WEB (17) 썸네일형 리스트형 NGINX Log 설정 # 테스트 환경OS : Oracle Linux Server release 8.6JDK : 1.8Tomcat : 9.0.89Nginx ver. : 1.14.1 1. Log 경로 변경NGINX의 기본 로그 경로는 다음과 같다.access_log /var/log/nginx/access.logerror_log /var/log/nginx/error.log log를 따로 빼서 보관하기 위해 아래의 경로를 생성 후access_log /logs/nginx/access_log/access.logerror_log /logs/nginx/error_log/error.log 해당 경로로 nginx.conf에서 설정 값을 변경 후 재 실행하게 되면 Permission denied 에러가 떨어지게 된다. 새로 생서한 Log 경로.. NGINX Health Check # 테스트 환경OS : Oracle Linux Server release 8.6JDK : 1.8Tomcat : 9.0.89Nginx ver. : 1.14.1 Nginx와 Nginx Plus는 upstream에 속해 있는 서버들을 지속적으로 테스트하고 사용 불가능한 서버에는 요청을 분기시키지 않으며 다시 복구된 서버를 LB 그룹에 추가할 수 있다. 다만 Open Source Nginx의 경우엔 수동적인 health check만 가능하며 활성 상태 및 active 활동 모니터링 대시보드 사용을 위해서는 Nginx Plus를 사용해야 한다. 따라서 현재 환경에선 수동 Health Check만 테스트 진행 1. 테스트 환경 및 설정WAS는 tomcat으로 통일하여 tomcat_1, tomcat_2 두 대를 준비.. DocumentRoot 설정 # OHS 12.2.1.4(Apache 2.4) 기준으로 작성되었습니다 # DocumentRoot기본적으로 WEB/WAS의 구분 기준은 다음과 같다.WAS는 정적 파일 처리를 WEB은 동적 파일 처리를 담당 하지만 최근 들어서 WEB은 SSL 인증서를 통한 보안을 위한 통로로만 쓰이는 경우가 많고 WAS에서 모든 애플리케이션 처리를 담당하는 경우가 많다. httpd.conf에 설정되어 있는 DocumentRoot의 default 설정값은 다음과 같다. 해당 폴더 경로로 이동하여 보게 되면 OHS의 기본 html 페이지들 확인이 가능하다. # 수정 및 반영 결과 확인httpd.conf에 작성되어 있는 default 경로를 custom 경로로 수정 후 저장 및 재기동 후 호출해 보게 되면 custom 경로.. OHS 1024 이하 port 사용 방법 # OHS 12.2.1.4(Apache 2.4) 기준으로 작성되었습니다 # Listen port 및 port 권한 부여OHS의 기본 httpd port는 최초에 8080으로 설정이 되어 있다. 1024 이하의 port를 사용하고 싶은 경우 User와 Group 구문을 추가해 준다.Listen 80User 유저명Group 그룹명 httpd.conf에 해당 설정을 저장하였으면 추가적으로 httpd process에 사용되는 launch 파일의 권한을 변경해주어야 한다.chown root launchchmod 4750 launch # 기동 후 프로세스 및 포트 확인부모 프로세스는 root로 자식 프로세스들은 설정한 user 명으로 기동 중인 것이 확인 가능하다. 80 port도 정상 작동 중인 것이 확인 가.. _wl_proxy 디렉터리 권한 이슈 # 문제 상황OHS Componenet 재 기동 후 서비스 호출 시 쿼리문이 정상적으로 작동하지 않고 아래의 에러가 지속적으로 발생(http 400 error) # 원인_wl_proxy 파일의 권한이 문제였다. 2048byte 이상의 크기로 request를 받았을 때 mod_wl_ohs.conf나 httpd.conf에 WLTempDir 옵션이 없을 경우 default로 /tmp/_wl_proxy라는 디렉터리를 자동으로 생성해 주게 된다. /tmp/_wl_proxy 폴더의 권한은 ohs의 component의 권한과 동일하게 설정되게 되는데 이를 root로 기동 하였을 경우 기존의 유저와 권한이 다르기 때문에 _wl_proxy 폴더를 접근하지 못하여 2048byte 이상의 request를 처리하지 못하게 되.. Nginx 보안 취약점 # DocumentRoot 영역 분리최초에 nginx 설치 시 /usr/share/nginx/html를 DocumentRoot 디렉터리로 사용 해당 html 디렉터리는 공격받기 쉬운 문서들 및 공격에 이용될 수 있는 시스템 관련 정보도 포함되어 있기 때문에 필히 변경이 필요 조치 방법최초 설치 시 설정되는 root 경로 말고 커스텀 경로로 변경/usr/share/nginx/html → /usr/local/nginx/html수정 후 정상 기동 확인 및 호출 테스트 # Symbolic Link 사용 제한어느 WEB Server든 공통적으로 가지고 있는 보안 취약점 사항인 symbolic link에 대한 사용을 제한하는 설정을 필수적으로 해야 한다.(링크를 통해 편의성은 제공 가능하지만 관리자 말고 다른 .. Apache & Tomcat 연동 # 테스트 환경OS : Oracle Linux Server release 8.6JDK : 1.8Apache : 2.4.62Tomcat : 9.0.89# mod_proxy 모듈Apache HTTP Servr에서 Forward proxy, Reverse proxy, RoadBalancer 기능을 위해 사용하는 모듈로 httpd 패키지가 설치되어 있으면 사용할 수 있는 내장 모듈이다. 별도의 설정이 없어도 사용할 수 있으면 특정 WAS에 의존적이지 않아 범용적으로 사용하기 편하다는 장점이 있다. Client가 Reverse proxy의 namespace에 있는 콘텐츠에 대한 요청을 하게 되면 Reverse proxy 즉, apache는 해당 요청을 설정된 값에 따라 분기를 해주게 되고 분기된 요청을 받은 WA.. Apache 컴파일 설치하기 # 테스트 환경OS : Oracle Linux Server release 8.6JDK : 1.8Apache : 2.4.62# Apache 설치 전 필요한 필수 패키지들 확인https://httpd.apache.org/docs/2.4/install.html 컴파일과 설치 - Apache HTTP Server Version 2.4컴파일과 설치 이 문서는 최신판 번역이 아닙니다. 최근에 변경된 내용은 영어 문서를 참고하세요. 이 문서는 유닉스와 유닉스류 시스템에서 아파치를 컴파일하고 설치하는 것만을 다룬다. 윈httpd.apache.org 설치 매뉴얼을 참고하게 되면apache 즉, httpd는 ANSI-C를 지원하는 컴파일러, APR, PCRE, APR-util가 필요 1. ANSI-C 지원하는 컴파일러gc.. 이전 1 2 3 다음