귀차니즘

세션클러스터링을 이용하기 위해 검색하면 많이 나오는 방법을 사용했지만 리눅스 eth0 설정부터

방화벽등으로 쉽지 않음.

WAS끼리 직접 서로 주고 받게 설정.

<Engine 설정의 맨 마지막 부분 jvmRoute는 apache에서 mod_jk 명칭으로 변경

<Receiver 의 설정은 현재 Was에서 받는 IP 및 Port 를 설정

<Member 의 내용은 세션클러스터링 할 WAS IP 및 PORT 설정을 각자 맞게 넣고 설정하면 됨.

uniqueId 의 내용은 맨 끝의 1번 WAS에서는 2로 설정 2번 WAS에서는 1로 설정

1번 WAS 클러스터링

<Engine name="Catalina" defaultHost="localhost" jvmRoute="tomcat1">
        <!-- clustering -->
        <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster" channelSendOptions="8"  channelStartOptions="3">
                <Manager className="org.apache.catalina.ha.session.DeltaManager" expireSessionsOnShutdown="false" notifyListenersOnReplication="true"/>
                <Channel className="org.apache.catalina.tribes.group.GroupChannel">
                        <Sender className="org.apache.catalina.tribes.transport.ReplicationTransmitter">
                                <Transport className="org.apache.catalina.tribes.transport.nio.PooledParallelSender" />
                        </Sender>
                        <Receiver className="org.apache.catalina.tribes.transport.nio.NioReceiver"
                        address="127.0.0.1"
                        port="4055"
                        autoBind="0"
                        selectorTimeout="5000"
                        maxThreads="6"/>

                        <Interceptor className="org.apache.catalina.tribes.group.interceptors.TcpPingInterceptor" staticOnly="true"/>
                        <Interceptor className="org.apache.catalina.tribes.group.interceptors.TcpFailureDetector" />
                        <Interceptor className="org.apache.catalina.tribes.group.interceptors.StaticMembershipInterceptor">
                        <Member
                                className="org.apache.catalina.tribes.membership.StaticMember"
                                port="4056"
                                host="127.0.0.1"
                                uniqueId="{0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,2}"
                        />
                        </Interceptor>
                        <Interceptor className="org.apache.catalina.tribes.group.interceptors.MessageDispatchInterceptor"/>
                </Channel>

                <Valve className="org.apache.catalina.ha.tcp.ReplicationValve" filter=".*\.gif;.*\.js;.*\.jpg;.*\.png;.*\.htm;.*\.html;.*\.css;.*\.txt;" />
                <Valve className="org.apache.catalina.ha.session.JvmRouteBinderValve"/>
                <ClusterListener className="org.apache.catalina.ha.session.ClusterSessionListener" />
        </Cluster>
        <!-- clustering  -->

2번 WAS

<Engine name="Catalina" defaultHost="localhost" jvmRoute="tomcat2">
        <!-- clustering -->
        <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster" channelSendOptions="8"  channelStartOptions="3">
                <Manager className="org.apache.catalina.ha.session.DeltaManager" expireSessionsOnShutdown="false" notifyListenersOnReplication="true"/>
                <Channel className="org.apache.catalina.tribes.group.GroupChannel">
                        <Sender className="org.apache.catalina.tribes.transport.ReplicationTransmitter">
                                <Transport className="org.apache.catalina.tribes.transport.nio.PooledParallelSender" />
                        </Sender>
                        <Receiver className="org.apache.catalina.tribes.transport.nio.NioReceiver"
                        address="127.0.0.1"
                        port="4056"
                        autoBind="0"
                        selectorTimeout="5000"
                        maxThreads="6"/>

                        <Interceptor className="org.apache.catalina.tribes.group.interceptors.TcpPingInterceptor" staticOnly="true"/>
                        <Interceptor className="org.apache.catalina.tribes.group.interceptors.TcpFailureDetector" />
                        <Interceptor className="org.apache.catalina.tribes.group.interceptors.StaticMembershipInterceptor">
                        <Member
                                className="org.apache.catalina.tribes.membership.StaticMember"
                                port="4055"
                                host="127.0.0.1"
                                uniqueId="{0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1}"
                        />
                        </Interceptor>
                        <Interceptor className="org.apache.catalina.tribes.group.interceptors.MessageDispatchInterceptor"/>
                </Channel>

                <Valve className="org.apache.catalina.ha.tcp.ReplicationValve" filter=".*\.gif;.*\.js;.*\.jpg;.*\.png;.*\.htm;.*\.html;.*\.css;.*\.txt;" />
                <Valve className="org.apache.catalina.ha.session.JvmRouteBinderValve"/>
                <ClusterListener className="org.apache.catalina.ha.session.ClusterSessionListener" />
        </Cluster>
        <!-- clustering  -->

의 설정으로 실행 후 정상적으로 세션클러스터링이 동작함.

