출처 : http://kldp.org/node/32987
VIM 이미 읽은 파일의 인코딩 변경하기 (charset encoding)
The image verification code you entered is incorrect.
kwon37xi 씀 (금, 2004/04/02 - 10:19am) 강좌
요즌 페도라에서 UTF-8 로 사용하다보니 한글 인코딩 문제에 자주 부딪힙니다.
특히 텍스트 파일 읽을 때 짜증이 이만저만이 아닙니다.
암튼, VIM 에서 파일을 읽어보니 문자 인코딩이 깨져 있을 때, 다음과 같이 하면 곧바로 인코딩을 바꿔서 화면에 표시합니다.
:e ++enc=euc-kr
이 상태에서... 파일의 인코딩을 바꿔서 저장하려면
:set fileencoding=utf-8
한뒤에 :w 해보세요. euc-kr 이던 파일이 utf-8 로 저장됩니다.
MS949 를 시도해봤는데 안되더군요. UHC 로 해야 MS-Windows 의 확장한글코드가 되는것 같습니다. - 맞는건가요? 확실치 않아서리...
2009. 4. 22.
리눅스 환경에서 한글 설정하는 방법
[Ctrl + Alt + T] 키를 눌러 터미널을 엽니다.
언어 환경설정 파일을 수정합니다.
참고1 : http://wiki.eeeuser.com/howto:changelanguage
참고2 : http://www.chitsol.com/455
참고3 : http://debianusers.org/DebianWiki/wiki.php/%C3%CA%BA%B8%B0%A3%B4%DC%C7%D1%B1%DB%B0%A1%C0%CC%B5%E5
로케일 설정을 담당하는 /etc/locale.gen 을 수정합니다.
sudo vi /etc/locale.gen
ko_KR.UTF-8 UTF-8
다음 명령을 실행합니다
sudo locale-gen
sudo update-locale LANG=ko_KR.UTF-8
-> 이 명령을 실행하면 /etc/default/locale 이라는 파일이 생성됩니다.
한글 입력기 설치를 위해 프로그램 설치 저장소를 추가합니다. 앞으로 다양한 응용프로그램 설치시에도 이용됩니다.
sudo vi /etc/apt/sources.list
deb http://xnv4.xandros.com/xs2.0/upkg-srv2 etch main contrib non-free
deb http://dccamirror.xandros.com/dccri/ dccri-3.0 main
deb http://www.geekconnection.org/ xandros4 main
아래의 명령을 순서대로 실행하여 입력기인 scim과 한글 폰트를 설치합니다.
wget http://download.tuxfamily.org/eeepcrepos/key.asc
sudo apt-key add key.asc
sudo apt-get update
sudo apt-get install scim scim-hangul scim-tables-ko ttf-alee ttf-unfonts
작업이 완료되면 재부팅을 합니다.
다중언어입력기 SCIM의 환경을 설정합니다.
오른쪽 아래의 트레이영역에서 입력기 아이콘(input method 라고 풍선도움말이 표시됨)에서 오른쪽 마우스를 클릭하여 SCIM 설정을 선택합니다.
[입력기엔진] -> [전체 설정] -> [설치된 입력기 서비스들:] 에서
[한국어] - [두벌식]과 [한자]만 선택하고(또는 각 개인이 사용하는 자판 형식) 나머지는 모두 선택을 해제 합니다.
설정을 적용하고 환경설정을 끝냅니다.
영어 입력 상태에서 한글 입력을 할려면 왼쪽 Ctrl + Space 키를 누르면 입력 상태가 전환됩니다. 반대의 경우도 같습니다.
** 콘솔에서 한글이 표시 되지 않고 영어가 표시되게 설정하는 방법입니다.
참고1 : http://kldp.org/node/78712
참고2 : http://safari.oreilly.com/0596526784/using_initialization_files_correctly
vi .bashrc (만약 전체 사용자에게 동일하기 적용할려면 /etc/bash.bashrc 파일을 맨 끝에 아래 내용을 추가하면 됩니다.)
export LANGUAGE="ko_KR:ko:en_GB:en"
export LC_MESSAGES="POSIX"
export LC_ALL=""
locate 명령으로 설정된 값을 확인합니다.
LANG=ko_KR.UTF-8
LC_CTYPE="ko_KR.UTF-8"
LC_NUMERIC="ko_KR.UTF-8"
LC_TIME="ko_KR.UTF-8"
LC_COLLATE="ko_KR.UTF-8"
LC_MONETARY="ko_KR.UTF-8"
LC_MESSAGES=POSIX
LC_PAPER="ko_KR.UTF-8"
LC_NAME="ko_KR.UTF-8"
LC_ADDRESS="ko_KR.UTF-8"
LC_TELEPHONE="ko_KR.UTF-8"
LC_MEASUREMENT="ko_KR.UTF-8"
LC_IDENTIFICATION="ko_KR.UTF-8"
LC_ALL=
언어 환경설정 파일을 수정합니다.
참고1 : http://wiki.eeeuser.com/howto:changelanguage
참고2 : http://www.chitsol.com/455
참고3 : http://debianusers.org/DebianWiki/wiki.php/%C3%CA%BA%B8%B0%A3%B4%DC%C7%D1%B1%DB%B0%A1%C0%CC%B5%E5
로케일 설정을 담당하는 /etc/locale.gen 을 수정합니다.
sudo vi /etc/locale.gen
ko_KR.UTF-8 UTF-8
다음 명령을 실행합니다
sudo locale-gen
sudo update-locale LANG=ko_KR.UTF-8
-> 이 명령을 실행하면 /etc/default/locale 이라는 파일이 생성됩니다.
한글 입력기 설치를 위해 프로그램 설치 저장소를 추가합니다. 앞으로 다양한 응용프로그램 설치시에도 이용됩니다.
sudo vi /etc/apt/sources.list
deb http://xnv4.xandros.com/xs2.0/upkg-srv2 etch main contrib non-free
deb http://dccamirror.xandros.com/dccri/ dccri-3.0 main
deb http://www.geekconnection.org/ xandros4 main
아래의 명령을 순서대로 실행하여 입력기인 scim과 한글 폰트를 설치합니다.
wget http://download.tuxfamily.org/eeepcrepos/key.asc
sudo apt-key add key.asc
sudo apt-get update
sudo apt-get install scim scim-hangul scim-tables-ko ttf-alee ttf-unfonts
작업이 완료되면 재부팅을 합니다.
다중언어입력기 SCIM의 환경을 설정합니다.
오른쪽 아래의 트레이영역에서 입력기 아이콘(input method 라고 풍선도움말이 표시됨)에서 오른쪽 마우스를 클릭하여 SCIM 설정을 선택합니다.
[입력기엔진] -> [전체 설정] -> [설치된 입력기 서비스들:] 에서
[한국어] - [두벌식]과 [한자]만 선택하고(또는 각 개인이 사용하는 자판 형식) 나머지는 모두 선택을 해제 합니다.
설정을 적용하고 환경설정을 끝냅니다.
영어 입력 상태에서 한글 입력을 할려면 왼쪽 Ctrl + Space 키를 누르면 입력 상태가 전환됩니다. 반대의 경우도 같습니다.
** 콘솔에서 한글이 표시 되지 않고 영어가 표시되게 설정하는 방법입니다.
참고1 : http://kldp.org/node/78712
참고2 : http://safari.oreilly.com/0596526784/using_initialization_files_correctly
vi .bashrc (만약 전체 사용자에게 동일하기 적용할려면 /etc/bash.bashrc 파일을 맨 끝에 아래 내용을 추가하면 됩니다.)
export LANGUAGE="ko_KR:ko:en_GB:en"
export LC_MESSAGES="POSIX"
export LC_ALL=""
locate 명령으로 설정된 값을 확인합니다.
LANG=ko_KR.UTF-8
LC_CTYPE="ko_KR.UTF-8"
LC_NUMERIC="ko_KR.UTF-8"
LC_TIME="ko_KR.UTF-8"
LC_COLLATE="ko_KR.UTF-8"
LC_MONETARY="ko_KR.UTF-8"
LC_MESSAGES=POSIX
LC_PAPER="ko_KR.UTF-8"
LC_NAME="ko_KR.UTF-8"
LC_ADDRESS="ko_KR.UTF-8"
LC_TELEPHONE="ko_KR.UTF-8"
LC_MEASUREMENT="ko_KR.UTF-8"
LC_IDENTIFICATION="ko_KR.UTF-8"
LC_ALL=
VNC 서버 설정
1. VNC 서버 설치
yum install vnc-server
service vncserver start
2. 설정
/etc/sysconfig/vncserver
* root로 원격에서 접속가능하게 설정하기
VNCSERVERS="2:root"
VNCSERVERARGS[2]="-geometry 800x600 -nolisten tcp -nohttpd"
* 패스워드 설정
vncpasswd 명령을 실행
* 그놈으로 VNC 원격 열기
~/.vnc/xstartup 수정
#!/bin/sh
# Uncomment the following two lines for normal desktop:
# unset SESSION_MANAGER
# exec /etc/X11/xinit/xinitrc
[ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartup
[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
xsetroot -solid grey
vncconfig -iconic &
#xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &
#twm &
export GTK_IM_MODULE=scim <- 한글 입력을 위해
gnome-session & <- 그놈 데스크탑 실행
3. 클라이언트 접속
UltraVNC를 설치하여 UltraVNC Viewer 를 실행
VNC Server : 에 www.junix.pe.kr:2 를 입력하고 vncpasswd에서 지정한 암호 입력
yum install vnc-server
service vncserver start
2. 설정
/etc/sysconfig/vncserver
* root로 원격에서 접속가능하게 설정하기
VNCSERVERS="2:root"
VNCSERVERARGS[2]="-geometry 800x600 -nolisten tcp -nohttpd"
