[태그:] ubuntu

Ubuntu 설치, 서버 설정, 방화벽, SSH, Nginx, PHP, 데이터베이스 구축 등 리눅스 실습 글을 모았습니다. 서버 운영 기초를 확인할 수 있습니다.

Nextcloud 설치 및 셋팅

1. 사전 준비

아래의 설치 과정은 ubuntu 22 환경에서 진행되는 절차입니다. 사전 준비가 필요하면 아래 단계를 참고해주세요

2. 설치형 클라우드 Nextcloud 이해

Nextcloud는 개인 및 기업용 클라우드 저장소 및 협업 플랫폼입니다. Nextcloud는 2016년 Frank Karlitschek이 ownCloud 프로젝트를 떠나 개발한 오픈 소스 소프트웨어로 ownCloud의 커뮤니티 구성원들이 Nextcloud를 만들기 위해 모여 개발을 시작하였습니다.

1) Nextcloud 특징

Nextcloud는 개인 및 기업에서 안전하고 효율적인 클라우드 저장소 및 협업 도구로 많이 사용되고 있습니다.

파일 동기화 및 공유: Nextcloud를 사용하면 여러 디바이스 간에 파일을 동기화하고 공유할 수 있습니다.
보안: Nextcloud는 데이터 암호화, 2단계 인증 등 다양한 보안 기능을 제공하여 사용자의 데이터 보호를 강화합니다.
협업 도구: 문서 편집, 캘린더, 주소록 등과 같은 협업 도구를 포함하여 다양한 작업을 팀원들과 함께 수행할 수 있습니다.
앱 생태계: 다양한 앱과 확장 기능을 제공하여 사용자의 요구에 맞게 Nextcloud를 확장할 수 있습니다.
자체 호스팅: Nextcloud는 온프레미스나 클라우드에서 사용할 수 있으며, 사용자는 자신만의 서버를 운영하여 데이터를 관리할 수 있습니다.

2) 장점

개인정보 보호: Nextcloud는 사용자가 직접 데이터를 관리할 수 있으므로 개인정보 보호에 용이합니다.
확장성: 다양한 앱과 확장 기능을 통해 사용자의 요구에 맞게 Nextcloud를 확장할 수 있습니다.
협업 기능: 문서 편집, 캘린더 등 다양한 협업 도구를 제공하여 팀원들과 함께 작업하기 용이합니다.

3) 단점

기술적 지식 필요: 서버 설정 및 유지보수에 대한 기술적인 이해가 필요합니다.
초기 설정 복잡성: 처음에 Nextcloud를 설정하는 과정은 다소 복잡할 수 있습니다.

4) 시스템 요구사항

플랫폼	옵션
운영 체제 (64비트)	Ubuntu 22.04 LTS(권장) 우분투 20.04 LTS Red Hat Enterprise Linux 8(권장) 데비안 12 리눅스 엔터프라이즈 서버 15 openSUSE Leap 15.4 CentOS 스트림
데이터베이스	MySQL 8.0+ 또는 MariaDB 10.3/10.4/10.5/10.6(권장) Oracle Database 11g(엔터프라이즈 구독의 일부로만 해당)) PostgreSQL 10/11/12/13/14/15 SQLite(테스트 및 최소 인스턴스에만 권장됨))
웹서버	Apache 2.4 및 or (권장) `mod_phpphp-fpm` nginx `php-fpm`
PHP 런타임	8.0(더 이상 사용되지 않음)) 8.1 8.2(권장)

3) 하드웨어 요구사항

프로세서: 1GHz 이상의 듀얼 코어 프로세서
메모리: 최소 512MB RAM (추천: 2GB 이상)
저장 공간: 최소 10GB 이상의 여유 공간
네트워크: 인터넷 연결을 위한 네트워크 인터페이스

2. Nextcloud 설치

nextcloud 설치는 all-in-one VM, all-in-one Docker, 웹 인스톨러 설치 등의 방법이 있습니다. 여기서는 웹 인스톨러를 사용해서 설치를 진행하겠습니다.

1) 폴더 생성 및 설치 파일 다운로드

nextcloud를 설치할 폴더를 생성합니다. 하위에 웹 로그를 저장할 logs 폴더와 nextcloud 를 설치할 public 폴더를 생성합니다.

sudo mkdir  /var/www/nc.skdream.com
sudo mkdir  /var/www/nc.skdream.com/logs
sudo mkdir  /var/www/nc.skdream.com/public

public 폴더에 설치 파일을 다운로드 합니다. https://download.nextcloud.com/server/installer/setup-nextcloud.php

cd /var/www/nc.skdream.com/public
sudo wget https://download.nextcloud.com/server/installer/setup-nextcloud.php

public 폴더 사용자를 www-data로 변경합니다.

sudo chown -R www-data:www-data /var/www/nc.skdream.com/public

2) Nginx의 서버 블럭 생성

도메인 연결을 위한 서버 블럭 파일을 생성합니다.

sudo nano /etc/nginx/sites-available/nc.skdream.com

아래 코드를 붙여넣고 도메인 부분을 자신의 도메인으로 변경합니다.

upstream php-handler {
        server unix:/var/run/php/php8.2-fpm.sock;

}
# Set the `immutable` cache control options only for assets with a cache busting `v` argument
map $arg_v $asset_immutable {
        "" "";
        default "immutable";
}
server {
        listen 443 ssl http2;
        listen [::]:443 ssl http2;

        server_name example.com;

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
        ssl_dhparam /etc/ssl/certs/dhparam.pem;

        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256;
        ssl_ecdh_curve secp384r1;
        ssl_session_timeout 10m;
        ssl_session_cache shared:SSL:10m;
        ssl_session_tickets off;
        ssl_stapling on;
        ssl_stapling_verify on;
        resolver 1.1.1.1 1.0.0.1 valid=300s;
        resolver_timeout 5s;

        access_log /var/www/nc.skdream.com/logs/access.log;
        error_log /var/www/nc.skdream.com/logs/error.log;

        root /var/www/nc.skdream.com/public/;
        #index index.php index.html;

        #Nextcloud
        # Prevent nginx HTTP Server Detection
        server_tokens off;

        # HSTS settings
        # WARNING: Only add the preload option once you read about
        # the consequences in https://hstspreload.org/. This option
        # will add the domain to a hardcoded list that is shipped
        # in all major browsers and getting removed from this list
        # could take several months.
        add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload" always;

        # set max upload size and increase upload timeout:
        client_max_body_size 512M;
        client_body_timeout 300s;
        fastcgi_buffers 64 4K;

        # Enable gzip but do not remove ETag headers
        gzip on;
        gzip_vary on;
        gzip_comp_level 4;
        gzip_min_length 256;
        gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
        gzip_types application/atom+xml text/javascript application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/wasm application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;

        # Pagespeed is not supported by Nextcloud, so if your server is built
        # with the `ngx_pagespeed` module, uncomment this line to disable it.
        #pagespeed off;

        # The settings allows you to optimize the HTTP2 bandwitdth.
        # See https://blog.cloudflare.com/delivering-http-2-upload-speed-improvements/
        # for tunning hints
        client_body_buffer_size 512k;

        # HTTP response headers borrowed from Nextcloud `.htaccess`
        add_header Referrer-Policy                   "no-referrer"       always;
        add_header X-Content-Type-Options            "nosniff"           always;
        #add_header X-Download-Options                "noopen"            always;
        add_header X-Frame-Options                   "SAMEORIGIN"        always;
        add_header X-Permitted-Cross-Domain-Policies "none"              always;
        add_header X-Robots-Tag                      "noindex, nofollow" always;
        add_header X-XSS-Protection                  "1; mode=block"     always;

        # Remove X-Powered-By, which is an information leak
        fastcgi_hide_header X-Powered-By;

        # Add .mjs as a file extension for javascript
        # Either include it in the default mime.types list
        # or include you can include that list explicitly and add the file extension
        # only for Nextcloud like below:
        include mime.types;

        # Specify how to handle directories -- specifying `/index.php$request_uri`
        # here as the fallback means that Nginx always exhibits the desired behaviour
        # when a client requests a path that corresponds to a directory that exists
        # on the server. In particular, if that directory contains an index.php file,
        # that file is correctly served; if it doesn't, then the request is passed to
        # the front-end controller. This consistent behaviour means that we don't need
        # to specify custom rules for certain paths (e.g. images and other assets,
        # `/updater`, `/ocs-provider`), and thus
        # `try_files $uri $uri/ /index.php$request_uri`
        # always provides the desired behaviour.
        index index.php index.html /index.php$request_uri;
        #types {
        #        text/javascript js mjs;
        #}
        # Rule borrowed from `.htaccess` to handle Microsoft DAV clients
        location = / {
                if ( $http_user_agent ~ ^DavClnt ) {
                        return 302 /remote.php/webdav/$is_args$args;
                }
        }

        location = /robots.txt {
                allow all;
                log_not_found off;
                access_log off;
        }


        # Make a regex exception for `/.well-known` so that clients can still
        # access it despite the existence of the regex rule
        # `location ~ /(\.|autotest|...)` which would otherwise handle requests
        # for `/.well-known`.
        location ^~ /.well-known {
                # The rules in this block are an adaptation of the rules
                # in `.htaccess` that concern `/.well-known`.

                location = /.well-known/carddav { return 301 /remote.php/dav/; }
                location = /.well-known/caldav  { return 301 /remote.php/dav/; }

                location /.well-known/acme-challenge    { try_files $uri $uri/ =404; }
                location /.well-known/pki-validation    { try_files $uri $uri/ =404; }

                # Let Nextcloud's API for `/.well-known` URIs handle all other
                # requests by passing them to the front-end controller.
                return 301 /index.php$request_uri;
        }


        # Rules borrowed from `.htaccess` to hide certain paths from clients
        location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)(?:$|/)  { return 404; }
        location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console)                { return 404; }

        # Ensure this block, which passes PHP files to the PHP process, is above the blocks
        # which handle static assets (as seen below). If this block is not declared first,
        # then Nginx will encounter an infinite rewriting loop when it prepends `/index.php`
        # to the URI, resulting in a HTTP 500 error response.

        # to the URI, resulting in a HTTP 500 error response.
        location ~ \.php(?:$|/) {
                # Required for legacy support
                rewrite ^/(?!index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|ocs-provider\/.+|.+\/richdocumentscode\/proxy) /index.php$request_uri;

                fastcgi_split_path_info ^(.+?\.php)(/.*)$;
                set $path_info $fastcgi_path_info;

                try_files $fastcgi_script_name =404;

                include fastcgi_params;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                fastcgi_param PATH_INFO $path_info;
                fastcgi_param HTTPS on;

                fastcgi_param modHeadersAvailable true;         # Avoid sending the security headers twice
                fastcgi_param front_controller_active true;     # Enable pretty urls
                fastcgi_pass php-handler;

                fastcgi_intercept_errors on;
                fastcgi_request_buffering off;

                fastcgi_max_temp_file_size 0;
        }
        # Javascript mimetype fixes for nginx
        # Note: The block below should be removed, and the js|mjs section should be
        # added to the block below this one. This is a temporary fix until Nginx 
        # upstream fixes the js mime-type
        location ~* \.(?:js|mjs)$ {
            types { 
                text/javascript js mjs;
            } 
            default_type "text/javascript";
            try_files $uri /index.php$request_uri;
            add_header Cache-Control "public, max-age=15778463, $asset_immutable";
            access_log off;
        }

        # Serve static files
        location ~ \.(?:css|svg|gif|png|jpg|ico|wasm|tflite|map|ogg|flac)$ {
            try_files $uri /index.php$request_uri;
            add_header Cache-Control "public, max-age=15778463, $asset_immutable";
            access_log off;     # Optional: Don't log access to assets

            location ~ \.wasm$ {
                default_type application/wasm;
            }
        }
        location ~ \.woff2?$ {
                try_files $uri /index.php$request_uri;
                expires 7d;         # Cache-Control policy borrowed from `.htaccess`
                access_log off;     # Optional: Don't log access to assets
        }

        # Rule borrowed from `.htaccess`
        location /remote {
                return 301 /remote.php$request_uri;
        }

        location / {
                try_files $uri $uri/ /index.php$request_uri;
        }


}

server {
        listen 80;
        listen [::]:80;

        server_name example.com;
        # Prevent nginx HTTP Server Detection
        server_tokens off;

        return 301 https://example.com$request_uri;
}

심볼릭 링크를 설정하고 nginxt를 재시작합니다.