물론 iptables에서 각 4055, 4056 포트는 열어줌..

vi %TOMCAT_HOME%\bin\setenv.sh

CATALINA_OPTS="-Dserver=dev"
JAVA_OPTS=$JAVA_OPTS" -Dfile.encoding=UTF-8 -server -Xms2048m -Xmx2048m -XX:NewSize=512m"
JAVA_OPTS=$JAVA_OPTS" -XX:MaxNewSize=512m -XX:PermSize=1024m -XX:MaxPermSize=1024m"
JAVA_OPTS=$JAVA_OPTS" -Djava.security.egd=file:/dev/./urandom"
JAVA_OPTS=$JAVA_OPTS" -XX:-HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=$CATALINA_HOME/logs"
JAVA_OPTS=$JAVA_OPTS" -XX:ParallelGCThreads=2 -XX:-UseConcMarkSweepGC"
JAVA_OPTS=$JAVA_OPTS" -XX:-PrintGC -XX:-PrintGCDetails -XX:-PrintGCTimeStamps"
JAVA_OPTS=$JAVA_OPTS" -XX:-TraceClassUnloading -XX:-TraceClassLoading"
CATALINA_OPTS="-Dserver=dev"
는 운영서버와 개발서버 구분으로 context-config.xml등 프로퍼티 설정에서 
#{systemProperties['server'] != null ?systemProperties['server'] : 'dev'}
를 이용하면 된다.

아래는 예제.
<util:properties id="dbProp" location="classpath:conf/spring/db.#{systemProperties['server'] != null ?systemProperties['server'] : 'dev'}.properties" />
를 이용하여 local dev live 등으로 서버등을 구분할 수 있다.
JAVA_OPTS 는 다른 부분은 별 상관 없으나 CENTOS 또는 JAVA버전에서 톰켓 실행이 늦을 때
-Djava.security.egd=file:/dev/./urandom 
의 옵션을 붙여주면 빠르게 실행 된다.
%TOMCAT_HOME%\BIN 폴더에
setenv.sh파일에 넣어주면 catalina.sh 안에 설정을 안해줘도 알아서 인식

한동안 톰켓 6버전만 사용하고 7버전때 잠깐 고생했던거 같은데 1년전이라 기억도 안남.

심볼릭링크로 연결된 upload 폴더가 톰켓 8.5버전에서 인식이 안됨.

<-- 기존 사용법 -->
<Host name="localhost"  docBase="webaaps" allowlinking="true" unpackWARs="true" autoDeploy="true">
	<Context path="" docBase="경로" reloadable="true" useHttpOnly="false" allowLinking="true" />
</Host>
<!-- 변경1 -->
<Host name="localhost"  docBase="webaaps" allowlinking="true" unpackWARs="true" autoDeploy="true">
	<Context path="" docBase="경로" reloadable="true" useHttpOnly="false">
		<Resources allowLinking="true" />
	</Context>
</Host>
<!-- 변경2 -->
<Host name="localhost"  docBase="webaaps" allowlinking="true" unpackWARs="true" autoDeploy="true">
	<Context path="" docBase="경로" reloadable="true" useHttpOnly="false">
		<Resources>
			<PreResourcesa
			className="org.apache.catalina.webresources.DirResourceSet"
				base="경로/upload"
				webAppMount="/upload"
			internalPath="/"/>
		</Resources>
	</Context>
</Host>

이것 저것 다 시도 해봤으나 적용 안됨.
안그래도 바쁜 시기에 별것도 아닌거 가지고 한시간을 날려버럼..