* 패스워드 설정
vncpasswd 명령을 실행
* 그놈으로 VNC 원격 열기
~/.vnc/xstartup 수정
#!/bin/sh
# Uncomment the following two lines for normal desktop:
# unset SESSION_MANAGER
# exec /etc/X11/xinit/xinitrc
[ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartup
[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
xsetroot -solid grey
vncconfig -iconic &
#xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &
#twm &
export GTK_IM_MODULE=scim <- 한글 입력을 위해
gnome-session & <- 그놈 데스크탑 실행
3. 클라이언트 접속
UltraVNC를 설치하여 UltraVNC Viewer 를 실행
VNC Server : 에 www.junix.pe.kr:2 를 입력하고 vncpasswd에서 지정한 암호 입력
logwatch 7.2.1 on fc5
1. 설치
yum install logwatch
2. 설정
vi /etc/logwatch/conf/logwatch.conf
########################################################
# This was written and is maintained by:
# Kirk Bauer
#
# Please send all comments, suggestions, bug reports,
# etc, to kirk@kaybee.org.
#
########################################################
# NOTE:
# All these options are the defaults if you run logwatch with no
# command-line arguments. You can override all of these on the
# command-line.
# You can put comments anywhere you want to. They are effective for the
# rest of the line.
# this is in the format of = . Whitespace at the beginning
# and end of the lines is removed. Whitespace before and after the = sign
# is removed. Everything is case *insensitive*.
# Yes = True = On = 1
# No = False = Off = 0
# Default Log Directory
# All log-files are assumed to be given relative to this directory.
LogDir = /var/log
# You can override the default temp directory (/tmp) here
TmpDir = /var/cache/logwatch
# Default person to mail reports to. Can be a local account or a
# complete email address.
MailTo = jongjun 보고서를 받을 메일 계정
# Default person to mail reports from. Can be a local account or a
# complete email address.
MailFrom = Logwatch
# If set to 'Yes', the report will be sent to stdout instead of being
# mailed to above person.
Print = Yes
# if set, the results will be saved in instead of mailed
# or displayed.
#Save = /tmp/logwatch
# Use archives? If set to 'Yes', the archives of logfiles
# (i.e. /var/log/messages.1 or /var/log/messages.1.gz) will
# be searched in addition to the /var/log/messages file.
# This usually will not do much if your range is set to just
# 'Yesterday' or 'Today'... it is probably best used with
# Archives = Yes
# Range = All
# The default time range for the report...
# The current choices are All, Today, Yesterday
Range = yesterday
# The default detail level for the report.
# This can either be Low, Med, High or a number.
# Low = 0
# Med = 5
# High = 10
Detail = Low
# The 'Service' option expects either the name of a filter
# (in /usr/share/logwatch/scripts/services/*) or 'All'.
# The default service(s) to report on. This should be left as All for
# most people.
Service = All
# You can also disable certain services (when specifying all)
Service = "-zz-network" # Prevents execution of zz-network service, which
# prints useful network configuration info.
# If you only cared about FTP messages, you could use these 2 lines
# instead of the above:
#Service = ftpd-messages # Processes ftpd messages in /var/log/messages
#Service = ftpd-xferlog # Processes ftpd messages in /var/log/xferlog
# Maybe you only wanted reports on PAM messages, then you would use:
#Service = pam_pwdb # PAM_pwdb messages - usually quite a bit
#Service = pam # General PAM messages... usually not many
# You can also choose to use the 'LogFile' option. This will cause
# logwatch to only analyze that one logfile.. for example:
#LogFile = messages
# will process /var/log/messages. This will run all the filters that
# process that logfile. This option is probably not too useful to
# most people. Setting 'Service' to 'All' above analyizes all LogFiles
# anyways...
#
# By default we assume that all Unix systems have sendmail or a sendmail-like system.
# The mailer code Prints a header with To: From: and Subject:.
# At this point you can change the mailer to any thing else that can handle that output
# stream. TODO test variables in the mailer string to see if the To/From/Subject can be set
# From here with out breaking anything. This would allow mail/mailx/nail etc..... -mgt
mailer = "sendmail -t"
#
# With this option set to 'Yes', only log entries for this particular host
# (as returned by 'hostname' command) will be processed. The hostname
# can also be overridden on the commandline (with --hostname option). This
# can allow a log host to process only its own logs, or Logwatch can be
# run once per host included in the logfiles.
#
# The default is to report on all log entries, regardless of its source host.
# Note that some logfiles do not include host information and will not be
# influenced by this setting.
#
#HostLimit = Yes
# vi: shiftwidth=3 tabstop=3 et
3. 보고서 작성
/usr/sbin/logwatch 실행
4. 확인
Logwatch로 부터 jongjun으로 온 메일 확인
yum install logwatch
2. 설정
vi /etc/logwatch/conf/logwatch.conf
########################################################
# This was written and is maintained by:
# Kirk Bauer
#
# Please send all comments, suggestions, bug reports,
# etc, to kirk@kaybee.org.
#
########################################################
# NOTE:
# All these options are the defaults if you run logwatch with no
# command-line arguments. You can override all of these on the
# command-line.
# You can put comments anywhere you want to. They are effective for the
# rest of the line.
# this is in the format of
# and end of the lines is removed. Whitespace before and after the = sign
# is removed. Everything is case *insensitive*.
# Yes = True = On = 1
# No = False = Off = 0
# Default Log Directory
# All log-files are assumed to be given relative to this directory.
LogDir = /var/log
# You can override the default temp directory (/tmp) here
TmpDir = /var/cache/logwatch
# Default person to mail reports to. Can be a local account or a
# complete email address.
MailTo = jongjun 보고서를 받을 메일 계정
# Default person to mail reports from. Can be a local account or a
# complete email address.
MailFrom = Logwatch
# If set to 'Yes', the report will be sent to stdout instead of being
# mailed to above person.
Print = Yes
# if set, the results will be saved in
# or displayed.
#Save = /tmp/logwatch
# Use archives? If set to 'Yes', the archives of logfiles
# (i.e. /var/log/messages.1 or /var/log/messages.1.gz) will
# be searched in addition to the /var/log/messages file.
# This usually will not do much if your range is set to just
# 'Yesterday' or 'Today'... it is probably best used with
# Archives = Yes
# Range = All
# The default time range for the report...
# The current choices are All, Today, Yesterday
Range = yesterday
# The default detail level for the report.
# This can either be Low, Med, High or a number.
# Low = 0
# Med = 5
# High = 10
Detail = Low
# The 'Service' option expects either the name of a filter
# (in /usr/share/logwatch/scripts/services/*) or 'All'.
# The default service(s) to report on. This should be left as All for
# most people.
Service = All
# You can also disable certain services (when specifying all)
Service = "-zz-network" # Prevents execution of zz-network service, which
# prints useful network configuration info.
# If you only cared about FTP messages, you could use these 2 lines
# instead of the above:
#Service = ftpd-messages # Processes ftpd messages in /var/log/messages
#Service = ftpd-xferlog # Processes ftpd messages in /var/log/xferlog
# Maybe you only wanted reports on PAM messages, then you would use:
#Service = pam_pwdb # PAM_pwdb messages - usually quite a bit
#Service = pam # General PAM messages... usually not many
# You can also choose to use the 'LogFile' option. This will cause
# logwatch to only analyze that one logfile.. for example:
#LogFile = messages
# will process /var/log/messages. This will run all the filters that
# process that logfile. This option is probably not too useful to
# most people. Setting 'Service' to 'All' above analyizes all LogFiles
# anyways...
#
# By default we assume that all Unix systems have sendmail or a sendmail-like system.
# The mailer code Prints a header with To: From: and Subject:.
# At this point you can change the mailer to any thing else that can handle that output
# stream. TODO test variables in the mailer string to see if the To/From/Subject can be set
# From here with out breaking anything. This would allow mail/mailx/nail etc..... -mgt
mailer = "sendmail -t"
#
# With this option set to 'Yes', only log entries for this particular host
# (as returned by 'hostname' command) will be processed. The hostname
# can also be overridden on the commandline (with --hostname option). This
# can allow a log host to process only its own logs, or Logwatch can be
# run once per host included in the logfiles.
#
# The default is to report on all log entries, regardless of its source host.
# Note that some logfiles do not include host information and will not be
# influenced by this setting.
#
#HostLimit = Yes
# vi: shiftwidth=3 tabstop=3 et
3. 보고서 작성
/usr/sbin/logwatch 실행
4. 확인
Logwatch로 부터 jongjun으로 온 메일 확인
swatch 사용
로그 감시툴을 swatch를 사용해 보았다.
yum install swatch
테스트용 설정파일 설정
vi ~/.swatchrc
watchfor /.*/
echo
mail=jongjun@junix.pe.kr, subject=----PLEASE INVESTIGATE SSH ACCESS----
실행
swatch --config-file=/root/.swatchrc --tail-file=/var/log/secure
동작 확인
ssh를 하나 더 열어서 로그인 실패 상황을 만들고 실패에 대한 보고 메일이 왔는지 확인한다.
제목: ----PLEASE INVESTIGATE SSH ACCESS----
내용:
Aug 29 23:44:45 junix sshd[1431]: Invalid user hjhkj from 222.117.139.98
man swatch를 참조하여 추가 설정한다.
추가할 내용 : 오류별로 구분, 메일 통보 시간 조절, 다양한 로그 감시
yum install swatch
테스트용 설정파일 설정
vi ~/.swatchrc
watchfor /.*/
echo
mail=jongjun@junix.pe.kr, subject=----PLEASE INVESTIGATE SSH ACCESS----
실행
swatch --config-file=/root/.swatchrc --tail-file=/var/log/secure
동작 확인
ssh를 하나 더 열어서 로그인 실패 상황을 만들고 실패에 대한 보고 메일이 왔는지 확인한다.
제목: ----PLEASE INVESTIGATE SSH ACCESS----
내용:
Aug 29 23:44:45 junix sshd[1431]: Invalid user hjhkj from 222.117.139.98
man swatch를 참조하여 추가 설정한다.