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/
sudo systemctl restart nginx

3) DB 생성 및 권한 부여

아래 명령어로 MariaDB에 접속합니다.

mysql -u root -p

MariaDB를 설치하지 않았다면 다음 글을 참고하세요 MariaDB 설치 및 관리(MySQL) – Thinknote

Nextcloud에 사용할 데이터베이스를 생성합니다.

CREATE DATABASE nextcloud;

새로운 사용자를 생성합니다. 기존 사용자를 연결하려면 생략해도 됩니다.

CREATE USER '[사용자 이름]'@'localhost' IDENTIFIED BY '[비밀번호]';

생성한 사용자에게 새로운 데이터베이스의 권한을 부여합니다.

GRANT ALL PRIVILEGES ON [데이터베이스 이름].* TO '[사용자 이름]'@'localhost';

변경된 권한 설정을 적용합니다.

FLUSH PRIVILEGES;
exit;

4) php 요구사항

Nextcloud를 사용하기 위해서는 추가적인 php모듈이 필요합니다. 아래는 Nextcloud manual 에 제시되어 있는 요구사항입니다.

PHP (see System requirements for a list of supported versions)
PHP module ctype
PHP module curl
PHP module dom
PHP module fileinfo (included with PHP)
PHP module filter (only on Mageia and FreeBSD)
PHP module GD
PHP module hash (only on FreeBSD)
PHP module JSON (included with PHP >= 8.0)
PHP module libxml (Linux package libxml2 must be >=2.7.0)
PHP module mbstring
PHP module openssl (included with PHP >= 8.0)
PHP module posix
PHP module session
PHP module SimpleXML
PHP module XMLReader
PHP module XMLWriter
PHP module zip
PHP module zlib

아래 코드를 입력해서 설치되지 않은 모듈을 설치합니다. PHP8이 설치되지 않았다면 다음 글을 참고하세요. PHP 8 설치(ubuntu) – Thinknote

sudo apt install php8.2-ctype php8.2-curl php8.2-dom php8.2-gd php8.2-mbstring php8.2-zip php8.2-intl php8.2-gmp php8.2-bcmath libmagickcore-6.q16-6-extra php8.2-apcu php8.2-bz2 php8.2-imagick php8.2-imap php8.2-ldap php8.2-mysql php8.2-smbclient php8.2-xml php8.2-zip

php를 재시작합니다.

sudo systemctl restart php8.2-fpm

3. 웹 인스톨러 통한 설치

자신의 도메인에서 웹 인스톨러에 접속해서 설치를 진행합니다.

https://example.com/setup-nextcloud.php

만약 Fatal error: Uncaught ValueError: Invalid or uninitialized Zip object in 에러가 발생하면 이는 압축 해제 경로가 /var/www/html로 되어있기 때문입니다. 이때는 직접 압축을 풀어서 설치해야 합니다. 압축이 풀려 있다면 도메인 url로 접속하면 됩니다.

설치가 완료되었습니다.

4. 보안 및 경고 확인

관리자로 로그인하고 관리자 설정으로 들어갑니다. 이때 보안 및 설치 경고 메시지가 나온다면 항목별 해결방법을 참고하시기 바랍니다.

1) 파일 무결성과 관련된 오류

/etc/php/8.2/fpm/pool.d/www.conf 에서 clear_env = no의 주석을 해제합니다.

sudo nano /etc/php/8.2/fpm/pool.d/www.conf 
clear_env = no #주석해제

2) 시스템 환경변수 getenv(‘path’)오류

관리자 설정의 무결성과 관련된 파일 리스트를 확인하고 문제가 되는 파일을 삭제합니다. 그리고 아래 코드를 실행하여 무결성 문제가 해결 되었는지 확인합니다.

sudo -u www-data php occ integrity:check-core

3) PHP 메모리 제한

php.ini에서 memory_limit값과 upload_max_filesize 을 512M 이상으로 설정합니다.

Memory_limit = 1G
upload_max_filesize = 1G

4) 국가 전화번호 설정

nextcloud config.php 파일에 다음 내용을 추가합니다.

'default_phone_region' => 'kr'

5) 트렌젝션 성능 향상 – memcached 구성

memcached 구성 다음 글을 참고하시기 바랍니다. 메모리 caching APCu, Redis, Memcached 설치 – Thinknote

트렌젝션 파일 잠금과 함께 memcached 를 사용하려면 redis도 설치해야 합니다.

설치가 완료되면 nextcloud config.php 파일에 다음 내용을 추가합니다.

'memcache.local' => '\\OC\\Memcache\\Redis',
'memcache.distributed' => '\\OC\\Memcache\\Redis',
'memcache.locking' => '\\OC\\Memcache\\Redis',
'filelocking.enabled' => 'true',
'redis' =>
    array (
        'host' => 'localhost',
        'port' => 0,
        'timeout' => 0.0,
),

6) 보안 및 배경 작업 확인

Thinknote

2023년 12월 09일

메모리 caching APCu, Redis, Memcached 설치
1. 메모리 캐싱 방법(APCu, Redis, Memcached)

ubuntu에서 사용할 수 있는 메모리 캐싱 방법으로 APCu, Redis, Memcached 가 있습니다. 각각의 캐싱 도구는 다양한 용도와 요구 사항에 맞게 선택해야 합니다.
- 예를 들어, APCu는 PHP 코드의 성능을 향상시킬 수 있지만 단일 서버에서만 사용 가능하므로 분산 환경에는 적합하지 않습니다.
- Redis는 다양한 데이터 구조와 클러스터링 기능을 제공하여 복잡한 애플리케이션에 적합합니다.
- Memcached는 분산 환경에서 대규모 처리량을 지원하기 위해 설계되었습니다.
1) APCu (Alternative PHP Cache user caching)

APCu는 PHP 확장 기능으로서 로컬 서버 내에서 데이터를 캐시하는 데 사용되며 단일 서버 환경에서 사용하기 적합합니다. APCu는 프로세스 간 데이터 공유가 불가능하며, 데이터는 해당 프로세스에서만 유지됩니다.
1. PHP용 메모리 캐싱 시스템입니다.
2. PHP 코드에 직접 접근하여 데이터를 캐싱할 수 있습니다.
3. 단일 서버에서만 사용 가능하며 분산 환경에는 적합하지 않습니다.
4. APCu는 기본적으로 메모리에 데이터를 저장하므로 빠른 읽기/쓰기 속도를 제공합니다.
5. 그러나 APCu는 데이터 유지 및 복제를 지원하지 않으므로 서버 장애 시 데이터 손실 가능성이 있습니다.
2) Redis

Redis는 오픈 소스 인메모리 데이터 구조 저장소로 다중 서버 환경에서 스케일 아웃이 가능하며, 데이터를 메모리에 저장하고 디스크에 지속적으로 저장할 수 있습니다. 다양한 데이터 구조 (문자열, 해시, 리스트, 세트 등)를 지원하며 Pub/Sub 메커니즘을 통해 메시지 브로커로도 사용할 수 있습니다.
1. 단일 스레드로 작동하며, 이벤트 기반 아키텍처를 사용하여 동시성 문제를 해결합니다.
2. 문자열, 해시, 목록, 세트, 정렬된 세트 등 다양한 데이터 구조를 지원합니다..
3. Publish/Subscribe (Pub/Sub) 메커니즘을 지원하여 메시지 기반 아키텍처를 구축할 수 있습니다
4. 마스터-슬레이브 복제 및 Redis 클러스터와 같은 분산 시스템을 지원합니다.
5. 다양한 성능 모니터링 및 관리 도구를 제공하여 데이터베이스 인스턴스의 상태를 모니터링하고 성능을 최적화할 수 있습니다.
3) Memcached

Memcached는 분산 메모리 객체 캐시 시스템으로 다중 서버 환경에서 스케일 아웃이 가능하며, 데이터를 메모리에 저장합니다. 데이터는 키-값 형태로 저장되며, 복잡한 데이터 구조를 지원하지 않습니다.
1. 분산 객체 캐싱 시스템입니다.
2. 키-값 형태의 데이터를 저장하고 검색하는 데 사용됩니다.
3. 분산 환경에서 사용하기 적합하며, 여러 서버 간에 데이터를 공유할 수 있습니다.
4. Memcached는 단순한 키-값 저장소로서 복잡한 데이터 구조를 지원하지 않습니다.
5. 메모리 사용량이 크고, 디스크에 데이터를 저장하지 않으므로 서버 장애 시 데이터 손실 가능성이 있습니다.
일반적으로 APCu, Redis 및 Memcached 모두 설치하고 운영할 수 있습니다.

모든 시스템을 동시에 운영할 때는 서버 리소스 (메모리 및 CPU)를 고려해야 하며, 각 캐시 시스템의 설정과 운영 방법을 이해하고 최적화해야 합니다. 또한 데이터 일관성과 동기화 문제도 고려해야 합니다.
2. APCu 캐싱

1) APCu 설치

APCu를 설치하기 위해 다음 명령어를 실행합니다.
```
sudo apt install php8.2-apcu
```
2) APCu 활성화(acpu.ini)

PHP 설정 파일을 열기 위해 다음 명령어를 실행합니다. php 버전은 서버에 설치된 php 버전을 입력합니다.

Apache 웹 서버를 사용한다면 /etc/php/8.2/apache2/php.ini을 수정해야 합니다.
```
sudo nano /etc/php/8.2/apache2/php.ini
```
PHP-FPM (PHP FastCGI Process Manager)에서 php를 사용한다면 sudo nano /etc/php/8.2/fpm/php.ini를 수정하거나 acpu.ini 파일을 수정합니다.
만약 acpu.ini 파일이 없다면 /etc/php/8.2/mods-available/apcu.ini 파일을 생성하고 다음 내용을 붙여 넣습니다.
```
sudo nano /etc/php/8.2/mods-available/apcu.ini
```
```
extension = apcu.so
apc.enabled = 1
```
다음 명령어로 apcu 모듈을 활성화합니다.
```
 sudo phpenmod -v 8.2 apcu
```
nginx 서버를 재시작하여 변경 사항이 적용되도록 합니다.
```
sudo systemctl restart nginx
```
3) APCu 실행 확인(acpu.ini)

아래 명령어를 실행해서 phpinfo() 함수의 결과를 출력하고 APCu 관련 설정, 버전 정보, 디렉토리 경로 등을 확인할 수 있습니다.
```
php -i | grep apcu
```
1. Redis 캐싱

1) Redis 설치

Redis를 설치하기 위해 다음 명령어를 실행합니다. 설치가 완료되면 Redis 서버가 자동으로 시작됩니다
```
sudo apt install redis-server
```
2) Redis 상태 확인

서비스 상태를 확인하기 위해 다음 명령어를 실행합니다.
Redis 서버가 정상적으로 실행 중인지 확인한 후, 필요에 따라 Redis 구성 파일을 수정할 수 있습니다. 구성 파일은 /etc/redis/redis.conf 경로에 위치해 있습니다
```
sudo systemctl status redis-server
sudo usermod -a -G redis www-data
```
3) 방화벽 설정(iptables)

redis-server가 사용하는 6379 port 를 개방하고 iptable을 저장 및 리로드 합니다.
```
sudo iptables -A INPUT -p tcp --dport 6379 -j ACCEPT
sudo netfilter-persistent save
sudo netfilter-persistent reload
```
4) Redis와 php 연동

