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding

RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding

</IfModule>

# HTML, TXT, CSS, JavaScript, JSON, XML, HTC

FilterDeclare COMPRESS

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/html'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/css'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/plain'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'text/x-component'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/javascript'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/json'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/xhtml+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/rss+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/atom+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/vnd.ms-fontobject'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'image/svg+xml'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'image/x-icon'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'application/x-font-ttf'"

FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} = 'font/opentype'"

FilterChain COMPRESS

FilterProtocol COMPRESS DEFLATE change=yes;byteranges=no

</IfModule>

# Legacy versions of Apache

AddOutputFilterByType DEFLATE text/html text/plain text/css application/json

AddOutputFilterByType DEFLATE application/javascript

AddOutputFilterByType DEFLATE text/xml application/xml text/x-component

AddOutputFilterByType DEFLATE application/xhtml+xml application/rss+xml application/atom+xml

AddOutputFilterByType DEFLATE image/svg+xml application/vnd.ms-fontobject application/x-font-ttf font/opentype

</IfModule>

09/30/2014

Apache 설정

Apache 설정이 필요 합니다. 그대로 쓰더라도 아무 문제가 없기는 하지만 아주 조금만 설정을 해주면 보안도 높아지고 성능도 좋아집니다.

이 문서의 내용은 Apache 2.4.10 기준으로 작성 되었습니다.

1. Default Character Set

아파치의 기본 문자셋을 지정해 줍니다.

# Specify a Default Charset
AddDefaultCharset utf-8

1 2	# Specify a Default Charset AddDefaultCharset utf-8

2. Server Signature

서버의 자세한 정보를 숨깁니다. 이는 컴파일 설치를 했다면 conf/extra/httpd-default.conf 파일에 정의되어 있으며 httpd.conf 에서 extra/httpd-default.conf 파일을 Include 해주면 활성화됩니다.

ServerSignature Off
ServerTokens Prod

1 2	ServerSignature Off ServerTokens Prod

3. 디렉토리 리스팅 비활성화

컴파일 설치를 했다면 httpd.conf 파일에서 extra/httpd-autoindex.html 파일을 활성화 하지 않습니다. 그리고 다음과 같이 디렉토리 리스팅을 비활성화 해줍니다.

<IfModule mod_autoindex>
	Options -Indexes
</IfModule>

Options -Indexes

</IfModule>

4. backup 파일이나 source 파일 접근 금지

<FilesMatch "(\.(bak|config|conf|sql|fla|ini|log|sh|inc|swp|dist)|~)$">
	Order allow,deny
	Deny from all
	Satisfy All
</FilesMatch>

Order allow,deny

Deny from all

Satisfy All

</FilesMatch>

09/23/2014

Apache 2.4 새로운 기능

이 문서는 Apache 2.4 새로운 기능에 대해 기술한 문서 입니다.

1. 개요

Apache 2.2 는 2005년 후반기에 발표되고 지금까지 큰 버전의 변화가 없이 사용되고 있습니다. 그러다 최근 고용량의 정적 파일 및 큰 규모의 싸이트가 많아짐에 따라서 대량 접속에도 적은 리소스를 사용하면서 빠르게 서비스 할 수 있는 웹서버가 절실해졌습니다. 이에 러시아에 한 업체가 자사 싸이트 운영을 위해서 웹 서버를 제작했고 이것을 공개했는데 그것이 바로 Nginx 입니다. Nginx 의 빠른 응답속도와 적은 리소스 사용은 그동안 Apache 서버에 답답해했던 많은 사용자들을 붙 잡았으며 현재 Nginx 의 시장점유율은 날이 갈수록 높아지는 추세 입니다.

이에 Apache 재단에서도 빠른 응답속도와 적은 리소스등 기존의 Apache 에 큰 변화를 주어야겠다고 생각했는지 거의 7년이 다 되어가던 2012년 2월달즘에 Apache 2.4를 릴리즈 합니다. Apache 2.4는 기존 Apache 2.2와 비교했을때에 프로세스 모델에 있어서 큰 변화를 준 만큼 웹서버 시장에서, 더군다나 Nginx 와의 경쟁이 더욱 치열해질 것으로 전망 됩니다.