추가할 내용 : 오류별로 구분, 메일 통보 시간 조절, 다양한 로그 감시
서버 모니터링 도구들
phpsysinfo - 웹에서 시스템 자원 모니터링
http://phpsysinfo.sourceforge.net/
iptables stat
http://www.phildev.net/iptstate/
htop
http://htop.sourceforge.net/
apache top
http://www.fr3nd.net/projects/apache-top/
iptraf
http://iptraf.seul.org/
http://phpsysinfo.sourceforge.net/
iptables stat
http://www.phildev.net/iptstate/
htop
http://htop.sourceforge.net/
apache top
http://www.fr3nd.net/projects/apache-top/
iptraf
http://iptraf.seul.org/
에러 로그를 저장하는 방법
startx >& /tmp/x.log
또는
startx > /tmp/x.log 2>&1
로그확인은 cat /tmp/x.log
[출처] 에러 로그를 저장하는 방법|작성자 쭌
또는
startx > /tmp/x.log 2>&1
로그확인은 cat /tmp/x.log
[출처] 에러 로그를 저장하는 방법|작성자 쭌
호주 퍼스 가기위한 준비
ㅇ 여권
경기도 여권민원실 : http://minwon.gyeonggi.go.kr/jsp/func/menu/user/view/AAVframe.jsp
ㅇ 항공권 싸게 알아보기
투어익스프레스 : http://www.tourexpress.com/
투어캐빈 : http://www.tourcabin.com/
** 주의사항 : 편도가 왕복의 1/2 가격은 아니라는 것. 1년 일정이면 왕복이 쌀수 있음
ㅇ 퍼스 정보 제공(여행, 숙박, 교통 등등)
Virtual Tourist :
http://www.virtualtourist.com/travel/Australia_and_Oceania/Australia/State_of_Western_Australia/Perth-1871231/TravelGuide-Perth.html
LOOK AT PERTH : http://www.lookatwa.com.au/index.php
Beautiful Perth : http://www.beautifulperth.com/
Perth Portal & Web Site Directory : http://www.inperth.com.au/perth.shtml
Perth Local Directory : http://www.streetsofperth.com.au/
Perth Tourist Centre Online : http://www.perthtouristcentre.com.au
Your Guide to Perth and Fremantle : http://www.countrywide.com.au/
What's On in Perth, Fremantle and Surrounds : http://www.whatson.com.au
http://www.totaltravel.com.au/travel/wa/pertharea/perth
ㅇ 숙소 알아보기 (백패커, 홈스테이는 현지 어학원 또는 영어학교를 통해서)
호텔예약 TravelStar : http://www.travelstar.co.kr/
- 한국 홈페이지. 더블룸 5일 숙박이 보통 50만원 한다.
YHA AUSTRALIA : http://www.yha.com.au
Hostel Times : http://www.hosteltimes.com/Kr/index.asp
VIP Backpackers : http://www.vipbackpackers.com/
hostelworld : http://www.hostelworld.com/
퍼스 정보 : http://www.totaltravel.com.au/travel/wa/pertharea/perth/directory/accommodation
괜찮아 보이는 곳
http://www.billabongresort.com.au
- 아침제공, 공항 픽업서비스 제공
Comfort Hostel : http://www.comfortbackpackers.com/
- 아침제공, 3일이상이면 공항 픽업서비스 제공
http://www.townsend.wa.edu.au/index.php
http://www.ymcajewellhouse.com/
ㅇ 여행용품 한국에서 미리준비하기
http://www.withtour.co.kr/ (기내용 가방 괜찮아보임)
http://www.travelmate.co.kr
http://www.safetour.co.kr
http://www.tntmall.co.kr/
http://www.travelwiz.co.kr/
http://www.back-packer.co.kr/
ㅇ 퍼스 영어 학교
* Western Australian Private Education and Training Industry Association Members : http://www.wapetia.org.au/members.html
* ENGLISH AUSTRALIA : http://www.englishaustralia.com.au
* http://studylink.com/index.html
셋다 무슨 영어 교육협회인듯 한데..퍼스 학교 리스트를 알수 있다.
PHOENIX Academy : http://www.phoenixacademy.com.au/
Embassy CES : http://www.embassyces.com/english/
Australian College of English(ACE) : http://www.ace.edu.au/tperth.htm
Milner International College of English : http://www.milner.wa.edu.au/
P.I.C.E Perth International College of English : http://www.pice.com.au/
Murdoch Language Institute : http://www.alexander.wa.edu.au/mli.htm
Cambridge International College Perth : http://www.cambridgecolleges.com/
St Marks International College(GEOS Perth) : http://www.stmarksperth.com.au
Education & Training International (ETI) : http://www.eti.wa.edu.au/
Eurocentres schools :
http://www.eurocentres.com/en/language_schools/Perth/General,8,14,x38,1.html
Centre for English Language Teaching (CELT) : http://www.celt.uwa.edu.au/
Perth Institute of Business and Technology (PIBT) : http://www.pibt.wa.edu.au
ㅇ 퍼스영어학교 소개 동영상(모 유학원서 제작함)
http://www.tagstory.com/video/video_tag.aspx?tag=%C6%DB%BD%BA
ㅇ 호주 일자리 알아보기
JOB SEARCH : http://jobsearch.gov.au
Go West Now - WA's Working : http://www.gowestnow.com/
농장 정보(과일따기) : http://www.tourinfocentre.com.au/work/work6.htm
ㅇ 퍼스 교통
기차 : http://www.railpage.org.au/railmaps/
버스 : http://www.transperth.wa.gov.au
공항 : http://www1.perthairport.net.au/
택시(택시는 이회사 말고 하나 더 있음) : http://www.swantaxis.com.au/
호주 항공사 : http://www.virginblue.com.au/
ㅇ 퍼스 날씨 : http://weatherreports.com/Perth,_Australia?units=c
ㅇ 기타
구글 어스 퍼스 지도 :
http://www.worldmapfinder.com/Map_EarthMap.php?ID=/Kr/Oceania/Australia/Perth
호주 퍼스 정보 :
http://www.hiviva.net/HTML/Travelinfo/travelinfo_04.htm?SELECT_TRAVEL_DESTINATION_INFO_AREA_UID=15
ATM기기 사용방법 :
http://www.hanabank.com/online/contents/card/guide/guid_04/guid_0401/1451_index.jsp
학생전문여행사 : http://kises.co.kr/
신한은행 제공 호주 뉴스 :
http://shinhan.eduhouse.net/common/news/news_list.asp?sel_nation=4
호주 CVA & 여행 준비하기 : http://blog.daum.net/iboyoung/5595490
[출처] 호주 퍼스에 가기 위한 북마크|작성자 쭌
경기도 여권민원실 : http://minwon.gyeonggi.go.kr/jsp/func/menu/user/view/AAVframe.jsp
ㅇ 항공권 싸게 알아보기
투어익스프레스 : http://www.tourexpress.com/
투어캐빈 : http://www.tourcabin.com/
** 주의사항 : 편도가 왕복의 1/2 가격은 아니라는 것. 1년 일정이면 왕복이 쌀수 있음
ㅇ 퍼스 정보 제공(여행, 숙박, 교통 등등)
Virtual Tourist :
http://www.virtualtourist.com/travel/Australia_and_Oceania/Australia/State_of_Western_Australia/Perth-1871231/TravelGuide-Perth.html
LOOK AT PERTH : http://www.lookatwa.com.au/index.php
Beautiful Perth : http://www.beautifulperth.com/
Perth Portal & Web Site Directory : http://www.inperth.com.au/perth.shtml
Perth Local Directory : http://www.streetsofperth.com.au/
Perth Tourist Centre Online : http://www.perthtouristcentre.com.au
Your Guide to Perth and Fremantle : http://www.countrywide.com.au/
What's On in Perth, Fremantle and Surrounds : http://www.whatson.com.au
http://www.totaltravel.com.au/travel/wa/pertharea/perth
ㅇ 숙소 알아보기 (백패커, 홈스테이는 현지 어학원 또는 영어학교를 통해서)
호텔예약 TravelStar : http://www.travelstar.co.kr/
- 한국 홈페이지. 더블룸 5일 숙박이 보통 50만원 한다.
YHA AUSTRALIA : http://www.yha.com.au
Hostel Times : http://www.hosteltimes.com/Kr/index.asp
VIP Backpackers : http://www.vipbackpackers.com/
hostelworld : http://www.hostelworld.com/
퍼스 정보 : http://www.totaltravel.com.au/travel/wa/pertharea/perth/directory/accommodation
괜찮아 보이는 곳
http://www.billabongresort.com.au
- 아침제공, 공항 픽업서비스 제공
Comfort Hostel : http://www.comfortbackpackers.com/
- 아침제공, 3일이상이면 공항 픽업서비스 제공
http://www.townsend.wa.edu.au/index.php
http://www.ymcajewellhouse.com/
ㅇ 여행용품 한국에서 미리준비하기
http://www.withtour.co.kr/ (기내용 가방 괜찮아보임)
http://www.travelmate.co.kr
http://www.safetour.co.kr
http://www.tntmall.co.kr/
http://www.travelwiz.co.kr/
http://www.back-packer.co.kr/
ㅇ 퍼스 영어 학교
* Western Australian Private Education and Training Industry Association Members : http://www.wapetia.org.au/members.html
* ENGLISH AUSTRALIA : http://www.englishaustralia.com.au
* http://studylink.com/index.html
셋다 무슨 영어 교육협회인듯 한데..퍼스 학교 리스트를 알수 있다.
PHOENIX Academy : http://www.phoenixacademy.com.au/
Embassy CES : http://www.embassyces.com/english/
Australian College of English(ACE) : http://www.ace.edu.au/tperth.htm
Milner International College of English : http://www.milner.wa.edu.au/
P.I.C.E Perth International College of English : http://www.pice.com.au/
Murdoch Language Institute : http://www.alexander.wa.edu.au/mli.htm
Cambridge International College Perth : http://www.cambridgecolleges.com/
St Marks International College(GEOS Perth) : http://www.stmarksperth.com.au
Education & Training International (ETI) : http://www.eti.wa.edu.au/
Eurocentres schools :
http://www.eurocentres.com/en/language_schools/Perth/General,8,14,x38,1.html
Centre for English Language Teaching (CELT) : http://www.celt.uwa.edu.au/
Perth Institute of Business and Technology (PIBT) : http://www.pibt.wa.edu.au
ㅇ 퍼스영어학교 소개 동영상(모 유학원서 제작함)
http://www.tagstory.com/video/video_tag.aspx?tag=%C6%DB%BD%BA
ㅇ 호주 일자리 알아보기
JOB SEARCH : http://jobsearch.gov.au
Go West Now - WA's Working : http://www.gowestnow.com/
농장 정보(과일따기) : http://www.tourinfocentre.com.au/work/work6.htm
ㅇ 퍼스 교통
기차 : http://www.railpage.org.au/railmaps/
버스 : http://www.transperth.wa.gov.au
공항 : http://www1.perthairport.net.au/
택시(택시는 이회사 말고 하나 더 있음) : http://www.swantaxis.com.au/
호주 항공사 : http://www.virginblue.com.au/
ㅇ 퍼스 날씨 : http://weatherreports.com/Perth,_Australia?units=c
ㅇ 기타
구글 어스 퍼스 지도 :
http://www.worldmapfinder.com/Map_EarthMap.php?ID=/Kr/Oceania/Australia/Perth
호주 퍼스 정보 :
http://www.hiviva.net/HTML/Travelinfo/travelinfo_04.htm?SELECT_TRAVEL_DESTINATION_INFO_AREA_UID=15
ATM기기 사용방법 :
http://www.hanabank.com/online/contents/card/guide/guid_04/guid_0401/1451_index.jsp
학생전문여행사 : http://kises.co.kr/
신한은행 제공 호주 뉴스 :
http://shinhan.eduhouse.net/common/news/news_list.asp?sel_nation=4
호주 CVA & 여행 준비하기 : http://blog.daum.net/iboyoung/5595490
[출처] 호주 퍼스에 가기 위한 북마크|작성자 쭌
2009. 4. 7.
