보안에 신경쓰자. (Apache2+mod_ssl)

분류없음 2007/09/11 00:45 Posted by E.K. KIM
얼마전 Pure-FTPd를 설정 하다 TLS설정을 안했을 경우 네트워크 상에 어떤 패킷들이 돌아 다니는지 굼금하여 Wireshark로 패킷을 수집했었다. 어느정도 예상은 했었지만 TLS설정이 안된 상태에서 FTP에 접속했을 경우 로그인 요청 메시지에 들어 있는 비밀번호가 암호화 안된 상태로 전송되는것을 보고 바로 TLS옵션을 켰고 현재는 FTP 접속시에 되도록이면 보안 접속을 이용하려고 노력중이다.

이런 이유로 보안에 관심을 가지다 보니 HTTP상에서 동작하는 trac이 눈에 거슬린다. 거의 모든 개인 자료들이 subversion 저장소에 들어 있는 상황에서 이 사이트가 해킹이라도 당하면 이제까지 모아두었던 자료들이 순식간에 날아가는 것은 물론이고 같은 비밀번호를 사용하는 여러 사이트(대부분 돈과 관련된 사이트나, 사생활과 밀접히 관련되어 있는 사이트)들 역시 안전하지 않기 때문에 전송시 데이터가 암호화 되는 mod_ssl을 이용해야 겠다는 생각에 곧바로 작업에 들어갔다. 어렵지 않게 mod_ssl 설정은 마쳤지만 이전 주소로 접속 했을 경우 새로운 주소로 리다이렉션 시키기 위해 .htaccess 파일을 만지는 부분이 막혀 몇시간 삽질을 하게 되었다 하지만 만족할 만한 결과를 얻었으니 O.K.

mod_ssl 설정에 관한 내용은 다음 사이트를 참고 한다.
* http://www.linode.com/wiki/index.php/Apache2_SSL_in_Ubuntu
* http://gentoo-wiki.com/SSL

Creative Commons License
Creative Commons License
TAG apache2, Linux, mod_rewrite, mod_ssl, tls, ubuntu, 리눅스, 보안, 아파치 웹서버, 우분투
Tracback 0 Comment 0

Pure-FTPd Charset Converting mini HOWTO

Linux Life 2007/08/31 05:21 Posted by E.K. KIM

서버로 사용하는 리눅스 박스의 문자셋이 UTF-8로 설정되어 있는 상황에서 시스템의 문자셋이 UTF-8이 아닌 MS Windows에서 리눅스 박스의 FTP 서버에 접속했을 경우 UTF-8로 되어 있는 한글 파일이름이 깨져 나오거나 아예 보이지 않는 현상이 발생한다. 나의 경우 FTP Client를 서버의 문자셋을 따로 설정할 수 있는 FileZilla를 사용하기 때문에 상관 없지만 MS IE나 서버의 문자셋을 설정할 수 없는 여타 다른 FTP Client로 FTP 서버에 접속하였을 경우 UTF-8로된 한글 파일이름이 깨어지게 되고 MS IE에서 업로드한 한글 파일 이름 역시 리눅스 박스에서 깨져나오게 된다.

 이러한 이유로 서버단에서 문자셋을 변경해 줄수 있는 FTP 데몬을 찾고 있었는데 구글님의 도움으로 Pure-FTPd가  RFC2640을 지원기 때문에 서버와 클라이언트의 문자셋이 다를 경우 서버에서 문자셋을 바꿔주는 기능이 있다는 사실을 알게 되었다.

Pure-FTPd를 설치 하고 서버의 문자셋을 UTF-8로 클라이언트의 문자셋을 CP949(EUC-KR)로 설정하니 원했던되로 MS IE에서도 한글을 훌륭하게 표현된다.

우분투 박스에서 Pure-FTPd를 설치하고 설정하는 방법을 간단하게 적는다.