Tomcat 폴더/conf/context.xml 안에 
<Context> 태그가 있다 그 안에 

<Resources allowLinking="true" />

한줄 넣고 모든게 해결.

PHP 4.4.X

Source : http://kr.php.net/get/php-4.4.8.tar.gz/from/kr2.php.net/mirror

Source : http://ibiblio.org/pub/Linux/ALPHA/freetds/stable/

# freetds 최신버전을 다운받습니다.

# 현재 (2007-09-05) freetds-0.64.tgz 가 최신버전 입니다.

]# configure --prefix=/usr/local \

--with-tdsver=8.0 \

--enable-msdblib \

--enable-dbmfix \

--width-gnu-id \

--enable-shared \

--enable-static

]# make

]# make install

# 다음부분을 수정합니다.

]# vi /usr/local/etc/freetds.conf

[MyServer70]

    host = mssql server ip

    port = 1433

    tds version = 8.0

Apache 는 동일하며 PHP Install 시 다음 옵션을 추가해줍니다.

]# configure --with-sybase=/usr/local

Mysql 3.X

./configure \

--prefix=/usr/www/mysql \
--localstatedir=/usr/www/mysql/data \
--with-extra-charsets=complex \
--enable-thread-safe-client \
--enable-local-infile \
--with-client-ldflags=-all-static \
--with-mysqld-ldflags=-all-static \
--enable-assembler \
--with-charset=euc_kr

Mysql 4.0.X

./configure \

--prefix=/usr/www/mysql \
--localstatedir=/usr/www/mysql/data \
--with-extra-charsets=complex \
--enable-thread-safe-client \
--enable-local-infile \
--disable-shared \
--with-client-ldflags=-all-static \
--with-mysqld-ldflags=-all-static \
--enable-assembler \
--with-charset=euc_kr

Mysql 4.1.X

./configure \

--prefix=/usr/local/mysql --localstatedir=/home/mysqlData \
--enable-assembler \
--enable-local-infile \
--disable-shared \
--with-extra-charsets=complex \
--with-client-ldflags=-all-static \
--with-mysqld-ldflags=-all-static \
--with-mysqld-user="mysql" \
--with-readline --without-debug \
--with-thread-safe-client \
--with-charset=euckr \
--without-docs \
--without-bench

Mysql 5.X

./configure \

--prefix=/usr/local/mysql --localstatedir=/home/mysqlData \
--enable-assembler \
--enable-local-infile \
--disable-shared \
--with-extra-charsets=complex \
--with-client-ldflags=-all-static \
--with-mysqld-ldflags=-all-static \
--with-mysqld-user=mysql \
--with-readline \
--with-thread-safe-client \
--with-charset=euckr \
--without-debug \
--without-docs \
--without-bench

Error - "Host not allowed to connect to server" / MySQL 데이터베이스 연결 방법

본 에러는 MySQL 서버로 클라이언트 프로그램(SQLGate for MySQL) 이 접근 할 권한이 없기 때문에 발생합니다.

MySQL 서버 관리자에게 외부에서 접근 할 수 있도록 요청하시기 바랍니다.

만약 Grant 권한을 줄 수 있는 권한이 있다면 MySQL 을 텔넷이나 기타 프로그램으로 접속하여 해당 유저가 외부에서 접속이 가능하도록 세팅합니다.

MySQL Server 가 Windows 에 설치되어 있는 경우

Start > Programs > Command Prompt 
> CD\
> CD mysql\bin

MySQL 을 최초로 설치할 때에는 Password 가 없기 때문에 패스워드를 지정하시기 바랍니다.
MySQL 서버에 Root 권한으로 접속할 경우

> mysql -u root -p password

올바르게 접속 될 경우 아래의 메세지가 나옵니다.
 

MySQL Database 에 접속하여 User 테이블의 상태를 확인합니다.
User 테이블은 mysql database 내에 존재합니다.

mysql>Use mysql
Database changed

mysql> SELECT Host, User, Select_priv, Insert_priv,Update_priv, Delete_priv FROM user;

위의 그림과 같이 각 유저의 권한 리스트를 볼 수 있습니다.
또한 MySQL Administrator 또는 Root 권한을 가진 User 만이 User 테이블을 추가/수정/삭제할 수 있습니다.