[리눅스] F T P 전송
(1) 먼저 파일을 받는 client 에 전송할 데이터의 directory와 동일한 구조의 directory를 생성
#Source Server] find /home/user -type d -depth -print > dir.list
dir.list 파일을 target Server로 옮김
[주의]여기서 path는 절대 path를 생성해야 해야 함
#Target Server] cat dir.list | awk '{ print " mkdir -p -mode 755 " $1 }' | sh -x
[참고] Permission은 구지 명시하지 않아도 되며,
Source Server와 동일한 mode로 만들고자 하면,
Script하나 더 만들면 됨
(2) FTP로 모든 파일을 전송하는 다음의 script를 생성하고 동작시키면 됨
----------------------------------------------------------------
#!/bin/sh
while read line
do
cd $line
pwd
ftp -n 211.45.5.251 << +
prompt off
user root staff0
cd $line
pwd
mput *
+
done < dir.list
수행결과를 log 파일로 남길려면
# Source Server] ftp.sh > log
실행하는 위치는 아무것에나 상관없음. dir.list 에 디렉토리 경로가 절대 경로이므로
#Source Server] find /home/user -type d -depth -print > dir.list
dir.list 파일을 target Server로 옮김
[주의]여기서 path는 절대 path를 생성해야 해야 함
#Target Server] cat dir.list | awk '{ print " mkdir -p -mode 755 " $1 }' | sh -x
[참고] Permission은 구지 명시하지 않아도 되며,
Source Server와 동일한 mode로 만들고자 하면,
Script하나 더 만들면 됨
(2) FTP로 모든 파일을 전송하는 다음의 script를 생성하고 동작시키면 됨
----------------------------------------------------------------
#!/bin/sh
while read line
do
cd $line
pwd
ftp -n 211.45.5.251 << +
prompt off
user root staff0
cd $line
pwd
mput *
+
done < dir.list
수행결과를 log 파일로 남길려면
# Source Server] ftp.sh > log
실행하는 위치는 아무것에나 상관없음. dir.list 에 디렉토리 경로가 절대 경로이므로
2009. 4. 6.
리눅스 रूट 패스워드
리눅스에는 시스템의 사용 모드를 나타내는 ‘runlevel’이라는 것이 있는데
============================================
0 - 시스템 종료
1 - Single-User 모드
2 - Multi-User 모드(네트워크 사용 불가)
3 - Multi-User 모드
5 - Multi-User 모드(그래픽 화면 로그인)
6 - 시스템 재시작 (멀티유저모드)
============================================
solaris 의경우 재시작할때 shutdown -r0 -y0 -i6
싱글유저로 갈때는 shutdown -r0 -y0 -s
HP의 경우 일단 OK 모드(대기모드?)
에서 init 명령어나 shutdown 명령어로 이동을 한다
Linux (fedora, redhat) 에서는
shutdown -r 재기동
shutdown -s 싱글유저
싱글유저 모드란 별도의 로그인 과정 없이 root 계정으로 시스템로긴하는 모드이다.
(설정에따라서 로그인하는 경우가 있음)
이 모드로 부팅하면 root 권한으로 로긴을 하는 것이기때문에 passwd 명령어로
쉽게 root 패스워드를 변경할 수 있다.
부팅을 하기전에 부트로더에서 부팅 파라미터를 수정해서 싱글유저로 들어갈수가 있는데
1. GRUB이 떠서 디폴트로 지정된 OS로 부팅하려고 할 때, 엔터를 쳐서 선택 메뉴로 들어간다.
2. 부팅하고자 하는 것을 선택하고 e를 눌러 Edit 모드로 들어간다. 시스템마다 차이는 있겠지만 보통 다음과 같은 형식으로 나올 것이다.
============================================
root (hd0,0)
kernel /boot/vmlinuz-2.6.14-41hs ro root=/dev/hda2
initrd /boot/initrd-2.6.14-41hs.img
============================================
3. kernel이 있는 줄을 선택하고 다시 e를 누른다. 그럼 다음과 같이 부팅 파라미터를 수정할 수 있는데 끝에 1 또는 single을 입력하고 엔터를 누른다.
=============================================
grub edit> kernel /boot/vmlinuz-2.6.14-41hs ro root=/dev/hda2 1
=============================================
4. 다시 2번의 화면으로 돌아오게 되는데 b를 누르면 부팅을 시작한다.
5. 별도의 로그인 화면이 뜨지 않고 다음과 같이 프롬프트가 뜰 것이다. 이제 root 패스워드를 원하는 것으로 바꿀 수 있다.
===============================================
sh-3.00# passwd
Changing password for user root.
New UNIX password: _
================================================
6. 시스템을 재부팅한다.
=================================================
sh-3.00# reboot
=================================================
이상 GRUB를 사용한 싱글유저로긴 방법을 알아보았는데
실제 업무에서는 이 방법을 쓰지 않는다.
게다가 서버관리자가 루트패쓰워드를 해킹당하거나, 뭐였는지
기억을 못한다는건 있어서는 않되는일이며,
다른 관리자에게 물어보는것은 더더욱 않되는 일이다
============================================
0 - 시스템 종료
1 - Single-User 모드
2 - Multi-User 모드(네트워크 사용 불가)
3 - Multi-User 모드
5 - Multi-User 모드(그래픽 화면 로그인)
6 - 시스템 재시작 (멀티유저모드)
============================================
solaris 의경우 재시작할때 shutdown -r0 -y0 -i6
싱글유저로 갈때는 shutdown -r0 -y0 -s
HP의 경우 일단 OK 모드(대기모드?)
에서 init 명령어나 shutdown 명령어로 이동을 한다
Linux (fedora, redhat) 에서는
shutdown -r 재기동
shutdown -s 싱글유저
싱글유저 모드란 별도의 로그인 과정 없이 root 계정으로 시스템로긴하는 모드이다.
(설정에따라서 로그인하는 경우가 있음)
이 모드로 부팅하면 root 권한으로 로긴을 하는 것이기때문에 passwd 명령어로
쉽게 root 패스워드를 변경할 수 있다.
부팅을 하기전에 부트로더에서 부팅 파라미터를 수정해서 싱글유저로 들어갈수가 있는데
1. GRUB이 떠서 디폴트로 지정된 OS로 부팅하려고 할 때, 엔터를 쳐서 선택 메뉴로 들어간다.
2. 부팅하고자 하는 것을 선택하고 e를 눌러 Edit 모드로 들어간다. 시스템마다 차이는 있겠지만 보통 다음과 같은 형식으로 나올 것이다.
============================================
root (hd0,0)
kernel /boot/vmlinuz-2.6.14-41hs ro root=/dev/hda2
initrd /boot/initrd-2.6.14-41hs.img
============================================
3. kernel이 있는 줄을 선택하고 다시 e를 누른다. 그럼 다음과 같이 부팅 파라미터를 수정할 수 있는데 끝에 1 또는 single을 입력하고 엔터를 누른다.
=============================================
grub edit> kernel /boot/vmlinuz-2.6.14-41hs ro root=/dev/hda2 1
=============================================
4. 다시 2번의 화면으로 돌아오게 되는데 b를 누르면 부팅을 시작한다.
5. 별도의 로그인 화면이 뜨지 않고 다음과 같이 프롬프트가 뜰 것이다. 이제 root 패스워드를 원하는 것으로 바꿀 수 있다.
===============================================
sh-3.00# passwd
Changing password for user root.
New UNIX password: _
================================================
6. 시스템을 재부팅한다.
=================================================
sh-3.00# reboot
=================================================
이상 GRUB를 사용한 싱글유저로긴 방법을 알아보았는데
실제 업무에서는 이 방법을 쓰지 않는다.
게다가 서버관리자가 루트패쓰워드를 해킹당하거나, 뭐였는지
기억을 못한다는건 있어서는 않되는일이며,
다른 관리자에게 물어보는것은 더더욱 않되는 일이다
2009. 4. 3.
방화벽 스크립트 사용하기
FD 코리아에서는 외부 방화벽 이외에 OS내에 iptables 가 동작하도록 스크립트를 기본적으로 제공해 드리고 있습니다.
방화벽 스크립트의 위치는 /etc/rc.d/ 디렉토리입니다.
[root@server21010910231 root]# cd /etc/rc.d/
[root@server21010910231 rc.d]# ls
init.d rc rc0.d rc1.d rc2.d rc3.d rc4.d rc5.d rc6.d rc.firewall rc.local rc.sysinit
[root@server21010910231 rc.d]#
/etc/rc.d/ 디렉토리 안에서 보시면 rc.firewall 파일을 확인 하실 수 있습니다. rc.firewall 스크립트는 부팅시 자동으로 동작 하도록 아래와 같은 내용이 /etc/rc.local 파일에 등록 되어 있습니다.
if [ -e /etc/rc.d/rc.firewall ];then
sh /etc/rc.d/rc.firewall
fi
스크립트 상에서는 기본적으로 20, 21, 22, 25, 53, 80, 110, 143, 443, 953, 3306 포트가 열려 있으며, 나머지 포트는 막혀 있습니다. rc.firewall 스크립트상에서 아래 부분이 해당 포트들을 허용하도록 설정 한 부분입니다.