우선 Pure-FTPd를 설치한다.

sudo apt-get install pure-ftpd


다른 FTP Client와는 다르게 Pure-FTPd 데몬 실행 옵션으로 FTP 데몬을 설정할 수 있게 되어 있다. Ubuntu에서는 /etc/pure-ftpd/conf 디렉터리에 실행시 적용할 옵션의 이름과 같은 파일을 만들고 그 파일에 해당 옵션에 주어야할 값이나 해당 옵션이 on/ff의 기능을 하는 경우 파일에 yes/no를 적어 주면 데몬 실행 wrapper에서 conf 디렉터리에 있는 파일들을 읽어 옵션을 적용하여 데몬을 실행하게 된다.  실행시 사용할 수 있는 옵션은 --help 옵션으로 알 수 있다.


pure-ftpd --help


익명 FTP를 사용하고 싶지 않다면 --noanonymous (-E) 옵션을 사용하면 되는데 /etc/pure-ftpd/conf 디렉터리에 NoAnonymous 파일을 만들고 이 파일에 yes를 적어 주면 실행시에 이 옵션을 적용된다. 만드는 파일의 이름은 첫글자는 대문자 다른 글자는 소문자, 여러 단어가 합쳐져 있을 경우는 각단어의 시작을 대문자로, 옵션의 이름이 약어일 경우 모두 대문자로 만들어 주면 된다.

몇가지 예를 들어 보면 로그 파일의 위치를 지정하는 altlog 옵션의 경우 AltLog,  시스템 계정 사용자의 인증을 허용하는 옵션인 unixauthentication 옵션의 경우 UnixAuthentication, 보안을 위해 TCL/SSL을 활성화 하는 옵션인 tls 옵션의 경우 약자이므로 TLS 파일을 만들어 주면 된다.

앞에서도 설명했지만 파일안의 내용은 옵션이 on/off 기능을 담당하는 경우 yes/no를 옵션이 특정 값을 요구하는 경우는 해당 값을 적어 주면 된다.

다음은 설치시 기본적으로 적용되는 옵션외에 문자셋  변환을 위한 옵션 (FsCharset, ClientCharset), FTP 로깅시 호스트 이름 대신 IP를 로깅하게 하게 하는 옵션 (DontResolve), MS IE 등  일부 FTP Client와 의 호환을 위해 일부 표준을 무시하는옵션(BrokenClientsCompatibility, MS IE로 접속했을때 주소창에 ID@example.com와 같이 ID를 넣지 않고 ftp 서버의 주소만 넣을 경우 익명 FTP 로 접속되는데 익명 FTP로 접속하지 않고 ID/PW를 물어 보는 창을 표시하고 싶을 때 사용.)들을 적용하는 예다.

echo "utf8" | sudo tee /etc/pure-ftpd/conf/FsCharset
echo "cp949" | sudo tee /etc/pure-ftpd/conf/ClientCharset
echo "yes" | sudo tee /etc/pure-ftpd/conf/BrokenClientsCompatibility
echo "yes" | sudo tee /etc/pure-ftpd/conf/DontResolve


적용후 데몬으로 재시작 하면 해당 옵션이 적용되어 데몬이 시작되는 것을 볼 수 있다.


sudo /etc/init.d/pure-ftpd restart

한가지 아쉬운 점이라면 이런 옵션을 특정 사용자나 특정 디렉터리에만 적용하는 방법을 찾을 수 없었다는 것이다.
Creative Commons License
Creative Commons License
TAG Charset Converting, FileZilla, FTP Client, Internet Explorer, Linux, MS IE, Pure-FTPd, RFC2640, ubuntu, 리눅스, 우분투
Tracback 0 Comment 0

리눅스에서 네이버 야구중계를 보자!!

Linux Life 2007/07/25 20:21 Posted by E.K. KIM
우분투에 기본적으로 설치 되어 있는 totem 플러그인으로는 네이버 야구중계를 볼 수 없다. 달리 설정하는 방법이 있는지는 모르겠지만 mplayerplug-in과 w32codecs을 설치하니 네이버 야구중계를 볼 수 있게 되었다.