Redis PHP 확장 모듈을 설치합니다.
```
sudo apt install php8.2-redis
```
nginx 서버를 재시작하여 변경 사항이 적용되도록 합니다.
```
sudo systemctl restart nginx
```
5) Redis 활성화(redis.ini)

sudo nano /etc/php/8.2/mods-available/redis.ini에서 아래 코드를 추가합니다.
```
sudo nano /etc/php/8.2/mods-available/redis.iniextension = redis.so
```
PHP-FPM 서버를 재시작합니다.
```
sudo systemctl restart php8.2-fpm
```
새로운 PHP 파일을 생성하고 다음과 같은 코드를 작성하여 Redis와의 연결 및 작업을 확인할 수 있습니다(value 출력)
```
<?php
$redis = new Redis();
$redis->connect('localhost', 6379);

// 문자열 저장 및 조회 예제
$redis->set("key", "value");
echo $redis->get("key");

// 해시 저장 및 조회 예제
$redis->hSet("hash", "field", "value");
echo $redis->hGet("hash", "field");

// 연결 종료
$redis->close();
?>
```
2. Memcached 캐싱

1) Memcached 설치

Memcache를 설치하기 위해 다음 명령어를 실행합니다.
```
sudo apt install memcached
```
2) Memcached 서비스 시작

다음 명령어를 실행해서 Memcached 서비스를 시작합니다.
```
sudo systemctl start memcached
sudo systemctl status memcached
```
Memcached 서비스가 부팅시 자동으로 시작되도록 아래 코드를 실행합니다.
```
sudo systemctl enable memcached
```
3) 방화벽 설정(iptables)

Memcached는 localhost(127.0.0.1)의 11211 포트에서 실행됩니다.
Memcached가 실행되도록 iptables 11211 포트를 개방합니다.
```
sudo iptables -A INPUT -p tcp --dport 11211 -j ACCEPT
sudo netfilter-persistent save
sudo netfilter-persistent reload
```
추가로, Memcached를 사용하는 애플리케이션 구성을 위해 다음과 같은 설정 파일을 편집할 수 있습니다:
- 메모리 할당량 수정: /etc/memcached.conf 파일에서 -m 옵션 값을 수정하여 할당량을 조정할 수 있습니다.
- 바인딩 주소 수정: /etc/memcached.conf 파일에서 -l 옵션 값을 변경하여 다른 IP 주소로 바인딩할 수 있습니다.
- 포트 수정: /etc/memcached.conf 파일에서 -p 옵션 값을 변경하여 다른 포트 번호로 설정할 수 있습니다.
4) PHP 연동(php.ini)

아래 명령어를 실행해서 패키지를 설치합니다.
```
sudo apt install php8.2-memcached
```
/etc/php/8.2/fpm/php.ini 파일 또는 /etc/php/8.2/mods-avaiable/memcached.ini 에서 extension=memcached.so 라인을 찾아 주석 해제하고 저장합니다.
```
sudo nano /etc/php/8.2/mods-available/memcached.ini
```
5) Memcached 작동 확인

다음 코드를 사용하여 Memcached 서버에 연결하고 값을 저장하고 검색하며 테스트 할 수 있습니다.(value 출력 정상)
```
<?php
$memcached = new Memcached();
$memcached->addServer('localhost', 11211);

$memcached->set('key', 'value', 60); // 60초 동안 값 저장

$value = $memcached->get('key');
echo $value; // 저장된 값 출력
?>
```
4. 추가 학습 자료

APCu, Redis, Memcached와 관련된 공식 문서 및 참고 자료 링크입니다

1) APCu
- APCu 공식 문서: https://www.php.net/manual/en/book.apcu.php
- “APCu: User Caching and Optimization” (정보 및 예제 포함): https://www.sitepoint.com/caching-with-apcu/
- “APCu vs Redis vs Memcached” (비교 및 성능 테스트): https://haydenjames.io/apcu-vs-redis-vs-memcached/
2) Redis
- Redis 공식 문서: https://redis.io/documentation
- “Redis Basics for Beginners” (기본 개념 소개): https://www.digitalocean.com/community/tutorials/redis-basics-for-beginners
- “Redis Tutorial” (예제와 함께 Redis 학습): https://www.tutorialspoint.com/redis/index.htm
3) Memcached
- Memcached 공식 문서: https://memcached.org/documentation
- “Memcached Tutorial” (기본 개념과 예제 포함): https://www.tutorialspoint.com/memcached/index.htm
- “Introduction to Memcached” (Memcached 소개 및 사용 사례): https://phoenixnap.com/kb/memcached-tutorial
Thinknote

함께 읽으면 좋은 글
2023년 12월 05일
무료 HTTPS 설정(Let’s Encrypt, Cloudflare)
1. HTTPS 설정 환경

Let’s Encrypt와 Cloudflare를 함께 사용하여 HTTPS 연결을 설정할 수 있다

1) Let’s Encrypt

Let’s Encrypt는 무료로 SSL/TLS 인증서를 발급하는 인증 기관입니다. Ubuntu 시스템에서 Let’s Encrypt를 사용하면 웹 서버에 안전한 HTTPS 연결을 제공할 수 있습니다.
1. 무료: Let’s Encrypt는 무료로 사용할 수 있는 공개 프로젝트입니다. 따라서 비용 문제 없이 SSL/TLS 인증서를 발급받을 수 있습니다.
2. 자동화: Let’s Encrypt는 인증서 발급 및 갱신 프로세스를 자동화하여 편리하게 사용할 수 있도록 지원합니다. 이는 일반적으로 명령어 한 줄을 입력하는 것만으로 인증서를 발급하고 갱신할 수 있다는 의미입니다.
3. 보안: Let’s Encrypt는 모든 연결에 대해 암호화된 HTTPS 연결을 제공함으로써 보안을 강화합니다. 이를 통해 사용자의 데이터와 개인 정보를 안전하게 보호할 수 있습니다.
2) Cloudflare.com

Cloudflare는 웹 보안 및 성능 최적화 서비스를 제공하는 회사입니다. 이 회사는 웹사이트의 속도, 보안 및 가용성을 향상시키기 위해 글로벌 네트워크를 통해 트래픽을 라우팅하고, 악성 행위로부터 보호하며, 웹 콘텐츠를 압축 및 최적화하는 기능을 갖추고 있습니다.

Cloudflare의 주요 기능은 다음과 같습니다
1. CDN (Content Delivery Network): Cloudflare의 글로벌 네트워크를 통해 사용자들이 웹사이트에 더 빠르게 접근할 수 있도록 도와줍니다.
2. 웹 방화벽: DDoS 공격, SQL 인젝션 등과 같은 악성 행위로부터 보호하기 위한 방화벽을 제공합니다.
3. SSL/TLS 암호화: SSL/TLS 인증서를 사용하여 웹사이트를 안전하게 전송합니다.
4. 성능 최적화: 캐싱, 이미지 최적화, 자바스크립트 최소화 등의 기술을 사용하여 웹사이트의 로딩 속도를 개선합니다.
Cloudflare의 장점
1. 높은 가용성: Cloudflare는 글로벌 네트워크를 통해 트래픽을 분산시키므로 웹사이트의 가용성이 향상됩니다.
2. 보안 강화: DDoS 공격 및 다른 악성 행위로부터 보호하기 위한 강력한 웹 방화벽을 제공합니다.
3. 성능 개선: 캐싱 및 최적화 기술을 사용하여 웹사이트의 로딩 속도를 개선합니다.
2. Let’s Encrypy 패키지 설치 및 설정

1) Let’s Encrypt 설치

Certbot 설치: Certbot은 Let’s Encrypt의 공식 클라이언트로, 인증서 발급 및 관리에 필요한 도구입니다.

다음 명령어로 Certbot을 설치합니다
```
sudo apt update
sudo apt install certbot
```
python3-certbot-dns-cloudflare 패키지는 Certbot의 DNS-01 도메인 검증 방식을 사용하여 클라우드플레어(DNS 제공 업체) DNS 서버에 도메인 레코드를 자동으로 추가하고 관리하는 기능을 제공하며 다음 순서에 따라 작동합니다.
1. Certbot은 도메인의 소유자임을 확인하기 위해 클라우드플레어 DNS 서버에 특정한 TXT 레코드를 추가하도록 요청합니다.
2. python3-certbot-dns-cloudflare 패키지는 클라우드플레어 API를 사용하여 인증된 사용자 계정으로 로그인합니다.
3. 패키지는 Certbot으로부터 전달받은 인증 요청 정보를 기반으로 클라우드플레어 DNS 서버에 TXT 레코드를 추가합니다.
4. Certbot은 클라우드플레어 DNS 서버에 레코드가 반영되었는지 확인합니다.
5. 인증이 성공적으로 완료되면 Certbot은 SSL/TLS 인증서를 발급받아 사용자가 지정한 경로로 저장합니다.
다음 코드를 실행하여 python3-certbot-dns-cloudflare 를 설치합니다.
```
sudo apt install python3-certbot-dns-cloudflare
```
2) Cloudflare API 키 생성
- Cloudflare 계정으로 로그인하고, “My Profile”로 이동합니다.
- “API Tokens” 섹션으로 이동하고, “Create Token” 버튼을 클릭합니다.
- “Use Template” 섹션에서 “Edit Zone DNS” 템플릿을 선택합니다.
- Zone에 대한 액세스를 선택한 후, “Continue to Summary” 버튼을 클릭합니다.
- Token 이름을 지정하고, 생성된 토큰 값을 안전한 곳에 저장합니다.
3) API Token 저장

/root/.secrets/certbot 디렉토리를 생성합니다.

/root/.secrets/certbot/cloudflare.ini 파일을 생성합니다.
```
sudo mkdir /root/.secrets/certbot
sudo nano /root/.secrets/certbot/cloudflare.ini
```
cloudflare.ini에 cloudflare 에서 확인한 token을 입력합니다.
```
dns_cloudflare_email = cloudflare에_등록된_이메일
dns_cloudflare_api_key = YOUR_CLOUDFLARE_API_TOKEN
```
- example.com 을 자신의 도메인으로 변경해야 합니다.
- /root/.secrets/certbot/cloudflare.ini는 아래와 같은 내용으로 생성되어야 합니다
생성된 폴더와 파일의 권한을 변경합니다.
```
sudo chmod 0700 /root/.secrets/certbot
sudo chmod 0400 /root/.secrets/certbot/cloudflare.ini
```
3. 인증서 발급

1) 인증서 발급 코드

인증서 발급을 원하는 도메인을 입력합니다. 여기서 서브 도메인을 인증한다면 서브 도메인을 입력합니다.
```
sudo certbot certonly --dns-cloudflare --preferred-challenges dns-01 --dns-cloudflare-propagation-seconds 20 --dns-cloudflare-credentials /root/.secrets/certbot/cloudflare.ini -d example.com
```
Enter email address (used for urgent renewal and security notices) (Enter ‘c’ to cancel): 자신의 이메일 주소를 입력합니다.(취소하려면 c)

2) 코드 설명

위의 코드는 Certbot을 사용하여 example.com 도메인에 대한 인증서를 생성하는 명령어입니다.
1. certbot: Certbot 도구를 실행합니다.
2. certonly: 인증서만 생성하고 웹 서버와 연결하지 않습니다. (인증서 발급만 수행)
3. --dns-cloudflare: Cloudflare DNS에 대한 도메인 확인을 통해 인증서를 발급합니다.
4. --preferred-challenges dns-01: DNS 기반의 도메인 확인 방식 중 하나인 dns-01을 사용합니다.
5. --dns-cloudflare-propagation-seconds 20: Cloudflare DNS 업데이트가 완료되기까지 기다리는 시간(초)입니다. 여기에서는 20초로 설정되어 있습니다.
6. --dns-cloudflare-credentials /root/.secrets/certbot/certbot-cloudflare.ini: Cloudflare API에 액세스하기 위한 인증 정보가 포함된 파일의 경로입니다. 여기에서는 /root/.secrets/certbot/cloudflare.ini 파일을 사용합니다.
7. -d example.com: 인증서를 발급할 도메인 이름으로, 여기에서는 example.com이 사용됩니다.
2) 발급 확인

발급된 인증서는 /etc/letsencrypt/live 하위의 도메인 폴더에 생성됩니다.