$IPTABLES -A INPUT -p tcp --dport 20:22 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 953 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
열려포트를 막기를 원하신다면, 해당 포트에 대한 라인을 삭제하시거나 주석(#) 처리 하시면 됩니다.
그리고 특정 아이피 주소에서만 포트 접속이 가능하게 설정을 하시려면 해당 라인에 --source 아이피를 입력하시면 됩니다. 아래의 예는 210.109.102.31번의 아이피 에서만 ssh(22번 포트)로 접속 할수 있게 수정 한 것입니다.
$IPTABLES -A INPUT -p tcp --source 210.109.102.31 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
추가로 다른 포트를 허용하려면, 위와 같은 라인에 허용할 포트에 대한 스크립트 한줄만 추가 하면 됩니다. 아래 스크립트는 8080포트 허용을 위한 스크립트 입니다.
$IPTABLES -A INPUT -p tcp --dport 8080 -m state --state NEW,ESTABLISHED -j ACCEPT
스크립트 수정이 완료되셨다면, /etc/rc.d/rc.firewall 명령을 실행 시키시면 iptables 룰셋이 적용되게 됩니다.
적용된 룰셋을 확인 하시려면 아래와 같이 iptables -L 명령으로 확인 하실수 있습니다.
[root@server21010910231 rc.d]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpts:ftp-data:ssh state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:domain state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:imap state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:https state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:rndc state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:mysql state NEW,ESTABLISHED
DROP tcp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
DROP tcp -- anywhere anywhere tcp dpts:6666:ircd
[root@server21010910231 rc.d]#
그리고 아래와 같이 iptables -F 명령을 입력하시면 적용된 룰셋이 삭제 되며, 이경우 서버를 재부팅 하거나, /etc/rc.d/rc.firewall 명령을 재실행 하기 전까지 룰셋이 적용되지 않게 됩니다.
[root@server21010910231 rc.d]# iptables -F
[root@server21010910231 rc.d]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@server21010910231 rc.d]#
방화벽 스크립트의 위치는 /etc/rc.d/ 디렉토리입니다.
[root@server21010910231 root]# cd /etc/rc.d/
[root@server21010910231 rc.d]# ls
init.d rc rc0.d rc1.d rc2.d rc3.d rc4.d rc5.d rc6.d rc.firewall rc.local rc.sysinit
[root@server21010910231 rc.d]#
/etc/rc.d/ 디렉토리 안에서 보시면 rc.firewall 파일을 확인 하실 수 있습니다. rc.firewall 스크립트는 부팅시 자동으로 동작 하도록 아래와 같은 내용이 /etc/rc.local 파일에 등록 되어 있습니다.
if [ -e /etc/rc.d/rc.firewall ];then
sh /etc/rc.d/rc.firewall
fi
스크립트 상에서는 기본적으로 20, 21, 22, 25, 53, 80, 110, 143, 443, 953, 3306 포트가 열려 있으며, 나머지 포트는 막혀 있습니다. rc.firewall 스크립트상에서 아래 부분이 해당 포트들을 허용하도록 설정 한 부분입니다.
$IPTABLES -A INPUT -p tcp --dport 20:22 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 953 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
열려포트를 막기를 원하신다면, 해당 포트에 대한 라인을 삭제하시거나 주석(#) 처리 하시면 됩니다.
그리고 특정 아이피 주소에서만 포트 접속이 가능하게 설정을 하시려면 해당 라인에 --source 아이피를 입력하시면 됩니다. 아래의 예는 210.109.102.31번의 아이피 에서만 ssh(22번 포트)로 접속 할수 있게 수정 한 것입니다.
$IPTABLES -A INPUT -p tcp --source 210.109.102.31 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
추가로 다른 포트를 허용하려면, 위와 같은 라인에 허용할 포트에 대한 스크립트 한줄만 추가 하면 됩니다. 아래 스크립트는 8080포트 허용을 위한 스크립트 입니다.
$IPTABLES -A INPUT -p tcp --dport 8080 -m state --state NEW,ESTABLISHED -j ACCEPT
스크립트 수정이 완료되셨다면, /etc/rc.d/rc.firewall 명령을 실행 시키시면 iptables 룰셋이 적용되게 됩니다.
적용된 룰셋을 확인 하시려면 아래와 같이 iptables -L 명령으로 확인 하실수 있습니다.
[root@server21010910231 rc.d]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpts:ftp-data:ssh state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:domain state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:imap state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:https state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:rndc state NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:mysql state NEW,ESTABLISHED
DROP tcp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
DROP tcp -- anywhere anywhere tcp dpts:6666:ircd
[root@server21010910231 rc.d]#
그리고 아래와 같이 iptables -F 명령을 입력하시면 적용된 룰셋이 삭제 되며, 이경우 서버를 재부팅 하거나, /etc/rc.d/rc.firewall 명령을 재실행 하기 전까지 룰셋이 적용되지 않게 됩니다.
[root@server21010910231 rc.d]# iptables -F
[root@server21010910231 rc.d]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@server21010910231 rc.d]#
디렉토리 크기 알아내기
리눅스/유닉스에서 디렉토리내의 파일들의 총 크기를 알고 싶은 경우 du 명령어를 사용하면 된다. du 명령의 사용법은 아래와 같다.
(1) 파일의 크기를 byte 로 계산하여서 보여준다.
# du -ab
(2) 파일의 크기를 사람이 보기 편하도록 보여준다.
# du -abh
(3) 현재의 디렉토리의 총 크기만 보고 싶으면 아래와 같이 실행한다.
# du -abch | grep -v "./"
# du --max-depth=1 -h .
(1) 파일의 크기를 byte 로 계산하여서 보여준다.
# du -ab
(2) 파일의 크기를 사람이 보기 편하도록 보여준다.
# du -abh
(3) 현재의 디렉토리의 총 크기만 보고 싶으면 아래와 같이 실행한다.
# du -abch | grep -v "./"
# du --max-depth=1 -h .
TCPDUMP
TCPDUMP User Guide
Date : January 1999
written by Kwon, YongChul
--------------------------------------------------------------------------------
-. 이 문서의 저작권은 저자(권용철:godslord@sparcs.kaist.ac.kr)에게 있습니다. 본문의 무단 인용, 복사는 저자와의 협의 없이 절대 불가능합니다.
--------------------------------------------------------------------------------
Table of Contents
이 문서를 보기 전에 알아야 할 사전 지식
Tcpdump란?
Tcpdump의 패키지 구하기
Tcpdump의 설치
Tcpdump Source의 간략한 설명
Tcpdump의 옵션들
조건식
Tcpdump의 사용 예제들
Tcpdump의 평가
References
--------------------------------------------------------------------------------
이 문서를 보기 전에 알아야 할 사전 지식
이 문서는 네트워크의 패킷들을 잡아내는 Tcpdump라는 프로그램에 대해서 설명하고 있다. 프로그램의 특성상, 네트워크에 관련된 많은 용어들과 특히 TCP/IP에 대한 내용 이 많이 나온다. 따라서 보다 잘 이해하기 위해서는 네트워크 설비 자료나, 네트워크 프로그래밍 가이드, 혹은 네트워크 프로토콜(TCP/IP)에 관련된 책들을 참조하는 것이 좋을 것이다.
--------------------------------------------------------------------------------
Tcpdump란?
Tcpdump는 주어진 조건식을 만족하는 네트워크 인터페이스를 거치는 패킷들의 헤더들 을 출력해 주는 프로그램이다. 프로그램의 특성상, 네트워크 인터페이스를 아주 심도 있게 사용하기 때문에, 실행하는 사람은 반드시 네트워크 인터페이스에 대한 읽기 권 한이 있어야만 한다.
OS dependent)
위에서 말하는 읽기 권한을 가지고 있어야 하는 파일, 혹은 Tcpdump의 퍼미션 이다.
SunOS : /dev/nit, /dev/bpf*
Solaris(SunOS 5.x) : /dev/le 등
HP-UX & IRIX & Linux : root에서 실행하거나, root로 setuid를 설정해야 함
Ultrix & Digital UNIX : root가 pfconfig를 이용하여, promiscuous-mode를 가능하게 설정하면 어떤 유저라도 사용할 수 있다.
BSD : /dev/bpf*
--------------------------------------------------------------------------------
Tcpdump의 패키지 구하기
Tcpdump는 ftp://ftp.ee.lbl.gov/tcpdump.tar.Z에서 최신 버전을 구할 수 있다. 유명 한 프로그램이기 때문에, 시스템소프트웨어를 패키지형태로 제공해 주는 OS들의 경우 Vendor에서 패키징된(컴파일된) 버전으로도 구할 수 있을 것이다.
--------------------------------------------------------------------------------
Tcpdump의 설치
Tcpdump는 libpcap(Protocol Capture Library)라는 것을 사용한다. 이 라이브러리는 Platform에 상관없이 동일한 방법으로 사용자 레벨에서 패킷들을 캡춰할 수 있게 해 준다. 따라서 이 라이브러리가 없다면, ftp://ftp.ee.lbl.gov/libpcap.tar.Z에서 구하 여 설치하도록 한다.
ANSI C 컴파일러는 아마 대부분의 시스템에서 구비하고 있을 것이다. 만약 없다면 ftp://prep.ai.mit.edu/pub/gnu/gcc.tar.gz를 받아서 설치하기 바란다.
libpcap라이브러리가 완벽하게 설치되었다는 가정하에서 다음의 절차에 따라 설치를 시작한다.
Makefile.in의 BINDEST와 MANDEST 항목에 각각, tcpdump 실행파일과 메뉴얼 페이 지가 설치될 디렉토리들을 입력해 준다.
Tcpdump 패키지와 함께 제공되는 ./configure 스크립트를 실행시킨다. 이 스크립트는 현재 시스템의 환경들을 검사하고 이에 맞추어서 Makefile을 생성해 준다.
make를 실행한다.
컴파일이 다 됐으면, make install을 수행하여 실행파일을 설치하고, make install-man을 실행하여 메뉴얼 페이지도 설치한다.
tcpdump의 퍼미션이 제대로 되었는지를 검사한다. setgid가 설정되어 있기 때문에, 원하지 않는 사람이 실행하게 된다면 위험하다.
위에서 설명한 절차를 그대로 옮겨 본다.