2.새로운 기능

먼저, Apache 2.4의 새로운 기능에 대해서 정리해 보겠습니다.

(Run-time) Loadable MPMs

Multi MPMs는 이제 컴파일 타임에 Loadable 모듈로 빌트 인 될수 있습니다. Multi-Processing Modules (MPMs) 네트워크 포트를 바인등(Binding)하고 클라이언트로부터 요청을 받고 자식 혹은 쓰레드에 핸들링(Handling) 요청을 보냅니다. Apache 2.2까지는 이것을 정적 컴파일(static compile) 해야만 했습니다. 이는 Apache 를 컴파일 설치할때에 결정되어지는 것으로 이를 사용하지 않거나 사용하기 위해서는 컴파일 시에 결정을 해야 했습니다. 하지만 Apache 2.4 에서는 이를 실행 타임(Run-time)에서 결정할 수 있도록 ‘Loadable Module’ 로 기능을 제공합니다. 컴파일 설치시에 하게되는 Configuration 에서 ‘–enable-mpms-shared’ 를 사용하면 됩니다.

Event MPM

Nginx 는 ‘Event Driven’ 방식의 웹 서버로 유명합니다. 하지만 Apache 는 그동안에 ‘Event Driven’ 방식을 지원하지 않았습니다. 대신 한개의 동접 클라이언트당 한개의 쓰레드 (혹은 프로세스) 구조였고 이 때문에 한 클라이언트가 맺은 접속이 완전히 끝나지 않는한 쓰레드 혹은 프로세스가 죽지않는 방법을 사용했습니다. 이는 ‘Keep Alive’ 설정으로 존재합니다. 하지만 이 ‘Keep Alive’ 때문에 대량접속에서는 효율이 급격하게 떨어지는 문제점도 안고 있었습니다.

‘Event MPM’은 이러한 문제를 해결할 수 있습니다. ‘Event MPM’을 사용하기 위해서는 Kqueue 나 Epoll 과 호환되는 시스템이 필요합니다.

Asynchronous support

비동기 읽고/쓰기에 대한 기능을 지원합니다. (따로 설정하거나 하는건 없고 내부 구조적으로 저런걸 지원한다는 모양입니다.)

NameVirtualHost Deprecated

Apache 2.4 에서는 NameVirtualHost 가 앞으로 사용되지 않는 옵션으로 변경되었습니다. 가까운 미래에 이 옵션을 사라질 것입니다.

Config file variables

Apache 2.4 에서는 설정 파일 내에서 변수를 사용할 수 있게 되었습니다. 사용법은 다음과 같습니다.

Define servername www.example.com
 
DocumentRoot /var/www/${servername}/htdocs

Define servername www.example.com

DocumentRoot /var/www/${servername}/htdocs

‘Define’ 을 이용해서 변수를 정의하면 설정 파일내에서 얼마든지 반복해서 사용할 수 있습니다.

Per-module and per-directory LogLevel configuration

모듈에 대한 LogLevel 과 각 디렉토리별 LogLevel 를 지정할 수 있게 되었습니다. 모듈에 대한 LogLevel 지정은 다음과 같습니다.

LogLevel info ssl:warn
LogLevel info mod_ssl.c:warn
LogLevel info ssl_module:warn

LogLevel info ssl:warn

LogLevel info mod_ssl.c:warn

LogLevel info ssl_module:warn

각 디렉토리별 LogLevel 은 다음과 같습니다.

LogLevel info
<Directory "/usr/local/apache/htdocs/app">
  LogLevel debug
</Directory>

LogLevel info

LogLevel debug

</Directory>

그리고 debug 위로 새로운 LogLevel 인 trace1 ~ trace8 이 추가되었습니다.

Access Control

Apache 의 접근 제어는 아이피 기반, 호스트 기반, 클라이언트 요청에 대한 특이한 것들에 대해서 ‘Order’, ‘Allow’, ‘Deny’, ‘Satisfy’ 를 이용해서 했었습니다. 하지만 Apache 2.4 로 넘어오면서 인증관련 메커니즘이 조금 바뀌면서 이를 수행하는 모듈, ‘mod_authz_host’가 새롭게 만들어졌습니다. Apache 2.2 와 Apache 2.4를 비교해 예제를 보겠습니다.