기본적으로 설치되어 있는 totem-mozilla 패키지를 제거하고 mozilla-mplayer 패키지를 설치한다.
sudo apt-get --purge remove totem-mozilla
sudo apt-get install mozilla-mplayer


스트리밍을 제대로 보기 위해서는 w32codecs 코덱을 설치해야 하는데  이 패키지는 라이센스 문제로 기본 저장소(repository)에 포함되어 있지 않으므로 /etc/apt/sources.list 파일을 열어 다음 저장소를 추가 한다.

deb http://medibuntu.sos-sts.com/repo/ feisty free non-free
deb-src http://medibuntu.sos-sts.com/repo/ feisty free non-free

저장소를 추가한 다음 다음 명령으로 키를 복사 한다.

wget -q http://packages.medibuntu.org/medibuntu-key.gpg -O- | sudo apt-key add -


소스 리스트를 업데이트 하고 코덱을 설치 한다.

sudo apt-get update
sudo apt-get install w32codecs libdvdcss2

firefox를 재시작한 후 네이버 야구중계 페이지를 열면 플러그인이 totem에서 mplayer로 변경된것을 볼 수 있다. 스트리밍을 재생하지 못하고 정지 하는 경우가 있는데 이럴 때는 새로고침이나 재생 버튼을 누르면 재생이 된다.

코덱 문제인지 Windows에서보다는 화질이 떨어진다.

사용자 삽입 이미지


참고
http://www.ubuntugeek.com/install-mplayer-and-multimedia-codecs-libdvdcss2w32codecs-in-ubuntu-feisty-fawn.html


Creative Commons License
Creative Commons License
TAG Linux, Mplayer, mplayerplug-in, ubuntu, Ubuntu Feisty Fawn, 네이버 스포츠, 네이버 야구중계, 리눅스, 우분투
Tracback 0 Comment 2

NVIDIA 8500GT on Ubuntu Feisty Fawn

Linux Life 2007/07/17 06:18 Posted by E.K. KIM
현재 우분투의 nvidia-glx가 아직 8500GT를 지원하지 않기 때문에 NVIDIA 홈페이지에 100대 드라이버를 다운받아 설치 해야 한다.

nvidia.com에서 드라이버를 받아 설치 하기전 설치 되어있는 nvidia-glx, nvidia-kernel-common등을 모두 제거한다.

dpkg -l |grep nvidia
sudo apt-get --purge remove nvidia-glx linux-restricted-modules-generic nvidia-kernel-common

Creative Commons License
Creative Commons License
TAG 8500GT, Linux, nvidia, Ubuntu 7.04, Ubuntu Feisty Fawn, 리눅스, 우분투
Tracback 0 Comment 0

PHP4 in Ubuntu 7.04 (Feisty Fawn)

Linux Life 2007/06/14 22:23 Posted by E.K. KIM

6.10 (Edgy Eft)이 설치 되어 있던 서버를 7.04로 업데이트 하는 과정에서 MySQL과 PHP가 MySQL5, PHP4로 업데이트 되었다. MySQL의 경우 문제 없이 동작했지만 PHP의 경우 PHP5로 업데이트 됨으로 인해 발생한 에러로 페이지를 표시하지 못하는 문제가 발생하였다. 하는 수 없이 PHP4로 다운 그레이드를 시도 했지만 PHP4 패키지가 LEFT되어 설치 되지가 않는다.

$ sudo apt-get install php4
Reading package lists... Done
Building dependency tree      
Reading state information... Done
Package php4 is not available, but is referred to by another package.
This may mean that the package is missing, has been obsoleted, or
is only available from another source
E: Package php4 has no installation candidate


구글링해본 결과 데비안 미러 사이트(링크는 KAIST 미러)에서 다음 패키지를 받아 설치 하면 된다고 한다.

libapache2-mod-php4_4.4.4-9+lenny1_i386.deb
php4_4.4.4-9+lenny1_all.deb
php4-cli_4.4.4-9+lenny1_i386.deb
php4-common_4.4.4-9+lenny1_i386.deb
php4-curl_4.4.4-9+lenny1_i386.deb
php4-gd_4.4.4-9+lenny1_i386.deb
php4-mysql_4.4.4-9+lenny1_i386.deb

배낀 페이지 : http://ubuntuforums.org/showthread.php?t=465157



Creative Commons License
Creative Commons License
TAG APM, feisty fawn, Linux, PHP4, ubuntu, Ubuntu 7.04, Ubuntu Feisty Fawn, 리눅스, 우분투
Tracback 0 Comment 1

ns-allinone-2.28 + mobiwan on Ubuntu

Linux Life 2007/05/25 05:44 Posted by E.K. KIM
ns-allinone-2.28 + mobiwan on Ubuntu
이글은 http://gaedol.org/resources/wiki 내에 있던 글을 옯긴 것 입니다.