# vi Makefile.in
# ./configure
# make
# make install
# make install-man
OS dependent)
DEC/OSF and BSD/386, etc : tcpdump가 OS와 함께 제공되는 경우가 있다. 이럴 경우 tcpdump를 업그레이드 하기 전에 반드시 기존의 tcpdump를 백업해 두도록 하자.
Linux : libpcap 라이브러리는 2.0.25 커널에서 테스트 됐다. 2.0.x 대 커널 에서 25이하의 버전에서는 실행이 아마 가능할 것이다. 그러나 1.x대의 커널에서는 동작 여부가 입증되지 않았으므로 주의해야 한다.
OSF 4 : OSF4에서는 stack C 컴파일러에 치명적인 버그가 있다. 이 버그를 피해가려면, ./configure를 실행한 후 컴파일 하기 전에 Makefile에서 다음의 문장을 삭제한 후 컴파일해 주면 된다.
-DETHER_HEADER_HAS_EA=1 -DETHER_ARP_HAS_EA=1
--------------------------------------------------------------------------------
Tcpdump Source의 간략한 설명
--------------------------------------------------------------------------------
Tcpdump의 옵션들
-a : Network & Broadcast 주소들을 이름들로 바꾼다.
-c Number : 제시된 수의 패킷을 받은 후 종료한다.
-d : comile된 packet-matching code를 사람이 읽을 수 있도록 바꾸어 표준 출력으로 출력하고, 종료한다.
-dd : packet-matching code를 C program의 일부로 출력한다.
-ddd : packet-matching code를 숫자로 출력한다.
-e : 출력되는 각각의 행에 대해서 link-level 헤더를 출력한다.
-f : 외부의 internet address를 가급적 심볼로 출력한다(Sun의 yp server와의 사용은 가급적 피하자).
-F file : filter 표현의 입력으로 파일을 받아들인다. 커맨드라인에 주어진 추가의 표현들은 모두 무시된다.
-i device : 어느 인터페이스를 경유하는 패킷들을 잡을지 지정한다. 지저되지 않으면 시스템의 인터페이스 리스트를 뒤져서 가장 낮은 번호를 가진 인터페이스를 선택한다(이 때 loopback은 제외된다).
-l : 표준 출력으로 나가는 데이터들을 line buffering한다. 다른 프로그램에서 tcpdump로부터 데이터를 받고자 할 때, 유용하다.
-n : 모든 주소들을 번역하지 않는다(port,host address 등등)
-N : 호스트 이름을 출력할 때, 도메인을 찍지 않는다.
-O : packet-matching code optimizer를 실행하지 않는다. 이 옵션은 optimizer에 있는 버그를 찾을 때나 쓰인다.
-p : 인터페이스를 promiscuous mode로 두지 않는다.
-q : 프로토콜에 대한 정보를 덜 출력한다. 따라서 출력되는 라인이 좀 더 짧아진다.
-r file : 패킷들을 '-w'옵션으로 만들어진 파일로 부터 읽어 들인다. 파일에 "-" 가 사용되면 표준 입력을 통해서 받아들인다.
-s length: 패킷들로부터 추출하는 샘플을 default값인 68Byte외의 값으로 설정할 때 사용한다(SunOS의 NIT에서는 최소가 96Byte이다). 68Byte는 IP,ICMP, TCP, UDP등에 적절한 값이지만 Name Server나 NFS 패킷들의 경우에는 프로토콜의 정보들을 Truncation할 우려가 있다. 이 옵션을 수정할 때는 신중해야만 한다. 이유는 샘플 사이즈를 크게 잡으면 곧 패킷 하나하나를 처리하는데 시간이 더 걸릴 뿐만아니라 패킷 버퍼의 사이즈도 자연히 작아지게 되어 손실되는 패킷들이 발생할 수 있기 때문이다. 또, 작게 잡으면 그만큼의 정보를 잃게되는 것이다. 따라서 가급적 캡춰하고자 하는 프로토콜의 헤더 사이즈에 가깝게 잡아주어야 한다.
-T type : 조건식에 의해 선택된 패킷들을 명시된 형식으로 표시한다. type에는 다음과 같은 것들이 올 수 있다. rpc(Remote Procedure Call), rtp(Real-Time Applications protocol), rtcp(Real-Time Application control protocal), vat(Visual Audio Tool), wb(distributed White Board)
-S : TCP sequence번호를 상대적인 번호가 아닌 절대적인 번호로 출력한다.
-t : 출력되는 각각의 라인에 시간을 출력하지 않는다.
-tt : 출력되는 각각의 라인에 형식이 없는 시간들을 출력한다.
-v : 좀 더 많은 정보들을 출력한다.
-vv : '-v'보다 좀 더 많은 정보들을 출력한다.
-w : 캡춰한 패킷들을 분석해서 출력하는 대신에 그대로 파일에 저장한다.
-x : 각각의 패킷을 헥사코드로 출력한다.
조건식(expression)
옵션의 제일 마지막인 조건식은 어떤 패킷들을 출력할지를 선택하는데 쓰인다. 조건식이 주어지지 않는 다면 모든 패킷들이 그 대상이 될 것이다. 일단 주어지면, 아무리 패킷들이 많아도 조 건식에 부합하는 패킷만을 출력한다.
조건식들은 하나 또는 몇 개의 primitive들로 구성되어 있다. primitive들은 보통 하나 혹은 몇개의 qualifier들 다음에 오는 하나의 값으로 이루어진다. Qualifier들은 모두 3 종류이며 다음과 같다.
type : 주어진 값의 종류가 무엇인지를 나타낸다. 가능한 type들은 'host', 'net', 'port'가 있다. type이 없는 값들은 type을 host라 가정한다.
dir : id로 부터의 어떤 특정한 전송 방향을 나타낸다. 가능한 방향은 'src', 'dst', 'src or dst', 'src and dst'이다. 만약 방향이 정해지지 않았다면, src or dst라 가정한다. "For `null' link layers (i.e. point to point protocols such as slip) the inb ound and out bound qualifiers can be used to specify a desired direction."
proto : 매칭을 특정 프로토콜에 한해서 수행한다. 가능한 프로토콜들은 ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp, udp이다. 만약 프로토콜이 명시되지 않았다면, 해당하는 값의 type에 관련된 모든 프로토콜들이 그 대상이 된다.
이 밖에도 위의 패턴을 따르지 않는 Primitive들이 존재한다(gateway, broadcst, less, greater, 산술식).
좀 더 정교한 조건식들을 사용하려면, 'and(&&)', 'or(||)', 'not(!)'들을 사용하여 여러 primitive들을 연결하면 된다. 같은 표현들은 생략될 수 있다.
사용 가능한 Primitive들
dst host HOST
packet의 IP destination 항목이 HOST일때 참이 된다.
src host HOST
packet의 IP source 항목이 HOST일때 참이 된다.
host HOST
IP source, IP destination 항목 중 어느 하나라도 HOST이면 참이다.
ether dst ehost
ethernet destination 주소가 ehost일 때 참이다.
ether src ehost
ethernet source 주소가 ehost일 때 참이다.
ether host ehost
ethernet source, destination 항목들 중 어느 하나라도 ehost이면 참이다.
gateway host
패킷이 host를 게이트웨이로 사용하면 참이다. 이 말의 의미는 ethernet sour ce나 destination 항목은 host이지만, IP source와 destination은 host가 아닐 때를 말한다.
dst net NET
패킷의 IP destination 주소가 NET의 network number를 가지고 있을 때 참이 다.
src net NET
패킷의 IP source 주소가 NET의 network number를 가지고 있을 때 참이다.
net NET
패킷의 IP source 주소 혹은 destination 주소가 NET의 network number를 가 지고 있을 때 참이다.
net netmask mask
IP 어드레스가 지정된 netmask를 통해서 net과 매칭되면 참이다.
net net/len
IP 어드레스가 netmask와 len 비트만큼 매치되면 참이다.
dst port PORT
패킷이 ip/tcp, ip/udp 프로토콜의 패킷이고 destination port의 값이 PORT일 때 참이다. port는 /etc/services에 명시된 이름일 수도 있고 그냥 숫자일 수도 있다. 만약 이름이 사용됐다면 port 번호와 프로토콜이 같이 체크될 것이다. 만약 숫자나 불 확실한 이름이 사용됐을 경우에는 port 번호만이 체크될 것이다.
src port PORT
패킷의 source port의 값으로 PORT를 가지면 참이다.
port PORT
패킷의 source, destination port 중에 하나라도 PORT이면 참이다.
less length
패킷이 length보다 짧거나 같으면 참이다.(len <= length)
greater length
패킷이 length보다 짧거나 같으면 참이다.(len >= length)
ip proto protocol
패킷이 지정된 종류의 프로토콜의 ip패킷이면 참이다. Protocol은 icmp, igrp, udp, nd, tcp 중의 하나 혹은 몇 개가 될 수 있다. 주의할 점은 tcp, udp, icmp들은 '\'로 escape되어야 한다.
ehter broadcast
패킷이 ethernet broadcast 패킷이라면 참이다. ehter는 생략 가능하다.
ip broadcast
패킷이 IP broadcast 패킷이라면 참이다.
ether multicast
패킷이 IP multicast 패킷이라면 참이다.
ether proto protocol
패킷이 ether type의 protocol이라면 참이다. protocol은 ip, arp, rarp 중에 하나 혹은 몇개가 될 수 있다. ip proto protocol에서와 마찬가지로 ip, arp, rarp는 escape 되어야 한다.
decnet src host
만약 DECNET의 source address가 host이면 참이다. 이 어드레스는 '10.123'이 나 DECNET의 host name일 수 있다. DECNET host name은 DECNET에서 돌아가도록 설정된 Ultrix 시스템에서만 사용 가능하다.
decnet dst host
DECNET destination address가 host이면 참이다.
decnet host HOST
DECNET source, destination address중의 하나라도 HOST이면 참이다.
ip, arp, rarp, decnet
ether proto [ip|arp|rarp|decnet]의 약어
lat, moprc, mopdl
ether proto [lat|moprc|mopdl]의 약어
tcp, udp, icmp
ip proto [tcp|udp|icmp]의 약어
expr relop expr
EXPR
proto [expr:size]의 형식을 띤다. proto, expr, size에 올 수 있는 것들은 다음과 같다.
proto : ether, fddi, ip, arp, rarp, tcp, udp, icmp
expr : indicate Byte offset of packet of proto
size : optional. indicate the size of bytes in field of interest
default is one, and can be two or four
RELOP
!=, =, <=, >=, etc.
