1) 목록 확인 ( Ex> graphviz 를 오프라인에서 설치하는 방법 )

sudo apt update
sudo chmod a+w /home/PAIBL/
apt-rdepends graphviz | grep -v "^ "

2) 목록들 다운로드

apt download "위에서 나온 목록"

# 확장자 deb file 들이 저장됨.

3) deb 파일을 Offline 에 옮기고 설치 명령

sudo dpkg -i *.deb

커맨드에서는 실행이 잘되는데, crontab 에서 실행이 잘 안될때,

1) 스크립트에 export 할거 다했나 확인

2) 파일 디렉토리에 "." 이나 ".." 으로 표시한 게 있는지 확인

긴 다수의 문장들을 붙여넣다보면 밀려나서 정렬이 깨지는 경우,

:set paste

:set nopaste

"${myvar }"에서 myvar 뒤에 빈칸때문에 발생하기도 한다.

참조 ) https://www.cnblogs.com/FengZeng666/p/15989106.html

기본설치방법

wget  https://mirror.bjtu.edu.cn/gnu/libc/glibc-2.28.tar.xz

tar -xf glibc-2.28.tar.xz -C /usr/local/

cd /usr/local/glibc-2.28/

mkdir build

cd build/

../configure --prefix=/usr/local/glibc-2.28

오류날때 glibc 오류날때

yum install gcc -y

yum -y install centos-release-scl

yum -y install devtoolset-8-gcc devtoolset-8-gcc-c++ devtoolset-8-binutils

scl enable devtoolset-8 bash

echo "source /opt/rh/devtoolset-8/enable" >>/etc/profile

wget http://ftp.gnu.org/gnu/make/make-4.2.tar.gz

tar -xzvf make-4.2.tar.gz

cd make-4.2

sudo ./configure

sudo make

sudo make install

sudo rm -rf /usr/bin/make

sudo cp ./make /usr/bin/

make -v

wget  https://mirror.bjtu.edu.cn/gnu/libc/glibc-2.28.tar.xz

tar -xf glibc-2.28.tar.xz -C /usr/local

cd /usr/local/glibc-2.28/

mkdir build

cd build/

yum install -y bison

sudo ../configure --prefix=/usr --disable-profile --enable-add-ons --with-headers=/usr/include --with-binutils=/usr/bin

make  //make 运行时间较长，可能会有半小时

make install

strings /lib64/libc.so.6 |grep GLIBC

# https://www.lesstif.com/ws/ssh-43843905.html

SSH 보안 설정

먼저  SSH 서버를 안전하게 구성하기 위해서 꼭 알아두어야 할 설정 파일인 /etc/ssh/sshd_config 의 주요 보안 관련 설정의 의미와 권장하는 설정을 알아봅시다.

 

방화벽 적용

SSH 서버는 보안상 매우 중요하므로 SSH 로 연결할 수 있는 클라이언트의 IP 를 명시적으로 등록하도록 시스템의 방화벽을 설정할 필요가 있습니다. 특히 SSH 는 전 장에서 설명한 베스천 호스트 를 두고 이 서버를 통해서만 접속하도록 방화벽을 설정하는 것을 권장합니다. (참고: firewalld 방화벽 사용)

 

22번이 아닌 포트 사용

SSH 의 기본 포트는 22번이지만 외부에서 22 번 포트에 대해 오픈되었는지 스캔후 에 열려있다면 무작위 공격(Brute-force attack) 을 시도할 수가 있습니다. 

공용으로 SSH 를 오픈해야 한다면 기본 포트를 변경하는 게 좋습니다.

# Port 22
Port 22000

Plain text

Copy

CODE

Port 설정

 

세션 타임아웃 설정

정해진 시간동안 사용하지 않으면 강제로 세션을 종료하도록 설정합니다. 종료 시간은 (ClientAliveInterval * ClientAliveCountMax) 이며 단위는 초입니다.

아래 설정은 30분동안 사용하지 않으면 ssh 세션을 자동으로 종료합니다.

ClientAliveInterval 600
ClientAliveCountMax 3

Plain text

Copy

CODE

 

root login 차단

root 사용자 로그인을 허용하지 여부를 설정하며 SSH 가 공용으로 열렸고 root 로그인까지 허용한다면 시스템의 모든 권한을 탈취당할 수 있으니 root 로 바로 로그인은 허용하지 않아야 합니다.