1. 설치 준비
$ cd ~/ns
$ wget http://www.isi.edu/nsnam/dist/ns-allinone-2.28.tar.gz
$ tar zxvf ns-allinone-2.28
$ mv ns-allinone-2.28 ns-allinone-2.28.mobiwan

2. 설치에 필요한 패키지 설치
$ sudo apt-get install -f libxt-dev libxt6 libsm-dev libsm6 libice-dev libice6 sgb
$ sudo apt-get install libxmu-dev
자세한 내용은 두번째 참고 문서를 참고하기 바란다.

3. 패치 적용
글의 마지막 부분에 있는 패치를 다운받아 패치를 적용한다.
$ cd ns-2.28-mobiwan-ubuntu-6.10.diff.gz ~/ns/patch
$ cd ~/ns/ns-2.28-allinone.mobiwan
$ zcat ~/ns/patch/ns-2.28-mobiwan-ubuntu-6.10.diff.gz | patch -p1

4. Patch 적용후 작업
gt-itm을 성공적으로 빌드 하기 위해서는 bin 디렉터리를 생성해주어야 한다.
$ cd gt-itm
$ mkdir bin
$ cd src
$ make

5. 설치
패치가 성공적으로 적용되었으면 install 파일을 실행하여 설치한다. 설치가 실패할 경우 빌드시 나타나는 error메시지를 토대로 error를 수정한 후 다시 빌드 한다.
$ ./install > build.out

6.  추가 사항
tcl/tk가 configure 도중 에러가 발생한다면 configure 파일이 있는 디렉토리로 이동한다음 autoconf를 실행한다.

$ cd {tcl8.4.5, tk8.4.5}/unix
$ autoconf


gt-itm이 libbgb.a 파일을 필요로 한다면 gt-itm 디렉터리로 이동한 후 다음 명령을 실행 한다.
$ cd gt-itm
$ mkdir lib
$ ln -s /usr/lib/libgb.a lib


* 참고 문서
ns-allinone-2.28.mobiwan-ubuntu-6.10.diff.gz

Creative Commons License
Creative Commons License
TAG Linux, mobiwan, ns-2, ubuntu, 리눅스, 우분투
Tracback 0 Comment 0

Xorg Server + Nvidia Graphic Card 환경에서 Dual Head 설정

Linux Life 2007/05/25 05:32 Posted by E.K. KIM

Xorg Server + Nvidia Graphic Card 환경에서 Dual Head 설정
이글은 http://gaedol.org/resources/wiki 내에 있던 글을 옮긴 것입니다.

Nvidia 그래픽 카드를 사용하여 Dual Head를 구성하는 방법에는 TwinView를 이용하는 방법과 Xinerama를 이용하는 방법이 있다. TwinView는 하나의 CPU(그래픽 코어)를 이용하는 그래픽 카드를 이용해 여러 모니터를 지원하게 하기 위해 개발된 방법이다. 이와는 달리 Xinerama는 DEC에에서 PanoramiX라는 이름으로 개발되어 X window 시스템에 통합되었다. TwinView가 Nvidia 칩셋을 사용하는 그래픽 카드에서만 사용되는 것에 반해 Xinerama는 일반적으로 사용되는 거의 모든 그래픽카드를 지원한다. 여기서는 Xinerama를 이용하여 Dual Head를 구성하는 방법에 대하여 설명할 것이다.

1. Installing Nvidia Driver
 먼저 자신의 우분투박스에 설치된 커널의 아키텍쳐를 알아낸 후 최신 kernel image, headers와 restricted modules을 설치 한다.

$ uname -r  
   2.6.17-11-generic
$ sudo apt-get install linux-generic


 Nvidia Driver를 설치 한다.
 

sudo apt-get install nvidia-glx

 xorg.conf 파일을 백업한 후 Nvidia Driver를 활성화 시킨다.