외부에 접속하려고 하는 유저에 대해서 아래의 명령어를 수행합니다.
위의 User 중에 test 라는 유저를 외부에서 접속 가능하도록 명령하는 예제입니다.
Host : localhost
User : test

mysql> GRANT ALL PRIVILEGES ON *.* to test@"%" IDENTIFIED BY 'test' 
WITH GRANT OPTION;
Query OK, 0 rows affected (0.01 sec)

위에 명령이 올바르게 수행되었다면 꼭 아래의 명령어를 수행하시기 바랍니다.
Mysql>flush privileges;

다시 User 테이블을 확인합니다.
mysql> SELECT Host, User, Select_priv, Insert_priv,Update_priv, Delete_priv FROM user;
 

제일 하단에 기존의 test 계정 외에 계정이 또 하나 만들어집니다.
Host : %
User : test
test User 로 외부에서 접속이 가능하게 됩니다.

단지 emp 라는 Database 에만 test 계정이 접속할 수 있게 하는 예제입니다.

1. localhost 에서만 접속하기 위한 예제입니다.
   

   mysql>GRANT SELECT, INSERT, UPDATE, DELETE ON emp.* TO
   test@localhost IDENTIFIED BY "TestPassword";
   
   mysql>flush privileges;

2. www.mysite.com 에서만 접속하기 위한 예제입니다.
   

   mysql>GRANT SELECT, INSERT, UPDATE, DELETE ON emp.* TO
   test@www.mysite.com IDENTIFIED BY "TestPassword";
   
   mysql>flush privileges;

   
   
3. 외부 어떤곳에서든 접속하기 위한 예제입니다.
   

   GRANT SELECT, INSERT, UPDATE, DELETE ON emp.* TO
   test@”%” IDENTIFIED BY "TestPassword";
   
   mysql>flush privileges;

# 메일 계정 추가 방법

1. useradd pjp
2. passwd pjp
3. vi /etc/mail/virtusertable
   pjp@m2a.co.kr pjp
4. /etc/init.d/sendmail stop
5. /etc/init.d/sendmail start

# outlook 추가 방법
사용자 정보
1. 사용자이름 : 아무거나
2. 전자메일주소 : pjp@m2a.co.kr
3. 사용자 이름 : 사용자 정보의 사용자 이름으로 세팅
4. 암호 : 설정한 비밀번호
5. 받는메일서버 : mail.m2a.co.kr
6. 보내는메일서버 : mail.m2a.co.kr
7. 기타설정 > 보내는 메일 서버 > 보내는 메일 서버(SMTP) 인증 필요 체크

#!/bin/sh

# 초기화

iptables -F

# 포트 스캔 방지

iptables -A INPUT -d 0.0.0.0/0 -p icmp -j DROP

# DoS 공격 방지

iptables -N syn-flood

iptables -A syn-flood -m limit --limit 12/second --limit-burst 24 -j RETURN

iptables -A syn-flood -j DROP

# ssh 정책(root, webpage 계정만 접속 가능)

# ssh 포트 : 22, root 번호: 0, webpage 번호:500 

iptables -A INPUT -p tcp --dport 22 -m owner --uid-owner 0 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -m owner --gid-owner 0 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 0 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 0 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -m owner --uid-owner 500 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -m owner --gid-owner 500 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 500 -j DROP

iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 500 -j DROP

# 1초에 15번 이상의 HTTP 접근을 할 경우 차단

iptables -A INPUT -m recent --name HTTP --rcheck --seconds 60 -j DROP

iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 1 --hitcount 15 --name HTTP -j DROP

#--------------------------------------------------------------------

# 커널 컴파일 및 iptables 패치 후, connlimit 사용이 가능한 경우

# 1초에 15번 이상의 HTTP 접근을 할 경우 차단

#iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -connlimit-mask 24 -j DROP

#메일서버의 경우 동시에 5개이상 SMTP 접근일 경우 5분동안 접근 제한

#iptables -A INPUT -m recent --name spammer --rcheck --seconds 300 -j DROP

#iptables -A INPUT -p tcp --syn --dport 25 -m connlimit --connlimit-above 5 -m recent --name spammer --set -j DROP