총 4개의 파일(cert.pem, chain.pem, fullchain.pem, privkey.pem)이 생성됩니다
4. 추가 학습 자료

Let’s Encrypt와 Certbot의 공식 문서 및 참고 자료 링크입니다
- Let’s Encrypt 공식 문서: https://letsencrypt.org/docs/
- Certbot 공식 문서: https://certbot.eff.org/docs/
- Certbot GitHub 페이지: https://github.com/certbot/certbot
- EFF(Electronic Frontier Foundation) Certbot 레포지토리: https://github.com/efforg/certbot
- Certbot 사용자 포럼: https://community.letsencrypt.org/c/help/certbot/
- Certbot 사용자 가이드: https://certbot.eff.org/instructions
Thinknote

함께 읽으면 좋은 글
2023년 12월 05일
OpenSSL 설치
1. OpenSSL 기능과 특징

OpenSSL은 암호화와 보안 프로토콜을 구현하는 라이브러리 및 도구 모음입니다. 이는 주로 Linux 운영체제에서 사용되지만 다른 운영체제에서도 사용할 수 있습니다. Ubuntu 서버에 포함된 OpenSSL은 다음과 같은 기능과 특징을 가지고 있습니다:
1. 암호화 및 해시 기능: OpenSSL은 다양한 암호화 알고리즘 (AES, DES, RSA 등) 및 해시 함수 (MD5, SHA-1, SHA-256 등)를 지원합니다. 이는 데이터의 보안을 유지하기 위해 사용자가 데이터를 안전하게 저장하거나 전송할 수 있게 합니다.
2. SSL/TLS 프로토콜: OpenSSL은 SSL (Secure Sockets Layer) 및 TLS (Transport Layer Security) 프로토콜을 구현하는 데 사용됩니다. 이는 서버와 클라이언트 간의 통신을 암호화하여 데이터의 기밀성과 무결성을 보장하며, 중간자 공격으로부터 보호됩니다.
3. 인증서 관리: OpenSSL은 X.509 인증서 형식을 지원하여 공개 키 인증서를 생성, 관리 및 검증 할 수 있습니다. 이는 서버와 클라이언트 간의 신뢰 관계를 확립하고, 전자 상거래 및 인증 시스템에서 사용됩니다.
4. 암호화 키 및 CSR 생성: OpenSSL은 대칭 및 비대칭 암호화 키를 생성할 수 있습니다. 또한, 인증서 서명 요청 (CSR)을 생성하여 인증 기관에 보낼 수 있습니다. CSR은 서버 인증서 발급을 요청하기 위해 사용됩니다.
5. 명령 줄 도구: OpenSSL은 명령 줄 도구를 포함하고 있어, 개발자 및 시스템 관리자가 암호화, 해시, 인증서 관리 등과 같은 작업을 수행 할 수 있습니다.
6. 오픈 소스: OpenSSL은 오픈 소스 프로젝트로 공개되어 있으며, 많은 개발자들이 기여하고 있습니다. 이는 소스 코드에 대한 검증 및 보안 강화에 도움이 되며, 커뮤니티 지원과 업데이트를 받을 수 있는 장점이 있습니다.
2. OpenSSL 설치

1) OpenSSL 설치

Ubuntu 서버의 OpenSSL은 위와 같은 기능과 특징을 제공하여 안전한 네트워크 통신을 구현하는 데 사용됩니다.
```
 sudo apt install openssl
```
다음 명령어를 실행하여 OpenSSL을 설치합니다

1) OpenSSL 버전 확인
```
openssl version
```
3. param 키 생성

1) param 필요성

Openssl을 사용하여 param 키를 생성하는 이유는 주로 다음과 같은 보안 알고리즘에 필요한 매개 변수를 생성하기 위해서입니다.
1. Diffie-Hellman (DH) 키 교환: DH는 공개키 암호 시스템의 일종으로, 서로 다른 두 개의 개인 키를 공유하지 않고도 안전하게 통신을 할 수 있도록 합니다. DH에는 공유하는 매개 변수인 p와 g가 필요하며, 이러한 매개 변수는 OpenSSL을 사용하여 생성할 수 있습니다.
2. RSA 암호화: RSA는 공개키 암호화 방식으로, 개인 키와 공개 키를 생성하기 위해 소수 p와 q를 사용합니다. OpenSSL을 사용하여 이러한 소수를 생성할 수 있습니다.
2) DH 매개 변수 생성

2048 비트 크기의 DH 매개 변수를 생성
```
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
```
4096 비트 크기의 DH 매개 변수를 생성
```
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
```
사용자의 요구에 따라 크기와 파일 이름을 변경할 수 있습니다. 또한 OpenSSL을 사용하여 다른 암호화 알고리즘에 필요한 매개 변수를 생성하는 방법도 있습니다.
param 키는 OpenSSL에서 사용되는 Diffie-Hellman(DH) 키 교환 프로토콜에 필요한 매개 변수를 생성하는 데 사용됩니다. DH 프로토콜은 공개키 암호 시스템의 일종으로, 두 개체 간에 비밀 공유 키를 생성하기 위해 사용됩니다. 이러한 비밀 키는 보안된 통신을 위해 사용될 수 있습니다.
4. 추가 학습 자료

OpenSSL에 대해 더 많이 학습하고 싶다면 다음 자료들을 참고할 수 있습니다:
- OpenSSL 공식 문서
- Ubuntu Wiki의 OpenSSL 페이지
Thinknote

함께 읽으면 좋은 글
2023년 12월 03일
MariaDB 설치 및 관리(MySQL)
1. ubuntu에 설치할 수 있는 데이터베이스 패키지
1. MySQL: 유명한 오픈 소스 관계형 데이터베이스 관리 시스템(RDBMS)입니다.
2. PostgreSQL: 강력한 오픈 소스 RDBMS로, 많은 기능과 확장성을 제공합니다.
3. MongoDB: 문서 지향 NoSQL 데이터베이스입니다.
4. SQLite: 경량의 오픈 소스 관계형 데이터베이스 엔진으로, 임베디드 시스템 및 작은 규모의 응용 프로그램에 적합합니다.
5. Redis: 고성능 키-값 저장소로, 메모리 기반 데이터 구조 서버입니다.
6. MariaDB: MySQL의 포크 버전으로, 호환성을 유지하면서 개선된 성능과 안정성을 제공합니다.
2. MariaDB 이해

MariaDB는 MySQL의 포크로 시작된 오픈 소스 관계형 데이터베이스 관리 시스템(RDBMS)입니다. MySQL과 완전히 호환되며, 사용자들은 기존의 MySQL 환경에서 MariaDB로 쉽게 마이그레이션할 수 있습니다. MariaDB는 많은 리눅스 배포판에서 기본적인 RDBMS로 사용되고 있습니다.

1) MariaDB 특징
- 성능: MariaDB는 대용량 데이터 처리에 뛰어난 성능을 제공합니다. 쿼리 최적화, 인덱싱 기능, 병렬 처리 등의 최적화 작업으로 성능 향상이 이루어졌습니다.
- 확장성: MariaDB는 데이터베이스 서버를 수평 및 수직으로 확장할 수 있습니다. 마스터-슬레이브 복제 및 클러스터링과 같은 다양한 방식으로 확장성을 구현할 수 있습니다.
- 보안: MariaDB는 데이터베이스 보안에 큰 중점을 두고 있습니다. SSL/TLS 암호화, 액세스 제어, 데이터 마스킹 등의 기능을 제공하여 데이터의 안전성을 보장합니다.
- 개방성: MariaDB는 오픈 소스로 개발되었으며, 사용자들은 소스 코드에 접근하여 수정하고 개선할 수 있습니다. 또한 다양한 플러그인과 확장 기능을 제공하여 사용자의 요구에 맞게 커스터마이징할 수 있습니다.
2) MariaDB 장점
- MariaDB는 MySQL과 완전히 호환되므로, 기존의 MySQL 사용자들은 쉽게 마이그레이션할 수 있습니다.
- MariaDB는 최적화된 쿼리 처리 및 인덱싱 기능으로 빠른 성능을 제공합니다.
- MariaDB는 데이터베이스 서버를 유연하게 확장할 수 있습니다.
- MariaDB는 많은 리눅스 배포판에서 안정적으로 사용되고 있으며, 오류 복구 및 내결함성을 위한 기능을 제공합니다.
3) MariaDB 단점
- MySQL에 비해 상대적으로 작은 커뮤니티를 가지고 있기 때문에, 문제 해결과 지원을 받기가 어려울 수 있습니다.
- MariaDB는 MySQL과 호환되지만 일부 특정 기능에서 차이가 발생할 수 있으며, 이로 인해 일부 애플리케이션들이 제대로 동작하지 않을 수 있습니다.
3. MariaDB 설치

1) MariaDB 사전 준비

ubuntu의 패키지를 업데이트 및 업그레이드를 진행합니다.
```
sudo apt update
sudo apt upgrade
```
2) MariaDB 설치
```
sudo apt install mariadb-server
```
2) MariaDB 서비스 확인

설치가 완료되면 MariaDB 서비스가 자동으로 시작됩니다. 서비스 상태를 확인하려면 다음 명령을 실행합니다:
```
sudo systemctl status mariadb
```
3) MariaDB 보안 스크립트 실행

MariaDB를 보다 쉽게 구성하기 위해 다음 명령을 실행하여 보안 스크립트를 실행합니다:
- Enter current password for root : 초기 설치시에는 패스워드가 없기에 enter를 실행합니다
- Change the root password : Y를 입력하고 패스워드를 설정합니다.
- Remove anonymou user: 익명 사용자를 제거하려면 Y를 입력합니다.
- Disallow root login remotely: 원격 로그인을 활성화 하려면 Y, 비활성화 하려면 N를 입력합니다.
- Remove test database and access to it: test 데이터베이스를 삭제하려면 Y를 입력합니다.
- Reload privilege tables now: 변경 사항을 저장하려면 Y를 입력합니다.
```
sudo mysql_secure_installation
```
이제 MySQL 서버의 보안 설정이 완료되었습니다.
Thinknote

함께 읽으면 좋은 글
2023년 12월 03일
Nginx + Php8 설정
1. Nginx와 PHP 8 연결

nginx php8 패키지를 설치했다고 웹서버에서 php파일이 적용되는 것은 아닙니다. nginx가 php8를 서비스할 수 있도록 일부 파일의 수정이 필요합니다. 설정이 올바르지 않다면 nginx에서 php8이 제대로 작동하지 않습니다. 특히 php파일이 다운로드 되거나 phpinfo 또는 php 코드를 실행시 아무것도 나타나지 않는 문제가 생깁니다.

지금 확인하는 부분은 nginx와 php8 설정을 통해서 웹서버에서 php가 정상적으로 작동하는데 도움을 줄 것입니다.