이 조건식을 사용하기 위해서는 먼저 해당하는 Protocol(proto)의 헤더에 관련된 것들을 자세히 알아야만 한다. proto에는 대상이 될 프로토콜을 지정한다. expr에는 프로토콜 헤더의 처음부터의 Byte Offset을 지정하는 식이 들어가게 된다. Size는 Option이며 지정이 안 되어 있을 경우에는 자동으로 1byte를 지칭한다. 따라서 이 조건식을 사용하게 되면 헤더에 포함된 정보를 Bitmask를 사용하여 직 접 원하는 패킷인지를 가려낼 수 있기 때문에, 보다 정밀한 사용이 가능하게 된다.
--------------------------------------------------------------------------------
Tcpdump의 사용 예제들
security라는 호스트로부터 날아오고, 날아가는 패킷들을 출력
# tcpdump host security
security와 mazinga, getarobo 사이에 날아다니고 있는 패킷들을 출력
# tcpdump host security and \( mazinga or getarobo \)
security에서 elgaim을 제외한 모든 호스트로 날아다니는 IP 패킷들을 출력
# tcpdump ip host security and not elgaim
gateway amurorei를 거치는 ftp에 관련된 패킷들을 출력
# tcpdump 'gateway amurorei and ( port ftp or ftp-data )'
local호스트가 아닌 호스트와 로컬호스트가 맺는 TCP 커넥션의 시작과 마지막 패 킷들을 출력한다(SYN, FIN 패킷).
# tcpdump 'tcp[13] & 3 != 0 and not src and dst net non-local'
gateway amurorei를 지나는 576Byte보다 큰 패킷들을 출력한다
# tcpdump 'gateway amurorei and ip[2:2] > 576'
Ethernet boradcast 혹은 multicast를 통해서 보내진 것이 아닌, IP broadcast 혹 은 multicast 패킷들을 출력한다.
# tcpdump 'ehter[0] & 1 = 0 and ip[16] >= 224'
Echo request/reply가 아닌 ICMP 패킷들을 모두 출력한다.
# tcpdump 'icmp[0] != 8 and icmp[0] != 0'
--------------------------------------------------------------------------------
Tcpdump의 평가
TCPDUMP는 여러모로 좋은 툴이다. libpcap을 거의 100% 활용한 프로그램의 예이며, 실제로 많은 툴들이 TCPDUMP와 병행하여 돌아가거나, TCPDUMP를 기반으로 제작되었다. TCPDUMP의 막강한 packet filter는 현재 로컬 네트워크 상에서 날아다니고 있는 특정한 패킷들을 실시간으로 기록해 줄 수 있으며, 이를 이용하여 네트워크에서 벌어지는 일들을 네트워크 관리자가 원하는 대로 뽑아 볼 수 있게 해 준다. 또한, 시스템 관리자들에게는 로컬 유저의 외부로의 커넥션들을 감시하고, 또 특정 침입자가 침투 경로로 자주 이용하는 호스트, 혹은 원하지 않는 호스트로부터의 커넥션을 실시간으로 감시할 수 있게 해 준다. libpcap을 이용하여 비슷한 툴을 제작하고자 하는 사람들에게도 TCPDUMP는 가장 훌륭한 예제가 될 것이다.
--------------------------------------------------------------------------------
References
TCP dump Manual page : written by Van Jacobson, Craig Leres and Steven McCanne, all of the Lawrence Berkeley National Laboratory, University of California, Berkeley, CA.
TCP dump Document included in TCP dump package
Date : January 1999
written by Kwon, YongChul
--------------------------------------------------------------------------------
-. 이 문서의 저작권은 저자(권용철:godslord@sparcs.kaist.ac.kr)에게 있습니다. 본문의 무단 인용, 복사는 저자와의 협의 없이 절대 불가능합니다.
--------------------------------------------------------------------------------
Table of Contents
이 문서를 보기 전에 알아야 할 사전 지식
Tcpdump란?
Tcpdump의 패키지 구하기
Tcpdump의 설치
Tcpdump Source의 간략한 설명
Tcpdump의 옵션들
조건식
Tcpdump의 사용 예제들
Tcpdump의 평가
References
--------------------------------------------------------------------------------
이 문서를 보기 전에 알아야 할 사전 지식
이 문서는 네트워크의 패킷들을 잡아내는 Tcpdump라는 프로그램에 대해서 설명하고 있다. 프로그램의 특성상, 네트워크에 관련된 많은 용어들과 특히 TCP/IP에 대한 내용 이 많이 나온다. 따라서 보다 잘 이해하기 위해서는 네트워크 설비 자료나, 네트워크 프로그래밍 가이드, 혹은 네트워크 프로토콜(TCP/IP)에 관련된 책들을 참조하는 것이 좋을 것이다.
--------------------------------------------------------------------------------
Tcpdump란?
Tcpdump는 주어진 조건식을 만족하는 네트워크 인터페이스를 거치는 패킷들의 헤더들 을 출력해 주는 프로그램이다. 프로그램의 특성상, 네트워크 인터페이스를 아주 심도 있게 사용하기 때문에, 실행하는 사람은 반드시 네트워크 인터페이스에 대한 읽기 권 한이 있어야만 한다.
OS dependent)
위에서 말하는 읽기 권한을 가지고 있어야 하는 파일, 혹은 Tcpdump의 퍼미션 이다.
SunOS : /dev/nit, /dev/bpf*
Solaris(SunOS 5.x) : /dev/le 등
HP-UX & IRIX & Linux : root에서 실행하거나, root로 setuid를 설정해야 함
Ultrix & Digital UNIX : root가 pfconfig를 이용하여, promiscuous-mode를 가능하게 설정하면 어떤 유저라도 사용할 수 있다.
BSD : /dev/bpf*
--------------------------------------------------------------------------------
Tcpdump의 패키지 구하기
Tcpdump는 ftp://ftp.ee.lbl.gov/tcpdump.tar.Z에서 최신 버전을 구할 수 있다. 유명 한 프로그램이기 때문에, 시스템소프트웨어를 패키지형태로 제공해 주는 OS들의 경우 Vendor에서 패키징된(컴파일된) 버전으로도 구할 수 있을 것이다.
--------------------------------------------------------------------------------
Tcpdump의 설치
Tcpdump는 libpcap(Protocol Capture Library)라는 것을 사용한다. 이 라이브러리는 Platform에 상관없이 동일한 방법으로 사용자 레벨에서 패킷들을 캡춰할 수 있게 해 준다. 따라서 이 라이브러리가 없다면, ftp://ftp.ee.lbl.gov/libpcap.tar.Z에서 구하 여 설치하도록 한다.
ANSI C 컴파일러는 아마 대부분의 시스템에서 구비하고 있을 것이다. 만약 없다면 ftp://prep.ai.mit.edu/pub/gnu/gcc.tar.gz를 받아서 설치하기 바란다.
libpcap라이브러리가 완벽하게 설치되었다는 가정하에서 다음의 절차에 따라 설치를 시작한다.
Makefile.in의 BINDEST와 MANDEST 항목에 각각, tcpdump 실행파일과 메뉴얼 페이 지가 설치될 디렉토리들을 입력해 준다.
Tcpdump 패키지와 함께 제공되는 ./configure 스크립트를 실행시킨다. 이 스크립트는 현재 시스템의 환경들을 검사하고 이에 맞추어서 Makefile을 생성해 준다.
make를 실행한다.
컴파일이 다 됐으면, make install을 수행하여 실행파일을 설치하고, make install-man을 실행하여 메뉴얼 페이지도 설치한다.
tcpdump의 퍼미션이 제대로 되었는지를 검사한다. setgid가 설정되어 있기 때문에, 원하지 않는 사람이 실행하게 된다면 위험하다.
위에서 설명한 절차를 그대로 옮겨 본다.
# vi Makefile.in
# ./configure
# make
# make install
# make install-man
OS dependent)
DEC/OSF and BSD/386, etc : tcpdump가 OS와 함께 제공되는 경우가 있다. 이럴 경우 tcpdump를 업그레이드 하기 전에 반드시 기존의 tcpdump를 백업해 두도록 하자.
Linux : libpcap 라이브러리는 2.0.25 커널에서 테스트 됐다. 2.0.x 대 커널 에서 25이하의 버전에서는 실행이 아마 가능할 것이다. 그러나 1.x대의 커널에서는 동작 여부가 입증되지 않았으므로 주의해야 한다.
OSF 4 : OSF4에서는 stack C 컴파일러에 치명적인 버그가 있다. 이 버그를 피해가려면, ./configure를 실행한 후 컴파일 하기 전에 Makefile에서 다음의 문장을 삭제한 후 컴파일해 주면 된다.
-DETHER_HEADER_HAS_EA=1 -DETHER_ARP_HAS_EA=1
--------------------------------------------------------------------------------
Tcpdump Source의 간략한 설명
--------------------------------------------------------------------------------
Tcpdump의 옵션들
-a : Network & Broadcast 주소들을 이름들로 바꾼다.
-c Number : 제시된 수의 패킷을 받은 후 종료한다.
-d : comile된 packet-matching code를 사람이 읽을 수 있도록 바꾸어 표준 출력으로 출력하고, 종료한다.
-dd : packet-matching code를 C program의 일부로 출력한다.
-ddd : packet-matching code를 숫자로 출력한다.
-e : 출력되는 각각의 행에 대해서 link-level 헤더를 출력한다.
-f : 외부의 internet address를 가급적 심볼로 출력한다(Sun의 yp server와의 사용은 가급적 피하자).
-F file : filter 표현의 입력으로 파일을 받아들인다. 커맨드라인에 주어진 추가의 표현들은 모두 무시된다.
-i device : 어느 인터페이스를 경유하는 패킷들을 잡을지 지정한다. 지저되지 않으면 시스템의 인터페이스 리스트를 뒤져서 가장 낮은 번호를 가진 인터페이스를 선택한다(이 때 loopback은 제외된다).