PermitRootLogin no

Plain text

Copy

CODE

 

우분투나 Amazon Linux 는 아래와 같이 설정되어 있는데 이는 rsync 로 원격지에서 백업등 root 로 특정 명령어를 실행하기 위해서이며 root 로그인을 허용할 경우 반드시 암호가 아닌 공개키 방식으로 허용해야 합니다.

PermitRootLogin forced-commands-only

Plain text

Copy

CODE

 

 

UsePrivilegeSeparation sandbox  

CentOS 7 의 sshd 에서는 sandbox가 기본 설정이며 기존 버전인 6은 yes 로 설정되어 있습니다.

yes 일 경우 ssh 인증을 통과한 후에 sshd 가 해당 세션용 ssh 프로세스를 로그인한 사용자의 권한으로 실행하며 sandbox 일 경우 사전에 인증되지 않은 권한없는 프로세스는 추가적으로 여러 가지 기능이 제한됩니다.

no 경우 일반 사용자로 로그인해도 root 로 sshd 가 실행되므로 절대 설정하면 안됩니다.

UsePrivilegeSeparation yes

Plain text

Copy

CODE

 

PermitEmptyPasswords

기본 설정은 no 이며 암호가 없는 계정에 대해서는 로그인을 허용하지 않습니다.

PermitEmptyPasswords no

Plain text

Copy

CODE

 

 

암호 대신 공개키로 인증

공개키 인증(PubkeyAuthentication)을 켜고 암호 기반 인증(PasswordAuthentication)을 끄면 공개키 방식으로만 인증하므로 훨씬 보안이 강화됩니다.

PubkeyAuthentication yes
PasswordAuthentication no

Plain text

Copy

CODE

공개키 인증만 사용하려면 사전에 client 의 공개키를 등록해 두어야 합니다.

 

연결하려는 계정에서 공개키가 없을 경우 ssh-keygen 명령어를 사용하여 공개키(~/.ssh/id_rsa.pub)와 개인키(~/.ssh/id_rsa) 를 생성할 수 있습니다.

생성한 개인키는 잘 보관해야 하며 공개키를 연결하려는 SSH 서버에 복사해 주면 공개키 기반으로 로그인할 수 있습니다.

다음은 원격지 SSH  서버가 192.168.10.1 일 경우 lesstif 계정으로 공개키를 복사하는 예제입니다.

$ ssh-copy-id -i ~/.ssh/id_rsa.pub lesstif@192.168.10.1

Plain text

Copy

CODE

ssh 공개키 원격지 복사

 

 

MaxAuthTries

옵션에 지정한 숫자 이상으로 로그인 시도에 실패하면 접속이 강제로 종료됩니다. 기본 설정은 6이며 SSH 를 any 로 오픈할 경우 다음 절에서 설명하는 fail2ban 을 적용하는 것이 좋습니다.

MaxAuthTries 5

Plain text

Copy

CODE

 

LoginGraceTime

여기에 지정된 시간 내에 로그인하지 않을 경우 접속이 강제로 종료됩니다. 기본은 2분이지만 이보다 더 짧게 하는 것이 좋으며 0 으로 설정하면 시간 제한 옵션이 비활성화됩니다.

LoginGraceTime 30

Plain text

Copy

CODE

 

AllowUsers / DenyUsers

SSH 는 기본적으로 모든 사용자가 사용할 수 있지만 특정 사용자만 허용하겠다면 AllowUsers 에 허용할 사용자를 지정합니다. 이럴 경우 다른 사용자는 SSH 로그인을 할 수 없게 됩니다.

다음은 lesstif 사용자와 centos7 사용자만 SSH 를 사용하도록 하는 예제이며 여러 사용자를 지정할 경우에는 공백으로 구분하면 됩니다.

AllowUsers lesstif centos7

Plain text

Copy

CODE

특정 사용자만 SSH 허용

 

사용자와 호스트를 묶어서 특정 사용자는 특정 호스트에서만 접속하도록  설정할 수도 있습니다. 다음은 IP 주소가 192.168.10.3 인 호스트의 lesstif 사용자만 SSH 로 접속할 수 있도록 설정하는 예제입니다.

AllowUsers lesstif@192.168.10.3

Plain text

Copy

CODE

특정 사용자와 호스트만 SSH 허용

또는 사용자의 ID 에 와일드 카드(*)를 사용하여 호스트만을 지정할수 있습니다. 다음 예는 192.168.10.3 인 호스트의 모든 사용자에게 SSH 사용을 허용합니다.

