Thinknote

jhshin@thinknote.co.kr

[태그:] centos

  • firewall(방화벽) 설정

    firewall(방화벽) 설정

    1. firewall(방화벽) 이해 및 업데이트

    firewalld은 centos 운영체제에서 기본으로 제공되는 방화벽 관리 도구다. firewalld는 IPv4 및 IPv6 네트워크를 모두 지원하며 프로필 영역에서 정의된 대로 작동하며 신뢰도가 높다.

    • block : 시스템 내에서 시작된 네트워크만 연결하고 그 외의 모든 연결은 거부
    • dmz : 허용된 port의 연결만 허용하며 들어오는 포트에 대한 연결을 제공
    • drop: 들어오는 모든 연결은 차단하며 나가는 네트워크 연결만 허용
    • public: 네트워크 내의 다른 서버나 컴퓨터는 신뢰하지 않으며 필요한 포트와 서비스만 허용
    • trusted: 모든 영역에 대해서 연결 허용
    • home: 로컬 네트워크의 신뢰하는 PC와 연결하며 선택된 TCP/IP 포트만 허용

    friewall을 사용해서 트래픽을 허용하거나 차단할 수 있다. Centos 8 에서는 동적인 인터페이스와 함께 사용자 정의 기반의 방화벽이 함께 제공된다.

    firewall은 시스템과 외부 소스 사이에 장벽을 형성하여 외부에서 발생한 피해가 확산하여 소중한 내부 데이터를 손상시키지 못하도록 차단한다. 그래서 방화벽은 반드시 사용해야 하며 서비스가 잘 안된다 하여 중지하면 안된다.

    1. Centos 8 의 모든 영역 확인
    sudo firewall-cmd --get-zones
    centos firewall

    Read in English

    2. firewall(방화벽) 버전 확인
    sudo firewall-cmd --version
    centos firewall

    firewall(방화벽) 설정

    1. firewall(방화벽) 상태 확인
    sudo systemctl status firewall
    3. firewall(방화벽) 시작
    sudo systemctl start firewall
    4. firewall(방화벽) 중지
    sudo systemctl stop firewall
    5. firewall(방화벽) 재시작
    sudo systemctl restart firewall
    6. firewall(방화벽) 서비스 등록
    sudo systemctl enable firewall
    7. firewall(방화벽) 서비스 비활성화
    sudo systemctl disable firewall
    8. firewall(방화벽) 갱신
    sudo firewall-cmd --reload
    9. firewall(방화벽) 설정 파일
    /etc/firewalld/firewalld.conf

    firewall 방화벽 port 설정

    * firewall(방화벽) 목록 확인
    sudo firewall-cmd --list-all
    * 사용되는 서비스 확인
    sudo firewall-cmd --list-services

    OR

    sudo firewall-cmd --list-services --zone=public
    *centos 8 cockpit 제거(리눅스 관리자 tool – cockpit 활성화)
    sudo firewall-cmd --remove-service=cockpit --permanent
    * dhcpv6 클라이언트 서비스 제거
    sudo firewall-cmd --remove-service=dhcpv6-client --permanent
    * firewall(방화벽)에서 지원하는 서비스 목록

    port를 직접 지정해도 되지만 서비스 명을 활용해서 운용할 수 있다.

    sudo firewall-cmd --get-services
sudo firewall-cmd --get-services | grep [찾을 서비스명 : http or mysql]

    서비스의 포트 정보는 아래 링크의 xml 파일을 통해 확인할 수 있다.

    sudo ls -l /usr/lib/firewalld/services/
sudo cat /usr/lib/firewalld/services/ssh.xml
    * firewall(방화벽) 서비스 및 포트 추가(예 : http port)

    다음은 public zone에 http 포트를 영구히 추가하는 명령어다. 뒤에 –permanent를 삭제하고 입력하면 일시적으로 추가되며 재부팅 후 사라진다. 서비스 및 port를 등록하면 reload를 반드시 해준다.

    sudo firewall-cmd --zone=public --add-service=http --permanent

    OR

    sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
    centos firewall
    sudo firewall-cmd --reload
    * firewall(방화벽) 서비스 및 포트 삭제(예 : http port)

    다음은 public zone에 http 포트를 영구히 삭제하는 명령어다. 뒤에 –permanent를 삭제하고 입력하면 일시적으로 삭제되며 재부팅 후 유지된다. 서비스 및 port를 삭제하면 reload를 반드시 해준다.

    sudo firewall-cmd --zone=public --remove-service=http --permanent

    OR

    sudo firewall-cmd --zone=public --remove-port=80/tcp --permanent
    centos firewall
    sudo firewall-cmd --reload

    firewall은 git을 통해 업데이트 할 수 있다. https://firewalld.org/

    함께 읽으면 좋은 글

  • Nginx 웹 서버 설치(Centos 8)

    Nginx 웹 서버 설치(Centos 8)

    1. 리눅스 Nginx 웹 서버 vs apache 웹 서버

    리눅스에서 설치되는 웹 서버는 Nginx 웹 서버와 apache 웹 서버로 나눠지며 다음과 같은 차이점을 갖고 있다.