$ sudo cp /etc/X11/xorg.conf  /etc/X11/xorg.conf_backup
$ sudo nvidia-xconfig

 X server를 재시작하여 Nvidia드라이버를 적용시킨다.(Ctrl + Alt + Backspace키를 누르면 X server가 새로운 설정파일을 읽어 재시작된다.)

2. Configure Dual Head with Xinerama
 드라이버 설치를 마쳤으면 Dual Head를 구성하여 보자. Xinerama를 이용하여 Dual Head를 구성하기 위해서는 /etc/X11/xorg.conf파일에 Screen, Monitor, Device Section을 하나씩 추가 해주면 된다. 다음과 같이 추가 한다.

Section "Monitor"
    Identifier     "Monitor[0]"
    Option         "DPMS"
EndSection

Section "Monitor"
    Identifier     "Monitor[1]"
    Option         "DPMS"
EndSection

Section "Device"
    Identifier     "Device[0]"
    Driver         "nvidia"
    Screen         0
    BusID          "PCI:1:0:0"
EndSection

Section "Device"
    Identifier     "Device[1]"
    Driver         "nvidia"
    Screen         1
    BusID          "PCI:1:0:0"
EndSection

Section "Screen"
    Identifier   "Screen[0]"
    Device       "Device[0]"
    Monitor      "Monitor[0]"
    DefaultDepth 24
    SubSection "Display"
        Viewport   0 0
        Depth      24
        Modes      "1280x1024"
    EndSubSection
EndSection

Section "Screen"
    Identifier   "Screen[1]"
    Device       "Device[1]"
    Monitor      "Monitor[1]"
    DefaultDepth 24
    SubSection "Display"
        Viewport   0 0
        Depth      24
        Modes      "1280x1024"
    EndSubSection
EndSection

 다음 Layout Section을 다음과 같이 수정한다.

Section "ServerLayout"
    Identifier     "Default Layout"
    Screen         0 "Screen[0]" 0 0
    Screen         1 "Screen[1]" Rightof "Screen[0]
    InputDevice    "Generic Keyboard"
    InputDevice    "Configured Mouse"
    InputDevice    "stylus" "SendCoreEvents"
    InputDevice    "cursor" "SendCoreEvents"
    InputDevice    "eraser" "SendCoreEvents"
    Option         "Xinerama" "on"
EndSection

X  server를 재시작한다.

3. 모니터 우선순위 설정

 Nvidia Driver를 설치 하면 first display가 DVI가 아니라 D-SUB으로 설정된다. DVI를 first display로 바꾸기 위해서는 Device 색션에 UseDisplayDevice 옵션을 추가 하여 해당 디바이스가 사용할 출력포트를 선택하도록한다. DFP는 DVI포트를 의미하고 CRT는 D-SUB 포트를 의미한다. 그래픽 카드의 두 포트 모두 D-SUB이나 DVI 포트를 사용한다면 DFP-0, DFP-1이나 CRT-0, CRT-1로 구분한다.

Section "Device"
    Identifier     "Device[0]"
    Driver         "nvidia"
    Option         "UseDisplayDevice" "DFP"
    Screen         0
    BusID          "PCI:1:0:0"
EndSection

Section "Device"
    Identifier     "Device[1]"
    Driver         "nvidia"
    Option         "UseDisplayDevice" "CRT"
    Screen         1
    BusID          "PCI:1:0:0"
EndSection

Creative Commons License
Creative Commons License
TAG DualHead, Linux, nvidia, ubuntu, xorg, 듀얼헤드, 리눅스, 우분투
Tracback 0 Comment 0

키보드 마우스 공유 프로그램 시너지(Synergy)

Linux Life 2007/02/08 22:12 Posted by E.K. KIM

실험실에 문서 작업, 웹 서핑에 사용하는 Windows XP가 깔린 피씨와 서버및 개발에 사용하는 Ubuntu box가 있다. 당연히 키보드도 2개 마우스도 2개이다 보니 어떻게 정리를 해도 책상이 어지러울수 밖에 없고 컴퓨터를 옯겨 다니면서 작업하기도 여간 귀찮은 것이 아니다.   그래서 괜찮은 KVM을 찾기 위해 KLDP에 질문을 올렸었는데 어떤 분이 시너지라는 소프트웨어를 알려 주었다.