AllowUsers *@192.168.10.3

Plain text

Copy

CODE

특정 사용자만 SSH 허용

이와는 달리 DenyUsers 를 사용하면 지정한 사용자 외의 모든 사용자의 SSH 사용을 허가하게 됩니다. 혼동의 우려가 있으니 AllowUsers 와 DenyUsers  를 혼용해서 사용하는 것보다는 하나의 키워드만 사용해서 접근 권한을 설정하는 게 좋으며 whitelist 방식인 AllowUsers  가 더 관리가 용이합니다.

 

데몬 재구동

변경한 설정을 반영하려면 ssh 데몬 프로세스를 재구동해야 합니다.

$ sudo systemctl restart sshd

Plain text

Copy

CODE

sshd 재시작

우분투는 ssh 서비스 이름이 ssh 이므로 sudo systemctl restart ssh 로 구동하면 됩니다.

 

# 참조 : https://seokk.tistory.com/46

설치 환경 : CentOS 7 minimal (최소설치)

VMware에 설치합니다.

운영체제 파일은 CentOS 다운로드 사이트에서 minimal.iso를 다운받습니다.

설치 시작 전 네트워크 설정을 VMware NAT로 설정하였고

다운로드한 CentOS 7 minimal.iso를 import 했습니다.

설치 과정 동안 한글로 번역되어 보이도록 하고 '계속진행'을 클릭합니다.

]

디스크 공간은 자동으로 설정해서 설치해도 되지만

조금이라도 권장사항에 따라 설치하기 위해

파티션 설정을 클릭해 완료버튼을 클릭합니다.

제타위키에서 리눅스 스왑메모리 크기 권고사항 에 따라

VMware의 RAM을 1G로 설정한 바

RAM이 2G 미만일 경우 swap공간은 RAM의 2배를 권장한다.

그러므로 swap 공간을 2G로 설정하고 그 외 /boot 500M 와 나머지 용량은 /(root)로 지정하였다.

완료를 클릭한다

설치 시작 전 네트워크를 VMware NAT로 설정해두었기 때문에

유선 연결을 키면 바로 IP가 자동할당된다

설치시작을 클릭한다

ROOT암호만 설정해도 되고, 둘다 설정해도 된다.

ROOT 암호를 설정하고 완료버튼을 클릭한 다음 설치가 완료되길 대기한다

설치가 완료되면 재부팅 버튼이 오른쪽 하단에 생기며

재부팅 버튼을 클릭한다

설치가 정상적으로 되어 부팅된 것을 볼 수 있다.

이제 몇가지 필요한 것을 설치해본다.

네트워크를 이용해 필요한 도구를 설치하므로

네트워크 설정을 하지 않은 경우

$vi /etc/sysconfig/network-scripts/ifcfg-enpXXX

위 경로의 파일을 열어 필요 부분을 수정한다.

기본적으로 DHCP 사용하도록 설정되어 있으므로 ONBOOT=NO 부분을 ONBOOT=YES로 수정하거나

DHCP를 사용하지 않고 고유한 IP사용할 경우 사용할 IP 직접 입력한다.

설정 후 반드시

# systemctl restart network

# systemctl restart NetworkManager

를 실행하도록 한다

다음 진행과정 동안은 root로 접근하여 설치 및 설정하도록 한다

CentOS7에서 'ifconfig'명령어는 기본 설치에서 제외되어 있으므로

'Ip addr' 명령어로 네트워크가 잘 설정되어 있는 지 확인 후 다음 과정을 진행하도록 한다.

Ifconfig 외 네트워크 도구를 사용할 테니 Net-tools를 설치하도록 한다.

net-tools 설치 완료

* nmtui 명령어를 사용해 host-name과 network 설정을 할 수 있다.

아직 난 호스트이름을 설정하지 않아 @뒤 localhost로 뜬다.

호스트이름은 따로 설정해두록 하자.

 - 호스트이름 설정 명령 : # hostnamectl set-hostname [호스트 이름]

외부에서 원격접속하여 들어가는 경우가 많으므로 ssh를 설치하도록 하자.

openssh-server 설치 완료

부팅 시 자동 서비스 시작을 위해 위와 같이 입력하여 설정해준다

또한,

위 경로의 파일에서

몇가지 주석과 설정을 하도록한다.

Port 22

AddressFamily inet

LoginGraceTime 2m

PermitRootLogin no

PermitEmptyPasswords no

X11Forwarding no

UseDNS no

위 목록을 찾아 주석과 설정을 수정하고 저장한다.