    • 아파치는 오픈 소스 HTTP 서버인 반면 Nginx는 오픈 소스, 고성능 비동기 웹 서버 및 역방향 프록시 서버이다.
    • 아파치 HTTP 서버의 개발 및 발전은 전 세계 사용자 커뮤니티(Apache Software Foundation)에서 관리 및 유지되지만 Nginx는 2011년에 설립된 동일한 이름의 회사에서 유지 및 관리 된다.
    • Apache는 클라이언트 요청 및 웹 트래픽을 처리하는 다양한 다중 처리 모듈을 제공하지만 Nginx는 최소한의 하드웨어 리소스로 여러 클라이언트 요청을 동시에 처리하도록 설계되었다.
    • 아파치에서 단일 스레드는 하나의 연결과 연결되지만 Nginx의 단일 스레드는 여러 연결을 처리할 수 있다. 이 프로세스는 메모리를 적게 소모하여 성능이 향상시킨다.
    • 아파치 HTTP Server에는 확장성이 없는 다중 스레드 아키텍처지만 Nginx는 여러 클라이언트 요청을 처리하기 위한 비동기 이벤트 기반 접근 방식을 따마란다.
    • 아파치 서버는 기존의 메서드를 사용하여 정적 콘텐츠를 제공하고 웹 서버 자체 내에서 기본적으로 동적 콘텐츠를 처리한다. 반면 Nginx는 동적 콘텐츠를 내부적으로 처리할 수 없고 위해 외부 프로세스에 의존합니다.

    즉, 보안 및 안정성 측면에서는 apache가 효율 및 속도 측면에서는 nginx가 상대적 장점을 갖고 있다. Centos 8 RHEL & REMI Repository 활성화를 진행하고 설치한다.

    2. nginx 웹 서버 설치

    1) 업데이트

    sudo dnf update

    2) nginx 검색 및 버전 확인 

    sudo dnf list install nginx
    nginx 웹 서버

    Read in English

    3) nginx 설치 

    sudo dnf install -y nginx.x86_64
    nginx 웹 서버

    4) nginx 상태 확인

    sudo systemctl status nginx
    nginx 웹 서버

    5) nginx 시작

    Ctrl+c 키를 눌러 빠져 나온 후 nginx를 시작한다.

    sudo systemctl start nginx
    nginx 웹 서버

    부팅시 자동 실행 되도록 enable 시켜준다. 다음 명령어를 실행하지 않으면 부팅시 running 상태가 아닌 dead 상태로 구동된다.

    sudo systemctl enable nginx

    3. firewall 방화벽 설정

    1) 방화벽 상태 확인

    sudo firewall-cmd --state

    2) firewall 목록 확인

    sudo firewall-cmd --zone=public --list-all
    nginx 웹 서버

    3) http(80) 포트 추가

    sudo firewall-cmd --permanent --zone=public --add-port=80/tcp

    4) 방화벽 갱신

    sudo firewall-cmd --reload

    다음 명령어로 확인하면 ports의 80/tcp 항목이 추가된 걸 확인할 수 있다.

    sudo firewall-cmd --state
    nginx 웹 서버

    만약 포트를 삭제하려 한다면 다음 명령어를 활용해서 열린 port를 삭제할 수 잇다.

    firewall-cmd --permanent --zone=public --remove-port=80/tcp

    5) 웹 접속 확인

    웹 브라우져에서 ip주소를 입력해서 다음과 같은 화면이 나오면 된다.

    nginx 웹 서버

    웹 브라우저에서 에러가 나온다면 nginx의 status를 확인해서 정상적으로 작동되는 지를 확인한다. 그 다음 방화벽이 작동하고 있으며 80번 port가 열려 있는지를 확인한다.

    함께 읽으면 좋은 글

환영합니다!

서비스 이용을 위해 로그인해주세요.