그 후, 이런 저런 일때문에 신경을 쓰지 못하고 있었는데 왠지 오늘따라 키보드와 마우스를 옮겨 다니는게 불현하게 느껴지는 것이다. 그래서 이전 기억을 더듬어 시너지라는 프로그램을 설치하고 사용해보니 꽤 괜찮은 프로그램인 것 같다. 설치 과정과 설정 과정등은 아래 링크에 자세히 다루고 있으니 따로 설명하지 않겠다.  

KLDP에 올렸던 질문.

한빛 미디어 홈페이지에 있는 시너지 설치 문서

시너지 1.3.1 한/영, 한자 키 패치 
(맨 마지막 송효진님의 컴파일한 exe 파일과 dll 파일을 원래 있던 파일에 덮어 써주면 된다.)

리눅스 시작시 시너지 클라이언트/서버 자동 시작하기 

참고로 테스트한 환경은 Windows 서버, 리눅스(Ubuntu edgy) 클라이언트 환경이었다.

 

Creative Commons License
Creative Commons License
TAG KVM, Linux, synergy, ubuntu, 리눅스, 시너지
Tracback 0 Comment 0

우분투 e1000 모듈 문제

Linux Life 2007/02/08 01:39 Posted by E.K. KIM
실험실에 서버로 사용하는 컴퓨터가 Intel on-board Gigabit Ethernet Controller를 사용한다.
 
Ethernet controller: Intel Corporation 82573V Gigabit Ethernet Controller (Copper) (rev 03)

 그런데 이놈이 불규칙 적으로 접속이 되지 않다가 시간이 지나면 다시 접속이 되는 현상이 자주 발생한다. 처음에는 IP충돌이 나서 그러나 했지만 시간이 지나도 계속 그러는 것이다. 그래서 로그를 봤더니 다음과 같은 로그가 남아 있다.  

e1000: eth0: e1000_watchdog: NIC Link is Down
e1000: eth0: e1000_watchdog: NIC Link is Up 100 Mbps Full Duplex
e1000: eth0: e1000_watchdog: 10/100 speed: disabling TSO

 그래서 해당 로그로 검색을 해보니 GbE에서 사용하는 TCP Segmentation Offload과 관련된 문제라는데 문제의 TSO를 disable해도 해결이 안되되어 acpi를 끄니 문제가 해결 되었단다. (검색해서 찾은 글에 트랙백을 보내려고 했더니 트랙백을 보낼 수 없습니다. 라는 오류가 나서 해당글을 링크한다. http://blog.lunatine.net/lunatine/entry/리눅스-e1000-드라이버-오류)

혹시나 하는 마음에 TSO만 disable 시키고 상태를 보니 해당 여전히 간헐적으로 인터넷이 안되는 현상이 발생하여 acpi를 끄려고 했더니 acpi를 off하면 하이퍼 스래딩 기능이 꺼진다는 것이다. 사실 우분투를 처음 설치한후 하이퍼 스래딩 기능을 활성화 시키지 않았을 경우 기본적으로 하이퍼 스래딩 기능이 꺼져 있지만 하이퍼 스래딩 기능을 활성화 시켜 사용하는 경우에는 찝찝할 수 밖에 없다.

그럼 그럴 경우에는 어떻게 하느냐?

커널 옵션에 acpi=off 옵션을 주지 말고 acpi=ht 옵션을 주도록 하자.

시스템을 재시작 한 후 하이퍼 스래딩 기능이 활성화 되어 있는지 확인 하기 위해 /proc/cpuinfo 의 flags에 ht 가있는지 확인하자.

flags  : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx lm constant_tsc pni monitor ds_cpl est tm2 cid cx16 xtpr
Creative Commons License
Creative Commons License
TAG e1000, Inte, Linux, 리눅스, 우분투
Tracback 0 Comment 0