모든 요청을 거부

#2.2 configuration:
Order deny,allow
Deny from all
 
#2.4 configuration:
Require all denied

#2.2 configuration:

Order deny,allow

Deny from all

#2.4 configuration:

Require all denied

모든 요청을 허용

#2.2 configuration:
Order allow,deny
Allow from all
 
#2.4 configuration:
Require all granted

#2.2 configuration:

Order allow,deny

Allow from all

#2.4 configuration:

Require all granted

example.org 는 허용 나머진 모두 거부

#2.2 configuration:
Order Deny,Allow
Deny from all
Allow from example.org
 
#2.4 configuration:
Require host example.org
Require host .net example.edu

#2.2 configuration:

Order Deny,Allow

Deny from all

Allow from example.org

#2.4 configuration:

Require host example.org

Require host .net example.edu

여기서 주의할 점은 ‘foo.example.org’ 를 ‘example.org’ 로 적는다고 해서 접근제한을 걸수 없다는 겁니다. ‘end in’ (위 예제의 .net 과 같이) 은 적용이 되지만 도메인의 일부부만을 매칭해서 전체가 적용되도록 할 수는 없습니다.

Require IP 클라이언트의 IP를 체크해서 맞으면 접속을 허용합니다.

# A full IP address
Require ip 10.1.2.3
Require ip 192.168.1.104 192.168.1.205
 
# A partial IP address
Require ip 10.1
Require ip 10 172.20 192.168.2
 
# A network/netmask pair
Require ip 10.1.0.0/255.255.0.0
 
# A network/nnn CIDR specification
Require ip 10.1.0.0/16

# A full IP address

Require ip 10.1.2.3

Require ip 192.168.1.104 192.168.1.205

# A partial IP address

Require ip 10.1

Require ip 10 172.20 192.168.2

# A network/netmask pair

Require ip 10.1.0.0/255.255.0.0

# A network/nnn CIDR specification

Require ip 10.1.0.0/16

변경된 이름들

Apache 2.4 로 넘어오면서 변경된 이름들이 존재합니다. 다음과 같습니다.

mod_disk_cache -> mod_cache_disk
MaxClients -> MaxRequestWorkers
MaxRequestsPerChild -> MaxConnectionsPerChild

기타 변경된 것들

이외에도 변경된 사항들이 있는데 다음과 같습니다.

AllowOverride 의 기본값은 None 이다.
EnableSendfile 의 기본값은 Off 이다.
KeepAlive 는 오직 On 이나 Off 두개의 값만 가질 수 있다. 예전에는 Off나 0 이 아닌값이면 On 이였다.
AcceptMutex, LockFile, RewriteLock, SSLMutex, SSLStaplingMutex, WatchdogMutexPath 디렉티브는 단일 Mutex 디렉티브로 교체되었다.
mod_reqtimeout: 만약 이 모듈을 사용한다면 기본값이 자동으로 세팅 된다.
mod_autoindex: 이전에 무시됬던, .xhtml 파일의 타이틀을 추출하고 설명을 표시할 수 있게됐다.
NameVritualHost 디렉티브는 더 이상 어떤 영향도 없으며 대신 경고를 보여줄 것이다. 어떤 주소/포트를 조합해 가상호스트를 표시하는 것은 네임기반 가상 호스트처럼 묵시적으로 다루어진다.
mod_deflate: 압축으로 인해서 데이터보다 압축한 것이 더 커지는, 크기 오버헤드가 있다는걸 알게된다면 압축을 건너뛴다.
RewriteLog, RewriteLogLevel 디렉티브는 제거되었다. 이 기능은 이제 mod_rewrite 모듈의 LogLevel 디렉티브의 적절한 로깅 레벨을 설정하는 것으로 대체되었다. 보다 자세한 사항은 mode_rewrite_logging 섹션을 참조.