#---------------------------------------------------------------------

#----------------------------------------------------------------------

# STRING 필터기능

# MSN 문자열이 들어간 패킷 차단

#iptables -A FORWARD -m string --string "messenger.msn.com" -j DROP

# 싸이월드 접속차단

#iptables -A FORWARD -p tcp --dport 80 -m string --string "Host: cyworld.nate.com" -j DROP

#----------------------------------------------------------------------

# 서버가 해킹당했을 때 DoS공격지로 사용될 경우에 적용.

# DNS 쿼리 이외 UDP 패킷 전송 방지

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p udp ! --dport 53 -m state --state NEW -j DROP

Usage: iptables -[AD] chain rule-specification [options]

       iptables -[RI] chain rulenum rule-specification [options]

       iptables -D chain rulenum [options]

       iptables -[LFZ] [chain] [options]

       iptables -[NX] chain

       iptables -E old-chain-name new-chain-name

       iptables -P chain target [options]

       iptables -h (print this help information)

Commands:

Either long or short options are allowed.

  --append  -A chain            Append to chain

  --delete  -D chain            Delete matching rule from chain

  --delete  -D chain rulenum

                                Delete rule rulenum (1 = first) from chain

  --insert  -I chain [rulenum]

                                Insert in chain as rulenum (default 1=first)

  --replace -R chain rulenum

                                Replace rule rulenum (1 = first) in chain

  --list    -L [chain]          List the rules in a chain or all chains

  --flush   -F [chain]          Delete all rules in  chain or all chains

  --zero    -Z [chain]          Zero counters in chain or all chains

  --new     -N chain            Create a new user-defined chain

  --delete-chain

            -X [chain]          Delete a user-defined chain

  --policy  -P chain target

                                Change policy on chain to target

  --rename-chain

            -E old-chain new-chain

                                Change chain name, (moving any references)

Options:

  --proto       -p [!] proto    protocol: by number or name, eg. `tcp'

  --source      -s [!] address[/mask]

                                source specification

  --destination -d [!] address[/mask]

                                destination specification

  --in-interface -i [!] input name[+]

                                network interface name ([+] for wildcard)

  --jump        -j target

                                target for rule (may load target extension)

  --goto      -g chain

                              jump to chain with no return

  --match       -m match

                                extended match (may load extension)

  --numeric     -n              numeric output of addresses and ports

  --out-interface -o [!] output name[+]

                                network interface name ([+] for wildcard)

  --table       -t table        table to manipulate (default: `filter')

  --verbose     -v              verbose mode

  --line-numbers                print line numbers when listing

  --exact       -x              expand numbers (display exact values)

[!] --fragment  -f              match second or further fragments only

  --modprobe=<command>          try to insert modules using this command

  --set-counters PKTS BYTES     set the counter during insert/append

[!] --version   -V              print package version.

보통 기본 보안점검 사항에 들어가는 

디렉터리 리스팅, 불필요한 페이지 및 에러 페이지를 통해 서버 정보 및 중요 정보가 

노출 되는지 점검

추가 확장자 경로는 알아서

APACHE

httpd.conf 안에 내용

    ErrorDocument 204 "/"

    ErrorDocument 300 "/error.jsp"

    ErrorDocument 302 "/error.jsp"

    ErrorDocument 400 "/error.jsp"

    ErrorDocument 403 "/error.jsp"

    ErrorDocument 404 "/error.jsp"

    ErrorDocument 500 "/error.jsp"

    ErrorDocument 501 "/error.jsp"

    ErrorDocument 503 "/error.jsp"

JSP

WEB-INF/web.xml 에 내용 추가

  <error-page><error-code>204</error-code><location>/204error.jsp</location></error-page> 

  <error-page><error-code>300</error-code><location>/300error.jsp</location></error-page> 

  <error-page><error-code>302</error-code><location>/302error.jsp</location></error-page> 

  <error-page><error-code>400</error-code><location>/400error.jsp</location></error-page> 

  <error-page><error-code>403</error-code><location>/403error.jsp</location></error-page> 

  <error-page><error-code>404</error-code><location>/404error.jsp</location></error-page> 

  <error-page><error-code>500</error-code><location>/500error.jsp</location></error-page> 

  <error-page><error-code>501</error-code><location>/501error.jsp</location></error-page> 

  <error-page><error-code>503</error-code><location>/503error.jsp</location></error-page>