1개의 파일 유무와 3개의 파일을 수정해야 합니다.
1. /etc/nginx/nginx.conf 파일이 존재하는지
2. /etc/nginx/fastcgi_params의 fastcig_param 확인 및 추가
3. /etc/nginx/sites-available/default 설정에서 php script 추가 및 수정
4. /etc/nginx/nginx.conf의 default_type
4번째는 수정하지 않는 경우 php파일이 실행되지 않고 다운 받아지는 문제가 생깁니다.

1) /etc/nginx/nginx.conf 확인

앞선 설치 및 진행을 따라 했다면 nginx.conf 파일은 존재합니다. 만약 없다면 다음 내용을 복사해서 파일을 생성하면 됩니다. 아래 내용을 복사해서 파일을 만든다면 4번의 단계는 생략해도 됩니다.

아래에서 php버전에 따라 설정된 user가 다를 수 있습니다. user는 sudo nano /etc/php/8.1/fpm/pool.d/www.conf의 user, group, listen.owner, listen.group 정보와 일치해야 합니다.

파일을 생성합니다.
```
sudo nano /etc/nginx/nginx.conf
```
다음 코드를 붙여넣습니다.
```
user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

events {
        worker_connections 768;
        # multi_accept on;
}

http {
        ##
        # Basic Settings
        ##
        sendfile on;
        tcp_nopush on;
        types_hash_max_size 2048;
        # server_tokens off;
        # server_names_hash_bucket_size 64;
        # server_name_in_redirect off;
        include /etc/nginx/mime.types;
        #default_type application/octet-stream;
        default_type text/html;
        ##
        # SSL Settings
        ##
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
        ssl_prefer_server_ciphers on;

        ##
        # Logging Settings
        ##
        access_log /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log;

        ##
        # Gzip Settings
        ##
        gzip on;
        # gzip_vary on;
        # gzip_proxied any;
        # gzip_comp_level 6;
        # gzip_buffers 16 8k;
        # gzip_http_version 1.1;
        # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

        ##
        # Virtual Host Configs
        ##
        include /etc/nginx/conf.d/*.conf;
        include /etc/nginx/sites-enabled/*;
}

#mail {
#       # See sample authentication script at:
#       # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
#
#       # auth_http localhost/auth.php;
#       # pop3_capabilities "TOP" "USER";
#       # imap_capabilities "IMAP4rev1" "UIDPLUS";
#
#       server {
#               listen     localhost:110;
#               protocol   pop3;
#               proxy      on;
#       }
#
#       server {
#               listen     localhost:143;
#               protocol   imap;
#               proxy      on;
#       }
#}
```
2) /etc/nginx/fastcgi_params의 fastcig_param 확인 및 추가

편집기로 /etc/nginx/fastcgi_param을 열고 다음 내용이 없으면 추가합니다.
```
sudo nano /etc/nginx/fastcgi_params
```
첫 번째 줄에 다음 코드를 추가합니다.
```
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
```
[Step 8] fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 추가

3) /etc/nginx/sites-available/default 설정에서 php script 추가 및 수정

default 파일을 편집기로 실행하고 location 부분을 다음과 같이 수정합니다. 여기서는 8.1버전을 기준으로 수정합니다. 기존 파일에서 다음 부분을 찾아 변경하면 됩니다.
```
# pass PHP scripts to FastCGI server

location ~ \.php$ {
       include snippets/fastcgi-php.conf;

       # With php-fpm (or other unix sockets):
       fastcgi_pass unix:/run/php/php8.1-fpm.sock;
}
```
[Step 9] pass PHP scripts to FastCGI server 추가

Nginx와 php를 모두 재시작 합니다.
```
sudo systemctl restart nginx
sudo systemctl restart php8.1-fpm
```
4. PHP 8 실행 및 확인

php정보를 확인할 파일을 생성합니다. 파일은 web root 에 생성합니다.
```
sudo nano /var/www/html/info.php
```
php 코드 규칙에 따라 다음 내용을 복사해서 붙여 넣습니다.
```
<?php
phpinfo();
?>
```
웹사이트에서 localhost/info.php 또는 주소/info.php로 php 정보를 확인합니다.

[Step 10] php info 확인

이 글은 nginx 설치 이후 PHP8 셋팅에 있는 내용 중 문제해결에 대한 부분만 별도로 골라내서 작성된 글로 이전 글과 중복되어 있습니다. nginx 설치에 대해서 자세히 알고 싶다면 다음 링크를 클릭하세요

Nginx 웹서버 설치(ubuntu) – Thinknote

ubuntu의 nginx가 설치된 상태에서 php8을 설치하고자 한다면 다음 링크를 클릭하세요. php설치는 wordpress를 설치하기 위한 준비 단계로 진행됩니다.

PHP 8 설치(ubuntu) – Thinknote

함께 읽으면 좋은 글
2023년 01월 13일
PHP 8 설치(ubuntu)
1. PHP 이해 및 특징

1) PHP 이해

PHP 8 설치는 Nginx 웹서버와 연동하여 WordPress를 사용하기 위한 목적입니다. 향후 PHP를 활용하여 데이터를 일부 조작하고 PHP 코드를 삽입하는 방법에 대해서도 다루겠지만 그보다는 PHP로 개발된 WordPress를 운영하기 위한 목적에서 설명합니다.

PHP는 Hypertext Preprocessor의 약자로 동적 웹페이지를 구현하기 위해 설계되었습니다. PHP로 작성된 코드를 PHP 엔진에서 html 파일과 같이 처리하여 원하는 웹 페이지를 만들수 있습니다. php는 8.x 버전으로 넘어가고 있으며 7.0이후에는 PHP 코드와 HTML을 별도 파일로 분리하여 작성하며 웹서버가 아닌 php-fpm(PHP FastCGI Process Manager)을 통해 실행하는 경우가 늘어나고 있습니다.

서버 측 오픈 소스 소프트웨어는 PHP로 구현된 경우가 많습니다. PHP에 기반한 대표적인 프로그램으로 워드프레스, 미디어위키, 넥스트클라우드 등이 있습니다. PHP는 텍스트와 HTML의 처리에 강점을 가지고 있어 URL의 파싱이나 폼 처리, 정규 표현식 등을 다양하게 적용할 수 있고 다양한 데이터베이스를 지원합니다.

자바, 파이썬 등 다양한 프로그래밍 언어가 널리 활용되고 있지만 오픈소스의 영향력에 기반하여 지속적인 개발이 진행되고 있습니다.

2) PHP 특징

php는 단순, 능률, 안전, 유연성, 친숙함의 4가지 특징을 갖고 있습니다.
- PHP는 시스템 기능, 즉 시스템의 파일에서 생성, 열기, 읽기, 쓰기 및 닫을 수 있습니다.
- PHP는 양식, 즉 파일에서 데이터를 수집하고, 파일에 데이터를 저장하고, 이메일을 통해 데이터를 보내고, 사용자에게 데이터를 반환 할 수 있습니다.
- PHP를 통해 데이터베이스 내의 요소를 추가, 삭제, 수정합니다.
- 쿠키 변수에 액세스하고 쿠키를 설정합니다.
- PHP를 사용하면 사용자가 웹 사이트의 일부 페이지에 액세스하도록 제한 할 수 있습니다.
- 데이터를 암호화 할 수 있습니다.
3) PHP 활용

자바나 C 언어에서 접근하려면 여러 Include 등을 통해야 했던 작업들이 내장함수로 있어서 적은 코드로도 쉽게 구현이 가능합니다. 현재의 PHP는 절차적인 형태에서 ‘객체지향(클래스- Class)’ 프로그램 작성이 가능한 상태로 진화되었습니다.
- PHP는 동적 페이지 콘텐츠를 생성 할 수 있습니다.
- PHP는 서버에서 파일을 만들고, 열고, 읽고, 쓰고, 삭제하고, 닫을 수 있습니다.
- PHP는 양식 데이터를 수집 할 수 있습니다.
- PHP는 쿠키를 보내고받을 수 있습니다.
- PHP는 데이터베이스의 데이터를 추가, 삭제, 수정할 수 있습니다.
- PHP를 사용하여 사용자 액세스를 제어 할 수 있습니다.
- PHP는 데이터를 암호화 할 수 있습니다
2. PHP 8 설치

1) PHP 8 사전 준비

ubuntu의 패키지를 업데이트 및 업그레이드를 진행합니다.
```
sudo apt update
sudo apt upgrade
```
[Step 1] 패키지 업데이트

2) PHP 8 패키지 확인 및 설치

apt list 명령으로 php와 관련된 항목을 확인할 수 있습니다. 하지만 php관련 패키지가 너무 많기 때문에 무엇을 설치해야 할지 망설여집니다. 특히 php 버전도 다양하기 때문에 기존 프로그램의 개발 환경에 따라서 특정 버전이 필요할 수도 있습니다.

php 설치의 core는 php-fpm입니다. php 버전에 따라서는 php7.x-fpm, php8.x-fpm 등 버전별로 존재합니다. 특정 버전을 설치하는 방법은 다른 글에서 다루도록 하겠습니다.

apt list *fpm으로 php 8 설치의 핵심 패키지를 확인합니다. 여기서는 php-fpm은 8.1버전이고 php-fpm은 8.1.2 버전으로 나옵니다. 최신 버전이 좋을 수도 있지만 호환성에서 문제가 발생될 수 있기 때문에 가장 최신 버전은 피하는 것도 방법입니다.
```
sudo apt list *fpm
```
[Step 2] 패키지 확인

여기서는 php을 설치합니다.
```
sudo apt install php8.1-fpm
```
[Step 3] php-fpm 설치

[Step 4] php-fpm 설치

[Step 5] php-fpm 설치

3) PHP 8 상태 확인

설치가 완료되고 잘 작동되고 있는지 확인하기 위해서 sudo systemctl status php8.1-fpm 명령어를 실행합니다. 앞서 특정 버전을 설치했다면 php뒤에 버전을 함께 작성해서 확인하면 됩니다.
```
sudo systemctl status php8.1-fpm
```
[Step 6] php 서비스 확인

서비스가 정상적으로 실행되고 있습니다. 출력된 내용을 보면 서비스는 php8.1-fpm.service로 작동되며 conf 파일은 /etc/php/8.1/fpm/php-fpm.conf 파일입니다.

4) WordPress를 위한 php 8 패키지 추가 설치

패키지 중에는 지금 당장 필요하지 않은 패키지도 있습니다. 하지만 미리 설치해도 큰 상관이 없기 때문에 기본적인 패키지는 모두 설치합니다.
```
sudo apt install php8.1-common php8.1-mysql php8.1-xml php8.1-xmlrpc php8.1-curl php8.1-gd php8.1-imagick php8.1-cli php8.1-dev php8.1-imap php8.1-mbstring php8.1-opcache php8.1-redis php8.1-soap php8.1-zip
```
[Step 7] php 추가 패키지 설치
3. Nginx와 PHP 8 연결

php 패키지를 설치했다고 웹서버에서 php파일이 적용되는 것은 아닙니다. nginx가 php를 서비스할 수 있도록 일부 파일의 수정이 필요합니다.

1개의 파일 유무와 3개의 파일을 수정해야 합니다.
1. /etc/nginx/nginx.conf 파일이 존재하는지
2. /etc/nginx/fastcgi_params의 fastcig_param 확인 및 추가
3. /etc/nginx/sites-available/default 설정에서 php script 추가 및 수정
4. /etc/nginx/nginx.conf의 default_type
4번째는 수정하지 않는 경우 php파일이 실행되지 않고 다운 받아지는 문제가 생깁니다.

1) /etc/nginx/nginx.conf 확인

앞선 설치 및 진행을 따라 했다면 nginx.conf 파일은 존재합니다. 만약 없다면 다음 내용을 복사해서 파일을 생성하면 됩니다. 아래 내용을 복사해서 파일을 만든다면 4번의 단계는 생략해도 됩니다.