VMware에 설치했다면 open-vm-tools도 설치하여

community update, opensource version, host 시간 동기화를 지원 받도록 한다.

SELinux는 보안을 강화해주는 보안강화커널로 zero-day attack, buffer overflow 등

취약점으로 인한 해킹을 방지해주는 핵심 구성요소다

하지만 접근권한의 제한을 받거나 특정 서비스가 SELinux로 인해

동작하지 않은 경우가 발생한다

SELinux를 끄도록 한다.

* SELinux를 끄기보단 해당 서비스가 SELinux 하에서 잘 동작하도록 설정하는 것을 권장한다.

위 경로의 파일로 이동해 수정한다

SELINUX=enforcing 이라고 되어있는 부분을 SELINUX=disabled로 변경해준다.

firewalld(방화벽)에 의해 iptables룰이 생성됨으로 firewalld를 비활성화 및 중지하고

 iptables와 관련된 패키지를 설치하도록 한다.

firewalld 비활성화 및 중지

* stop - 중지   dismask - 서비스제거   disable - 부팅 시작시 비활성화

iptables 관련 패키지 설치

설치 완료

부팅시 시작하도록 iptables 생성 및 설정

타임존 확인 및 설정

타임존 확인은 위 명령어로 확인한다.

위와 같이 뜬다.

만약, timedatectl이 작동하지 않는다면 ntpd가 설치되어 있지 않은 것이다.

뜨지 않는 다면 다음과 과정을 수행하도록 한다

# yum install ntpd <-- 설치

# systemctl start ntpd

# systemctl enable ntpd

#timedatectl <-- 확인

추가로 타임존 위치를 변경하려면

그 변경가능한 리스트 확인은

# timedatectl list-timezones

위 명령으로 확인한다.

만약, 서울로 타임존을 설정한다면

변경가능한 리스트의 내용중에서 Seoul 검색

서울타임존 검색 됨

위 타임존으로 설정

timedatectl로 타임존이 변경된 걸 확인할 수 있다.

그 외 추가로 epel을 설치해주도록 하자

* epel(Extra Packages of enterprise Linux) : yum으로 설치되지 않는 패키지를 설치되도록 도와주는 리눅스 추가 패키지

* nmap :  포트를 스캔해주는 툴로 호스트나 네트워크 스캐닝시 사용하는 도구

설치 과정을 살펴보면 첫부분에서 epel을 불러와 yum으로 설치되지 않는 패키지를 설치하도록 도와주는 걸 볼 수 있습니다.

포트 확인은

# nmap localhost

# 참조 : https://seokk.tistory.com/46

설치 환경 : CentOS 7 minimal (최소설치)

VMware에 설치합니다.

운영체제 파일은 CentOS 다운로드 사이트에서 minimal.iso를 다운받습니다.

설치 시작 전 네트워크 설정을 VMware NAT로 설정하였고

다운로드한 CentOS 7 minimal.iso를 import 했습니다.

설치 과정 동안 한글로 번역되어 보이도록 하고 '계속진행'을 클릭합니다.

]

디스크 공간은 자동으로 설정해서 설치해도 되지만

조금이라도 권장사항에 따라 설치하기 위해

파티션 설정을 클릭해 완료버튼을 클릭합니다.

제타위키에서 리눅스 스왑메모리 크기 권고사항 에 따라

VMware의 RAM을 1G로 설정한 바

RAM이 2G 미만일 경우 swap공간은 RAM의 2배를 권장한다.

그러므로 swap 공간을 2G로 설정하고 그 외 /boot 500M 와 나머지 용량은 /(root)로 지정하였다.

완료를 클릭한다

설치 시작 전 네트워크를 VMware NAT로 설정해두었기 때문에

유선 연결을 키면 바로 IP가 자동할당된다

설치시작을 클릭한다

ROOT암호만 설정해도 되고, 둘다 설정해도 된다.

ROOT 암호를 설정하고 완료버튼을 클릭한 다음 설치가 완료되길 대기한다

설치가 완료되면 재부팅 버튼이 오른쪽 하단에 생기며

재부팅 버튼을 클릭한다

설치가 정상적으로 되어 부팅된 것을 볼 수 있다.

이제 몇가지 필요한 것을 설치해본다.

네트워크를 이용해 필요한 도구를 설치하므로

네트워크 설정을 하지 않은 경우

$vi /etc/sysconfig/network-scripts/ifcfg-enpXXX

위 경로의 파일을 열어 필요 부분을 수정한다.