파일을 생성합니다.
```
sudo nano /etc/nginx/nginx.conf
```
다음 코드를 붙여넣습니다.
```
user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

events {
        worker_connections 768;
        # multi_accept on;
}

http {
        ##
        # Basic Settings
        ##
        sendfile on;
        tcp_nopush on;
        types_hash_max_size 2048;
        # server_tokens off;
        # server_names_hash_bucket_size 64;
        # server_name_in_redirect off;
        include /etc/nginx/mime.types;
        #default_type application/octet-stream;
        default_type text/html;
        ##
        # SSL Settings
        ##
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
        ssl_prefer_server_ciphers on;

        ##
        # Logging Settings
        ##
        access_log /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log;

        ##
        # Gzip Settings
        ##
        gzip on;
        # gzip_vary on;
        # gzip_proxied any;
        # gzip_comp_level 6;
        # gzip_buffers 16 8k;
        # gzip_http_version 1.1;
        # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

        ##
        # Virtual Host Configs
        ##
        include /etc/nginx/conf.d/*.conf;
        include /etc/nginx/sites-enabled/*;
}

#mail {
#       # See sample authentication script at:
#       # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
#
#       # auth_http localhost/auth.php;
#       # pop3_capabilities "TOP" "USER";
#       # imap_capabilities "IMAP4rev1" "UIDPLUS";
#
#       server {
#               listen     localhost:110;
#               protocol   pop3;
#               proxy      on;
#       }
#
#       server {
#               listen     localhost:143;
#               protocol   imap;
#               proxy      on;
#       }
#}
```
2) /etc/nginx/fastcgi_params의 fastcig_param 확인 및 추가

편집기로 /etc/nginx/fastcgi_param을 열고 다음 내용이 없으면 추가합니다.
```
sudo nano /etc/nginx/fastcgi_params
```
첫 번째 줄에 다음 코드를 추가합니다.
```
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
```
[Step 8] fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 추가

3) /etc/nginx/sites-available/default 설정에서 php script 추가 및 수정

default 파일을 편집기로 실행하고 location 부분을 다음과 같이 수정합니다. 여기서는 8.1버전을 기준으로 수정합니다. 기존 파일에서 다음 부분을 찾아 변경하면 됩니다.
```
# pass PHP scripts to FastCGI server

location ~ \.php$ {
       include snippets/fastcgi-php.conf;

       # With php-fpm (or other unix sockets):
       fastcgi_pass unix:/run/php/php8.1-fpm.sock;
}
```
[Step 9] pass PHP scripts to FastCGI server 추가

Nginx와 php를 모두 재시작 합니다.
```
sudo systemctl restart nginx
sudo systemctl restart php8.1-fpm
```
4. PHP 8 실행 및 확인

php정보를 확인할 파일을 생성합니다. 파일은 web root 에 생성합니다.
```
sudo nano /var/www/html/info.php
```
php 코드 규칙에 따라 다음 내용을 복사해서 붙여 넣습니다.
```
<?php
phpinfo();
?>
```
웹사이트에서 localhost/info.php 또는 주소/info.php로 php 정보를 확인합니다.

[Step 10] php info 확인

참고로 워드프레스를 설치하기 위해서는 php.ini 파일의 수정이 필요합니다. php 파일 실행 및 php.ini 파일 수정은 wordpress 설치 글에서 다루도록 하겠습니다.

함께 읽으면 좋은 글
2023년 01월 12일
Nginx 웹서버 설치(ubuntu)
1. Nginx 웹서버 Vs Apache 웹서버

여기서는 Nginx 웹서버 설치를 진행합니다. 리눅스에서 설치되는 웹 서버는 Nginx 웹서버와 apache 웹서버로 나눠지며 다음과 같은 차이점을 갖고 있습니다. 아파치는 오픈 소스 HTTP 서버인 반면 Nginx는 오픈 소스, 고성능 비동기 웹 서버 및 역방향 프록시 서버입니다.

아파치 HTTP 서버의 개발 및 발전은 전 세계 사용자 커뮤니티(Apache Software Foundation)에서 관리 및 유지되지만 Nginx는 2011년에 설립된 동일한 이름의 회사에서 유지 및 관리 됩니다.

Apache는 클라이언트 요청 및 웹 트래픽을 처리하는 다양한 다중 처리 모듈을 제공하지만 Nginx는 최소한의 하드웨어 리소스로 여러 클라이언트 요청을 동시에 처리하도록 설계되었습니다.

아파치에서 단일 스레드는 하나의 연결과 연결되지만 Nginx의 단일 스레드는 여러 연결을 처리할 수 있다. 이 프로세스는 메모리를 적게 소모하여 성능이 향상시킵니다.

아파치 HTTP Server에는 확장성이 없는 다중 스레드 아키텍처지만 Nginx는 여러 클라이언트 요청을 처리하기 위한 비동기 이벤트 기반 접근 방식을 따릅니다.

아파치 서버는 기존의 메서드를 사용하여 정적 콘텐츠를 제공하고 웹 서버 자체 내에서 기본적으로 동적 콘텐츠를 처리한다. 반면 Nginx는 동적 콘텐츠를 내부적으로 처리할 수 없고 위해 외부 프로세스에 의존합니다.

2. Nginx 웹서버 설치

apt update와 apt upgrade로 패키지 정보를 업데이트 합니다. list 옵션으로 nginx와 관련된 패키지를 확인합니다. nginx 설치 명령어로 nginx 웹서버를 설치합니다.
- nginx 관련 패키지 정보를 출력하는 명령어입니다.
```
sudo apt list nginx*
```
[Step 1] 패키지 정보 확인
- nginx 설치를 위한 명령어를 실행합니다.
```
sudo apt install nginx
```
[Step 2] nginx install
- 설치된 nginx의 버전을 확인합니다.
```
sudo nginx -v
```
[Step 3] nginx 버전 확인
- nginx 서비스의 상태를 확인합니다.
```
sudo systemctl status nginx
```
[Step 4] 패키지 정보 확인

2. 외부 접속을 위한 포트 설정

웹서버가 설치되었다고 바로 접속이 가능한 것은 아닙니다. ubuntu가 설치된 환경은 호스트 컴퓨터의 가상 서버로 구성되어 있고 ubuntu 서버는 iptables로 방화벽이 서비스되고 있습니다.

첫 번째 단계는 ubuntu 서버의 포트를 개방하는 것입니다. iptables에 대한 이해가 필요하다면 다음 글을 통해서 확인할 수 있습니다.

Ubuntu 방화벽 iptables 설정 및 관리 – Thinknote

1) nginx http 포트 허용

http 포트는 80을 사용합니다. iptables에서 tcp 80번 포트를 사용하도록 열어주고 iptables에 체인이 등록되었는지 규칙을 출력합니다.
- -A : 체인에 추가
- -p tcp : 프로토콜 tcp
- -m tcp : tcp 일치, 확장일치
- –dport : 포트번호
- — j : 대상 점프
- ACCEPT : 허용
```
sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
sudo iptables -S
```
[Step 1] iptables에 80번 포트 추가

추가된 규칙을 저장하고 Reload 합니다.
```
sudo netfilter-persistent save
sudo netfilter-persistent reload
```
[Step 2] iptables 저장 및 reload

2) VirtualBox 포트 추가

VirtualBox에 포트를 추가해야 호스트 컴퓨터의 IP 또는 localhost(127.0.0.1)에서 접속이 가능합니다. 그리고 공유기를 사용하고 있다면 공유기의 DMZ기능이나 공유기 포트 포워딩 기능을 사용하면 외부에서도 접속이 가능합니다. 여기서는 공유기의 DMZ 설정에 대해서는 다루지 않습니다.

VirtualBox의 상세한 절차를 알고 싶다면 아래 링크를 클릭해서 확인할 수 있습니다.

Ubuntu SSH 포트 설정 및 연결 – Thinknote

아래 이미지와 같이 80번 포트에 대한 포워딩을 추가합니다.

[Step 3] VirtualBox 80번 포트 포워딩

3. Nginx 웹서버 접속 확인

포트 개방이 완료되고 호스트 컴퓨터의 인터넷 브라우저를 통해 ubuntu 서버의 nginx 웹서버에 접속합니다.
- localhost 접속(127.0.0.1)
[Step 1] 127.0.0.1

[Step 2] http://localhost
- 호스트 컴퓨터의 내부 IP로 접속
[Step 2] http://localhost
- 외부IP로 접속
[Step 2] http://220.xxx.xxx.xxx

함께 읽으면 좋은 글
2023년 01월 11일
Ubuntu SSH 포트 설정 및 연결
1. Ubuntu SSH 포트 개방

SSH 포트 개방을 위해서는 2가지 작업을 진행해야 합니다. 첫 번째는 ubuntu iptables에 22번 포트를 개방해야 하고 두 번째는 virtualbox의 포트를 포워드 해야 합니다. 만약 외부 ip를 사용해서 ubuntu를 설치 했다면 첫 번째 작업만 해도 무방합니다.
만약 호스트 PC가 공유기에 물려 있다면 DMZ 설정 및 포트 포워드로 22번 포트를 호스트 PC에 연결해야 외부에서 접속이 가능합니다.

1) 기본 환경 구성

지금부터 시작되는 내용은 다음과 같은 환경을 가정하고 진행합니다.
- Virtual로 ubuntu가 설치됨
- 호스트 PC는 내부 공유기로부터 IP를 할당
- Virtual IP: 10.0.2.15
2) Iptables SSH 포트 허용

SSH 포트는 22을 사용합니다. Iptables에서 tcp 22번 포트를 사용하도록 열어줍니다.
- -A : 체인에 추가
- -p tcp : 프로토콜 tcp
- -m tcp : tcp 일치, 확장일치
- –dport : 포트번호
- — j : 대상 점프
- ACCEPT : 허용
```
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
```
iptables에 체인이 등록되었는지 규칙을 출력합니다. 추가된 규칙을 저장하고 Reload 합니다.
```
sudo iptables -S
sudo netfilter-persistent save
sudo netfilter-persistent reload
```
[Step 1] ubuntu ssh 포트 추가

ubuntu의 IP를 확인하겠습니다. ip addr명령으로 IP를 확인하면 다음과 같이 출력되며 ubuntu의 IP가 10.0.2.15인 것으로 확인됩니다.
```
ip addr
```
[Step 2] ubuntu ip 확인

2. VirtualBox의 SSH 포트 포워딩

ubuntu의 SSH 포트 개방으로 Ubuntu의 연결은 허용되었지만 아직 호스트 컴퓨터에서는 접속을 할 수 없습니다. 호스트 컴퓨터에서 MobaXterm으로 ubuntu에 접속하기 위해서는 VirtualBox에서 포트를 포워딩 해야 합니다.

VirtualBox에서는 가상머신을 종료하지 않고 설정에서 포트 포위딩을 할 수 있습니다. 가상PC 설정의 네트워크를 클릭합니다.

[Step 1] virtualbox 관리자 실행

[Step 2] virtualbox 네트워크 설정

네트워크 Advanced를 확장하여 포트 포워팅 버튼을 클릭합니다.

[Step 3] virtualbox 네트워크 포트 포워딩 추가

포트 포워팅 규칙을 추가하기 위해 오른쪽 상단의 플러스 아이콘을 클릭합니다. 이름[SSH], 프로토콜[TCP], 호스트 IP(로컬호스트로 접속하기 때문에 비워두어도 됩니다.)[ ], 호스트 포트[22], 게스트 IP(ubuntu IP는 ip addr 명령으로 확인할 수 있습니다.)[10.0.2.15], 게스트 포트[22]를 입력합니다.

[Step 4] virtualbox ssh 포트(22) 포워딩 설정

3. MobaXterm으로 Ubuntu 터미널 접속

MobaXterm을 실행합니다. 아직은 등록된 Session이 없기 때문에 새로운 Session을 등록하기 위해 왼쪽 상단의 Session을 클릭합니다.

[Step 1] MobaXterm 실행

SSH를 사용해서 ubuntu에 접속하기 위해서 왼쪽 상단의 SSH를 클릭합니다.

[Step 2] MobaXterm ssh session

Remnote Host는 ubuntu IP가 아닌 호스트 PC의 IP를 의미합니다. Host IP는 cmd명령으로 호스트 PC의 터미널을 실행하고 ipconfig /all 명령으로 확인할 수 있습니다. 여기서는 localhost IP로 접속하기 때문에 127.0.0.1을 입력하겠습니다. OK 버튼을 클릭해서 창을 닫습니다.

[Step 3] MobaXterm ssh session 추가(localhost 및 host IP)

MobaXterm의 왼쪽 user session 부분에 127.0.0.1 세션이 추가된 것을 확인할 수 있습니다. 해당 세션을 더블 클릭해서 로그인 터미널이 나타나면 포트가 정상적으로 개방된 것입니다.

[Step 3] ubuntu 접속

Ubuntu OpenSSH 설치 및 MobaXterm 설치

함께 읽으면 좋은 글
2023년 01월 10일
Ubuntu OpenSSH 설치 및 MobaXterm 설치
1. OpenSSH 개념 및 특징

1) OpenSSH 개념

OpenSSH의 개념을 이해하고 OpenSSH 설치 및 MobaXterm 프로그램을 사용하여 Ubuntu에 원격 접속하도록 하겠습니다. SSH 프로토콜은 telnet 및 rlogin에 비해 향상된 보안을 지원합니다. SSH 프로토콜은 SSH1 및 SSH2에서 사용이 가능합니다.

SSH1 유형은 7.6 release부터는 지원되지 않고 있습니다. SSH2 유형은 RSA와 관련된 특허를 우회하며 CRC 데이터 무결성 문제를 해결하기 위해 발명되었습니다. 또한 SSH2 프로토콜은 대칭 및 비대칭 암호에 대한 다양한 선택 사항과 기능을 지원합니다.

따라서 OpenSSH는 SSH 프로토콜을 사용한 원격 접속에 가장 이상적인 도구라고 볼 수 있습니다. OpenSSH는 도청, 연결 하이재킹 및 기타 공격을 제어하기 위해 모든 드래픽을 암호화 합니다. 그리고 대규모 보안 터널링, 다양한 인증, 정교한 옵션 구성을 제공합니다.

OpenSSH 제품군은 다음 도구로 구성됩니다.
- 원격 작업은 ssh , scp 및 sftp 를 사용하여 수행됩니다 .
- ssh-add , ssh-keysign , ssh-keyscan 및 ssh-keygen 을 사용한 키 관리 .
- 서비스 측은 sshd , sftp-server 및 ssh-agent 로 구성 됩니다.
2) OpenSSH 특징

OpenSSH는 완전한 오픈 소스 프로젝트로 인터넷을 통해 누구나 무료로 사용할 수 있습니다. 코드 재사용 및 코드 검토를 통해 누구나 버그를 찾고 수정할 수 있습니다. OpenSSH는 모든 목적으로 사용할 수 있으며 여기에는 상업적 사용이 포함됩니다.

강력한 암호화(AES, ChaCha20, RSA, ECDSA, Ed25519…)는 인증 전에 시작되며 암호나 기타 정보는 암호화되지 않은 상태로 전송됩니다. 다양한 암호 및 키 유형을 사용할 수 있으며 레거시 옵션은 일반적으로 합리적인 시간 내에 단계적으로 제거됩니다.

X11 전달은 원격 X Windows 트래픽의 암호화를 허용하므로 아무도 원격 xterm을 스누핑하거나 악의적인 명령을 삽입할 수 없습니다. 프로그램은 서버 시스템에서 자동으로 디스플레이를 설정하고 보안 채널을 통해 모든 X11 연결을 전달합니다.

포트 포워딩(레거시 프로토콜을 위한 암호화된 채널)을 사용하면 암호화된 채널을 통해 TCP/IP 연결을 원격 시스템으로 포워딩할 수 있습니다. POP와 같은 안전하지 않은 인터넷 응용 프로그램을 보호할 수 있습니다.

강력한 인증(공개 키, 일회용 암호)은 IP 스푸핑, 가짜 경로 및 DNS 스푸핑과 같은 여러 보안 문제로부터 보호합니다. 일부 인증 방법에는 공개 키 인증, s/key를 사용한 일회용 암호 및 Kerberos를 사용한 인증(-portable에서만)이 포함됩니다.

에이전트 포워딩은 사용자의 랩탑 또는 로컬 워크스테이션에서 실행되는 인증 에이전트를 사용하여 사용자의 인증 키를 보유할 수 있습니다. OpenSSH는 모든 연결을 통해 자동으로 연결을 인증 에이전트로 전달하며 네트워크의 모든 시스템(사용자 자신의 로컬 시스템 제외)에 인증 키를 저장할 필요가 없습니다.

선택적 데이터 압축은 암호화 전에 데이터를 압축하면 느린 네트워크 링크의 성능이 향상됩니다.
2. OpenSSH 설치 및 확인

1) OpenSSH 설치

설치부터 함께 했다면 SSH는 설치되어 있습니다. 터미털에서 현재 상태를 확인하기 위해서 systemctl 명령어로 확인합니다.
```
sudo systemctl status ssh
```
[Step 1] OpenSSH 상태 확인

OpenSSH를 설치 했지만 서비스는 ssh.service로 작동합니다. 이미지의 Cgroup부분을 면 /system.slice/ssh.service로 나와 있습니다. 실제 설치된 패키지를 확인해 보겠습니다. apt list 명령을 활용해서 openssh와 관련해 설치된 패키지를 확인하면 3개의 패키지가(openssh-client, openssh-server, open-sftp-server) 설치되 있습니다.
```
sudo apt list openssh*
```
[Step 2] ssh.service enable

외부에서 원격으로 접속하기 위해서는 openssh-server가 반드시 설치되어 있어야 합니다. 만약 설치가 되지 않았다면 다음 명령어로 openssh-server를 설치합니다. 그리고 부팅시 자동 실행되도록 enable 합니다.
```
sudo apt install openssh-server
```
[Step 3] openssh 설치
```
sudo systemctl enable ssh
```
[Step 4] ssh.service enable
재부팅 후 ssh가 서비스되고 있는지 확인합니다.
```
reboot
sudo systemctl status ssh
```
[Step 5] OpenSSH 상태 확인
3. SSH 원격 접속을 위한 MobaXterm 설치

1) MobaXterm 특징

MobaXterm은 원격 접속 프로그램으로 Windows 응용 프로그램에서 프로그래머, 웹마스터, IT 관리자가 보다 간단한 방식으로 원격 작업을 위해 맞춤화된 많은 기능을 제공합니다.

MobaXterm은 모든 중요한 원격 네트워크 도구 (SSH, X11, RDP, VNC, FTP, MOSH, …) 및 Unix 명령 (bash, ls, cat, sed, grep, awk, rsync, …)을 Windows 데스크탑에 제공합니다.

SSH 를 사용하여 원격 서버에 연결할 때 원격 파일을 직접 편집하기 위해 그래픽 SFTP 브라우저 가 자동으로 팝업됩니다. MobaXterm Home Edition을 무료로 다운로드하여 사용할 수 있습니다.

2) MobaXterm 다운로드

MobaXterm 웹사이트에 접속하여 설치 파일을 다운로드 합니다. 파일은 installer edition과 portable edition으로 구분되는데 여기서는 installer edition으로 진행하겠습니다.

웹페이지 : MobaXterm free Xserver and tabbed SSH client for Windows (mobatek.net)

다운로드 페이지 : https://mobaxterm.mobatek.net/download-home-edition.html

[Step 1] MobaXterm 사이트

[Step 2] Home Edition 선택

[Step 3] Installer edition 다운로드

3) MobaXterm 설치

MobaXterm 압축 파일을 해제하고 설치를 진행합니다.

[Step 4] MobaXtrm 설치 프로그램 실행

[Step 5] 동의하고 Next 클릭

[Step 6] 기본 폴더 선택하고 Next 클릭

[Step 7] Install 클릭

[Step 8] 설치 진행 중

[Step 9] Finish 클릭하여 설치 종료

4) MobaXterm 실행

MobaXterm 실행하면 다음과 같이 프로그램이 실행됩니다. 여기서는 창을 종료하고 접속이 가능하도록 포트 및 방화벽을 설정하도록 하겠습니다.

[Step 10] MobaXtrm 실행 창

Ubuntu SSH 포트 설정 및 연결

함께 읽으면 좋은 글
2023년 01월 09일
Ubuntu 방화벽 iptables 설정 및 관리
1. iptables 방화벽 이해 및 설치

여기서는 Ubuntu 방화벽 iptables 설정 및 관리에 대해 이야기 합니다. 방화벽 관리의 대부분은 네트워크에 트래픽 제한을 적용할 개별 규칙 및 정책을 결정하는 것입니다.

Ubuntu는 기본 방화벽으로 ufw를 제공하고 있으나 iptables을 사용하면 규칙이 적용되는 구조적 프레임워크를 상세하게 관리할 수 있습니다.

우선 ufw 방화벽 사용을 중지하고 iptables 패키지를 활용하여 방화벽을 구성하는 방법으로 진행됩니다. iptables은 합리적인 기본값을 제공하고 확장성을 장려하는 프레임워크를 설정하는 데 중점을 두고 있습니다.

2. Iptables 설정(초기)

방화벽은 두 가지 방법 중 하나로 구성할 수 있습니다. 기본 규칙을 설정하여 특정 규칙으로 원치 않는 트래픽을 허용한 다음 차단하거나 규칙을 사용하여 허용된 트래픽을 정의하고 다른 모든 것을 차단할 수 있습니다. 후자는 클라우드 서버에 액세스하려고 시도해서는 안 되는 연결을 반응적으로 거부하지 않고 선제적으로 트래픽을 차단할 수 있으므로 종종 권장되는 접근 방식입니다.

1) iptables 현재 규칙 확인

Ubuntu 서버는 어떠한 제한도 적용되지 않지만 나중에 참조할 수 있도록 현재 iptables 규칙을 확인합니다. 리스트 확인은 -L 옵션 또는 -S옵션으로 확인할 수 있습니다. -L 옵션은 체인에 대한 규칙의 리스트화 하여 보여주는 반면 -S 옵션은 체인을 출력합니다.

출력하면 input, forward, output의 세가지 체인 목록이 출력됩니다. 체인 이름은 각 목록의 규칙이 적용될 트래픽을 나타내며, 입력은 클라우드 서버로 들어오는 모든 연결입니다. 출력은 외부로 나가는 모든 트래픽이며 통과하는 모든 트래픽에 대한 연결입니다. 또한 트래픽이 특정 규칙과 일치하지 않는 경우 트래픽 처리 방법을 결정하는 정책 설정이 있으며 기본적 설정은 허용입니다.
- PREROUTING: 패킷들은 라우팅 결정이 만들어지기 전에 이 체인에 포함됩니다..
- INPUT: 패킷이 로컬상에서 전달될 경우 체인의 규칙을 따릅니다.
- FORWARD: 라우팅되고 로컬 전달이 아닌 모든 패킷들은 전달됩니다.
- OUTPUT: 서버에서 보내진 패킷들의 경우 체인의 규칙을 따릅니다.
- POSTROUTING: 라우팅 결정이 만들어졌을 때, 패킷들은 하드웨어에 보내지기 전에 이 체인에 들어옵니다.
```
sudo iptables -L
sudo iptables -S
```
[Step 1] 현재 설정 확인

2) 모든 규칙 삭제

현재 설정된 모든 규칙을 삭제합니다. -F 옵션은 모든 체인에 포함되어 있는 규칙을 삭제합니다. -X 옵션은 사용자 정의된 체인을 모두 삭제합니다.