기본적으로 DHCP 사용하도록 설정되어 있으므로 ONBOOT=NO 부분을 ONBOOT=YES로 수정하거나

DHCP를 사용하지 않고 고유한 IP사용할 경우 사용할 IP 직접 입력한다.

설정 후 반드시

# systemctl restart network

# systemctl restart NetworkManager

를 실행하도록 한다

다음 진행과정 동안은 root로 접근하여 설치 및 설정하도록 한다

CentOS7에서 'ifconfig'명령어는 기본 설치에서 제외되어 있으므로

'Ip addr' 명령어로 네트워크가 잘 설정되어 있는 지 확인 후 다음 과정을 진행하도록 한다.

Ifconfig 외 네트워크 도구를 사용할 테니 Net-tools를 설치하도록 한다.

net-tools 설치 완료

* nmtui 명령어를 사용해 host-name과 network 설정을 할 수 있다.

아직 난 호스트이름을 설정하지 않아 @뒤 localhost로 뜬다.

호스트이름은 따로 설정해두록 하자.

 - 호스트이름 설정 명령 : # hostnamectl set-hostname [호스트 이름]

외부에서 원격접속하여 들어가는 경우가 많으므로 ssh를 설치하도록 하자.

openssh-server 설치 완료

부팅 시 자동 서비스 시작을 위해 위와 같이 입력하여 설정해준다

또한,

위 경로의 파일에서

몇가지 주석과 설정을 하도록한다.

Port 22

AddressFamily inet

LoginGraceTime 2m

PermitRootLogin no

PermitEmptyPasswords no

X11Forwarding no

UseDNS no

위 목록을 찾아 주석과 설정을 수정하고 저장한다.

VMware에 설치했다면 open-vm-tools도 설치하여

community update, opensource version, host 시간 동기화를 지원 받도록 한다.

SELinux는 보안을 강화해주는 보안강화커널로 zero-day attack, buffer overflow 등

취약점으로 인한 해킹을 방지해주는 핵심 구성요소다

하지만 접근권한의 제한을 받거나 특정 서비스가 SELinux로 인해

동작하지 않은 경우가 발생한다

SELinux를 끄도록 한다.

* SELinux를 끄기보단 해당 서비스가 SELinux 하에서 잘 동작하도록 설정하는 것을 권장한다.

위 경로의 파일로 이동해 수정한다

SELINUX=enforcing 이라고 되어있는 부분을 SELINUX=disabled로 변경해준다.

firewalld(방화벽)에 의해 iptables룰이 생성됨으로 firewalld를 비활성화 및 중지하고

 iptables와 관련된 패키지를 설치하도록 한다.

firewalld 비활성화 및 중지

* stop - 중지   dismask - 서비스제거   disable - 부팅 시작시 비활성화

iptables 관련 패키지 설치

설치 완료

부팅시 시작하도록 iptables 생성 및 설정

타임존 확인 및 설정

타임존 확인은 위 명령어로 확인한다.

위와 같이 뜬다.

만약, timedatectl이 작동하지 않는다면 ntpd가 설치되어 있지 않은 것이다.

뜨지 않는 다면 다음과 과정을 수행하도록 한다

# yum install ntpd <-- 설치

# systemctl start ntpd

# systemctl enable ntpd

#timedatectl <-- 확인

추가로 타임존 위치를 변경하려면

그 변경가능한 리스트 확인은

# timedatectl list-timezones

위 명령으로 확인한다.

만약, 서울로 타임존을 설정한다면

변경가능한 리스트의 내용중에서 Seoul 검색

서울타임존 검색 됨

위 타임존으로 설정

timedatectl로 타임존이 변경된 걸 확인할 수 있다.

그 외 추가로 epel을 설치해주도록 하자

* epel(Extra Packages of enterprise Linux) : yum으로 설치되지 않는 패키지를 설치되도록 도와주는 리눅스 추가 패키지

* nmap :  포트를 스캔해주는 툴로 호스트나 네트워크 스캐닝시 사용하는 도구

설치 과정을 살펴보면 첫부분에서 epel을 불러와 yum으로 설치되지 않는 패키지를 설치하도록 도와주는 걸 볼 수 있습니다.

포트 확인은

# nmap localhost

참조 ) https://www.youtube.com/watch?v=9_KIdQ8abH4

shell> man 3 sleep