-F 옵션과 -X 옵션으로 모든 체인을 삭제합니다. 모든 규칙을 삭제하고 체인에 연결된 규칙이 있는지 -L 옵션과 -S 옵션으로 확인합니다. 초기 설치 후 명령어를 실행했다면 설정된 규칙이 없기 때문에 출력은 동일합니다.
```
sudo iptables -F
sudo iptables -X
sudo iptables -L
sudo iptables -S
```
[Step 2] 모든 체인 삭제

3) 로컬 체인 추가

로컬 네트워크에 접속이 가능하도록 체인을 추가합니다. 체인을 추가 할때는 -A 옵션을 사용합니다. -i 옵션은 네트워크 인터페이스 이름을 지정하는 옵션입니다.
```
sudo iptables -A INPUT -i lo -j ACCEPT
```
[Step 3] 로컬 연결 추가

4) 인바운드 트래픽 규칙 추가

iptables 사용을 시작하려면 먼저 필요한 서비스에 대해 허용된 인바운드 트래픽에 대한 규칙을 추가해야 합니다. iptables는 연결 상태를 추적할 수 있으므로 아래 명령을 사용하여 설정된 연결을 계속할 수 있습니다. related, established 패킷의 접속을 허용하는 규칙을 추가하며 이는 필요한 서비스에 대해 허용하도록 설정된 연결입니다.
```
sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
```
[Step 4] 서비스 연결 허용

5) 규칙 저장 및 재시작

체인을 추가했다고 바로 반영되는 것은 아닙니다. reload 명령어를 사용해서 저장된 체인이 반영되도록 해야 합니다. 하지만 reload 명령어만 사용하면 재시작 된 이후에는 추가된 체인이 사라지게 됩니다. 따라서 변경한 체인을 저장하고 재시작해야 합니다.

저장은 service+netfilter-persistent+save 명령어로 실행합니다. netfilter-persistent 명령은 flush, force-reload, reload, restart, save, start ,stop의 실행 명령어로 구성되어 있습니다.

변경된 체인을 저장하고 반영합니다.
```
sudo service netfilter-persistent save
sudo service netfilter-persistent reload
```
[Step 5] 설정 저장 및 재시작

3. Iptables 설정(사용법)
- iptables – [ACD] 체인 규칙 사양 [옵션]
- iptables -I 체인 [규칙 번호] 규칙 사양 [옵션]
- iptables -R 체인 규칙 번호 규칙 사양 [옵션]
- iptables -D 체인 규칙 번호 [옵션]
- iptables -[LS] [체인 [규칙 번호]] [옵션]
- iptables – [FZ] [체인] [옵션]
- iptables -[NX] 체인
- iptables -E 이전 체인 이름 새 체인 이름
- iptables -P 체인 타겟 [옵션]
- iptables -h 도움말 출력
5. Iptables 설정(명령어)
- –append -A chain : 체인에 추가
- –check -C chain : 체인의 규칙 존재 여부 확인
- –delete -D chain : 일치하는 체인 규칙 삭제
- –delete -D chain rulenum : 체인의 룰 번호로 삭제
- –insert -I chain [rulenum] : 규칙 번호로 체인에 삽입 (기본값 1 = 첫 번째)
- –replace -R chain rulenum : 체인에서 규칙 규칙 번호(1 = 첫 번째) 바꾸기
- –list -L [chain [rulenum]] : 체인 또는 모든 체인의 규칙 나열
- –list-rules -S [chain [rulenum]] : 체인 또는 모든 체인에서 규칙 인쇄
- –flush -F [chain] : 체인의 모든 규칙 또는 모든 체인 삭제
- –zero -Z [chain [rulenum]] : 체인 또는 모든 체인의 제로 카운터
- –new -N chain : 새 사용자 정의 체인 만들기
- –delete-chain -X [chain] : 사용자 정의 체인 삭제
- –policy -P chain target : 체인에서 대상으로 정책 변경
- –rename-chain -E old-chain new-chain : 체인 이름 변경(참조 이동)
6. Iptables 명령어(옵션)
- –ipv4 -4 : 없음(ip6tables-restore에서 라인이 무시됨)
- –ipv6 -6 : 오류(iptables-restore에서 라인이 무시됨)
- –protocol -p proto : 프로토콜 번호 또는 이름으로, 예. `tcp’
- –source -s : address[/mask][…] 소스 사양
- –destination -d : address[/mask][…] 대상 지정
- –in-interface -i : 입력 name[+] 네트워크 인터페이스 name ([+] for wildcard)
- –jump -j : 대상, 규칙의 대상(대상 확장 프로그램을 로드할 수 있음)
- –goto -g : 체인, 리턴 없이 체인으로 점프
- –match -m : 일치 확장 일치(확장 프로그램을 로드할 수 있음)
- –numeric -n : 주소 및 포트의 숫자 출력
- –out-interface -o : 출력 name[+] 네트워크 인터페이스 name ([+] for wildcard)
- –table -t : 테이블, 조작할 테이블 (default: `filter’)
- –verbose -v : 자세한 정보 표시 모드
- –wait -w [seconds] : 포기하기 전에 xtables 잠금을 획득하기 위한 최대 대기 시간
- –wait-interval -W [usecs] :xtables 잠금을 획득하기 위한 대기 시간 기본값은 1초
- –line-numbers : 나열할 때 줄 번호 인쇄
- –exact -x : 숫자 확장(정확한 값 표시)
- –fragment -f : 두 번째 또는 추가 조각만 일치
- –modprobe=<command> : 이 명령을 사용하여 모듈을 삽입
- –set-counters PKTS BYTES : 삽입/추가 중에 카운터 설정
- –version -V : 패키지 버전 출력
7. Iptables 포트 활용

1) openssh 포트

Ubuntu SSH 포트 설정 및 연결

함께 읽으면 좋은 글
2023년 01월 08일
Ubuntu 방화벽 iptables 설치 및 활성화
방화벽은 서버 보안에서 중요한 단계로 iptables 설치 및 활성화를 다룹니다. 방화벽 관리의 대부분은 네트워크에 트래픽 제한을 적용할 개별 규칙 및 정책을 결정하는 것입니다.

1. iptables 방화벽 이해 및 사전 준비

Ubuntu는 기본 방화벽으로 ufw를 제공하고 있으나 iptables을 사용하면 규칙이 적용되는 구조적 프레임워크를 상세하게 관리할 수 있습니다.

우선 ufw 방화벽 사용을 중지하고 iptables 패키지를 활용하여 방화벽을 구성하는 방법으로 진행됩니다. iptables은 합리적인 기본값을 제공하고 확장성을 장려하는 프레임워크를 설정하는 데 중점을 두고 있습니다.

1) 사전 준비

ufw 방화벽 상태를 확인하고 방화벽을 중지합니다. Ubuntu 설치부터 함께 따라왔다면 ufw 방화벽을 active(활성화) 되어 있습니다. 이때 sudo ufw status 명령을 입력하면 inactive(비활성화)로 나옵니다. iptables을 설치하는데 ufw 방화벽을 비활성화하지 않는다면 충돌이 발생합니다. 서비스를 관리하는 명령어는 systemctl 또는 [서비스명.service]의 형태로 관리할 수 있습니다.

2) ufw 상태 확인
```
sudo systemctl status ufw
```
[Step1] ufw 상태 확인

3) ufw 중지 및 비활성화

서비스를 중지는 stop 명령어를 활용할 수 있지만 stop은 시작 활성화에 영향을 미치지 않습니다. 반면 disable 명령은 시작 시 서비스를 비활성화시키며 –now 명령어를 추가면 즉시 반영됩니다. 아래 명령어로 ufw 서비스를 비활성화하고 reboot 명령으로 재시작 합니다.
```
sudo systemctl disable --now ufw
reboot
```
[Step2] ufw 비활성화
```
sudo systemctl status ufw
```
[Step3] ufw 상태 확인
2. iptables 설치 및 활성화 문제 확인

1) iptables 설치(iptables-persistent)

ufw를 중지했다면 iptables 패키지를 설치합니다. Iptables 설치 후 규칙 세트를 저장하고 부팅 시 자동으로 적용되도록 할 수 있습니다.
```
sudo apt install iptables-persistent
```
[Step4] Y를 입력하여 계속 진행

[Step5] IPv4 rules에 대해 YES 선택 후 Enter

[Step6] IPv6 rules에 대해 YES 선택 후 Enter

2) iptables 시작 시 활성화(enable)
- Iptables 상태 확인
```
sudo systemctl status iptables
```
[Step7] iptables 상태 확인
- Iptables 상태 시작 시 활성화
```
sudo systemctl enable iptables
reboot
```
[Step8] iptables 활성화 명령어 및 재시작

3) iptables 활성화 문제 확인(시작 시 자동 활성화 안됨)
- Iptables 상태 확인
ubuntu 20에서는 정상적으로 활성화되지만 ubuntu 22에서는 활성화가 안되어 있습니다. iptables의 상태를 확인하면 별칭(alias)이 등록되어 있지 않기 때문에 별칭을 등록해야 합니다.
```
sudo systemctl status iptables
```
[Step9] iptables 상태 확인
3. iptables 별칭 등록 및 시작 시 활성화

1) Iptables 시작 활성화를 위한 별칭(alias) 등록

iptables.service의 위치는 상태에서 확인이 가능하고 nano 편집기로 파일을 불러옵니다. vi 편집기를 사용해도 무방합니다. 파일 아래쪽 [install] 하단에 별칭을 등록해 줍니다. 여기서는 Alias=iptables.service로 등록합니다.
```
sudo nano /lib/systemd/system/iptables.service
```
[Step10] iptables 서비스 alias 등록

[Step11] 편집기를 활용하여 내용 추가(Alias=iptables.service)

Iptables를 비활성화 후 다시 활성화를 진행합니다. 이때 –now 명령을 추가하면 활성화와 함께 서비스가 함께 실행됩니다.
```
sudo systemctl disable iptables
sudo systemctl enable iptables
```
2) 재시작 후 서비스 활성화 확인

서버를 재시작하여 서비스가 시작 시 활성화 되는지 확인합니다. 아래 이미지처럼 netfilter-persistent.service와 dependency 충돌이 발생하면 netfilter-persistent.service를 재시작합니다. systemctl 명령어로 iptables 서비스가 정상적으로 활성화 된 것을 확인할 수 있습니다.
```
reboot
sudo systemctl status iptables
sudo systemctl restart netfilter-persistent.service
```
[Step12] 재시작 후 iptables 자동 활성화 확인
3. iptables 모든 연결 차단

앞의 설정은 INPUT, FORWARD, OUTPUT가 모두 허용된 설정입니다. INPUT, FORWARD는 모두 닫아 주도록 하겠습니다. 구성을 출력하면 INPUT, FORWARD가 닫힘으로 표시되어 있습니다. 앞으로 서비스를 추가하면 관련 서비스에 대한 포트만 오픈하여 실행되도록 하겠습니다.
```
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -S
```
[Step13] INPUT, FORWARD DROP

변경된 설정을 저장하고 reload 합니다. reload는 재시작하지 않고 규칙을 적용하기 위한 명령입니다. 다음 코드를 실행하지 않으면 변경한 정보가 ubuntu 재시작시 적용되지 않습니다.
```
sudo netfilter-persistent save
sudo netfilter-persistent reload
```
함께 읽으면 좋은 글
2023년 01월 07일