-l : 표준 출력으로 나가는 데이터들을 line buffering한다. 다른 프로그램에서 tcpdump로부터 데이터를 받고자 할 때, 유용하다.
-n : 모든 주소들을 번역하지 않는다(port,host address 등등)
-N : 호스트 이름을 출력할 때, 도메인을 찍지 않는다.
-O : packet-matching code optimizer를 실행하지 않는다. 이 옵션은 optimizer에 있는 버그를 찾을 때나 쓰인다.
-p : 인터페이스를 promiscuous mode로 두지 않는다.
-q : 프로토콜에 대한 정보를 덜 출력한다. 따라서 출력되는 라인이 좀 더 짧아진다.
-r file : 패킷들을 '-w'옵션으로 만들어진 파일로 부터 읽어 들인다. 파일에 "-" 가 사용되면 표준 입력을 통해서 받아들인다.
-s length: 패킷들로부터 추출하는 샘플을 default값인 68Byte외의 값으로 설정할 때 사용한다(SunOS의 NIT에서는 최소가 96Byte이다). 68Byte는 IP,ICMP, TCP, UDP등에 적절한 값이지만 Name Server나 NFS 패킷들의 경우에는 프로토콜의 정보들을 Truncation할 우려가 있다. 이 옵션을 수정할 때는 신중해야만 한다. 이유는 샘플 사이즈를 크게 잡으면 곧 패킷 하나하나를 처리하는데 시간이 더 걸릴 뿐만아니라 패킷 버퍼의 사이즈도 자연히 작아지게 되어 손실되는 패킷들이 발생할 수 있기 때문이다. 또, 작게 잡으면 그만큼의 정보를 잃게되는 것이다. 따라서 가급적 캡춰하고자 하는 프로토콜의 헤더 사이즈에 가깝게 잡아주어야 한다.
-T type : 조건식에 의해 선택된 패킷들을 명시된 형식으로 표시한다. type에는 다음과 같은 것들이 올 수 있다. rpc(Remote Procedure Call), rtp(Real-Time Applications protocol), rtcp(Real-Time Application control protocal), vat(Visual Audio Tool), wb(distributed White Board)
-S : TCP sequence번호를 상대적인 번호가 아닌 절대적인 번호로 출력한다.
-t : 출력되는 각각의 라인에 시간을 출력하지 않는다.
-tt : 출력되는 각각의 라인에 형식이 없는 시간들을 출력한다.
-v : 좀 더 많은 정보들을 출력한다.
-vv : '-v'보다 좀 더 많은 정보들을 출력한다.
-w : 캡춰한 패킷들을 분석해서 출력하는 대신에 그대로 파일에 저장한다.
-x : 각각의 패킷을 헥사코드로 출력한다.
조건식(expression)
옵션의 제일 마지막인 조건식은 어떤 패킷들을 출력할지를 선택하는데 쓰인다. 조건식이 주어지지 않는 다면 모든 패킷들이 그 대상이 될 것이다. 일단 주어지면, 아무리 패킷들이 많아도 조 건식에 부합하는 패킷만을 출력한다.
조건식들은 하나 또는 몇 개의 primitive들로 구성되어 있다. primitive들은 보통 하나 혹은 몇개의 qualifier들 다음에 오는 하나의 값으로 이루어진다. Qualifier들은 모두 3 종류이며 다음과 같다.
type : 주어진 값의 종류가 무엇인지를 나타낸다. 가능한 type들은 'host', 'net', 'port'가 있다. type이 없는 값들은 type을 host라 가정한다.
dir : id로 부터의 어떤 특정한 전송 방향을 나타낸다. 가능한 방향은 'src', 'dst', 'src or dst', 'src and dst'이다. 만약 방향이 정해지지 않았다면, src or dst라 가정한다. "For `null' link layers (i.e. point to point protocols such as slip) the inb ound and out bound qualifiers can be used to specify a desired direction."
proto : 매칭을 특정 프로토콜에 한해서 수행한다. 가능한 프로토콜들은 ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp, udp이다. 만약 프로토콜이 명시되지 않았다면, 해당하는 값의 type에 관련된 모든 프로토콜들이 그 대상이 된다.
이 밖에도 위의 패턴을 따르지 않는 Primitive들이 존재한다(gateway, broadcst, less, greater, 산술식).
좀 더 정교한 조건식들을 사용하려면, 'and(&&)', 'or(||)', 'not(!)'들을 사용하여 여러 primitive들을 연결하면 된다. 같은 표현들은 생략될 수 있다.
사용 가능한 Primitive들
dst host HOST
packet의 IP destination 항목이 HOST일때 참이 된다.
src host HOST
packet의 IP source 항목이 HOST일때 참이 된다.
host HOST
IP source, IP destination 항목 중 어느 하나라도 HOST이면 참이다.
ether dst ehost
ethernet destination 주소가 ehost일 때 참이다.
ether src ehost
ethernet source 주소가 ehost일 때 참이다.
ether host ehost
ethernet source, destination 항목들 중 어느 하나라도 ehost이면 참이다.
gateway host
패킷이 host를 게이트웨이로 사용하면 참이다. 이 말의 의미는 ethernet sour ce나 destination 항목은 host이지만, IP source와 destination은 host가 아닐 때를 말한다.
dst net NET
패킷의 IP destination 주소가 NET의 network number를 가지고 있을 때 참이 다.
src net NET
패킷의 IP source 주소가 NET의 network number를 가지고 있을 때 참이다.
net NET
패킷의 IP source 주소 혹은 destination 주소가 NET의 network number를 가 지고 있을 때 참이다.
net netmask mask
IP 어드레스가 지정된 netmask를 통해서 net과 매칭되면 참이다.
net net/len
IP 어드레스가 netmask와 len 비트만큼 매치되면 참이다.
dst port PORT
패킷이 ip/tcp, ip/udp 프로토콜의 패킷이고 destination port의 값이 PORT일 때 참이다. port는 /etc/services에 명시된 이름일 수도 있고 그냥 숫자일 수도 있다. 만약 이름이 사용됐다면 port 번호와 프로토콜이 같이 체크될 것이다. 만약 숫자나 불 확실한 이름이 사용됐을 경우에는 port 번호만이 체크될 것이다.
src port PORT
패킷의 source port의 값으로 PORT를 가지면 참이다.
port PORT
패킷의 source, destination port 중에 하나라도 PORT이면 참이다.
less length
패킷이 length보다 짧거나 같으면 참이다.(len <= length)
greater length
패킷이 length보다 짧거나 같으면 참이다.(len >= length)
ip proto protocol
패킷이 지정된 종류의 프로토콜의 ip패킷이면 참이다. Protocol은 icmp, igrp, udp, nd, tcp 중의 하나 혹은 몇 개가 될 수 있다. 주의할 점은 tcp, udp, icmp들은 '\'로 escape되어야 한다.
ehter broadcast
패킷이 ethernet broadcast 패킷이라면 참이다. ehter는 생략 가능하다.
ip broadcast
패킷이 IP broadcast 패킷이라면 참이다.
ether multicast
패킷이 IP multicast 패킷이라면 참이다.
ether proto protocol
패킷이 ether type의 protocol이라면 참이다. protocol은 ip, arp, rarp 중에 하나 혹은 몇개가 될 수 있다. ip proto protocol에서와 마찬가지로 ip, arp, rarp는 escape 되어야 한다.
decnet src host
만약 DECNET의 source address가 host이면 참이다. 이 어드레스는 '10.123'이 나 DECNET의 host name일 수 있다. DECNET host name은 DECNET에서 돌아가도록 설정된 Ultrix 시스템에서만 사용 가능하다.
decnet dst host
DECNET destination address가 host이면 참이다.
decnet host HOST
DECNET source, destination address중의 하나라도 HOST이면 참이다.
ip, arp, rarp, decnet
ether proto [ip|arp|rarp|decnet]의 약어
lat, moprc, mopdl
ether proto [lat|moprc|mopdl]의 약어
tcp, udp, icmp
ip proto [tcp|udp|icmp]의 약어
expr relop expr
EXPR
proto [expr:size]의 형식을 띤다. proto, expr, size에 올 수 있는 것들은 다음과 같다.
proto : ether, fddi, ip, arp, rarp, tcp, udp, icmp
expr : indicate Byte offset of packet of proto
size : optional. indicate the size of bytes in field of interest
default is one, and can be two or four
RELOP
!=, =, <=, >=, etc.
이 조건식을 사용하기 위해서는 먼저 해당하는 Protocol(proto)의 헤더에 관련된 것들을 자세히 알아야만 한다. proto에는 대상이 될 프로토콜을 지정한다. expr에는 프로토콜 헤더의 처음부터의 Byte Offset을 지정하는 식이 들어가게 된다. Size는 Option이며 지정이 안 되어 있을 경우에는 자동으로 1byte를 지칭한다. 따라서 이 조건식을 사용하게 되면 헤더에 포함된 정보를 Bitmask를 사용하여 직 접 원하는 패킷인지를 가려낼 수 있기 때문에, 보다 정밀한 사용이 가능하게 된다.
--------------------------------------------------------------------------------
Tcpdump의 사용 예제들
security라는 호스트로부터 날아오고, 날아가는 패킷들을 출력
# tcpdump host security
security와 mazinga, getarobo 사이에 날아다니고 있는 패킷들을 출력
# tcpdump host security and \( mazinga or getarobo \)
security에서 elgaim을 제외한 모든 호스트로 날아다니는 IP 패킷들을 출력
# tcpdump ip host security and not elgaim
gateway amurorei를 거치는 ftp에 관련된 패킷들을 출력
# tcpdump 'gateway amurorei and ( port ftp or ftp-data )'
local호스트가 아닌 호스트와 로컬호스트가 맺는 TCP 커넥션의 시작과 마지막 패 킷들을 출력한다(SYN, FIN 패킷).
# tcpdump 'tcp[13] & 3 != 0 and not src and dst net non-local'
gateway amurorei를 지나는 576Byte보다 큰 패킷들을 출력한다
# tcpdump 'gateway amurorei and ip[2:2] > 576'
Ethernet boradcast 혹은 multicast를 통해서 보내진 것이 아닌, IP broadcast 혹 은 multicast 패킷들을 출력한다.
# tcpdump 'ehter[0] & 1 = 0 and ip[16] >= 224'
Echo request/reply가 아닌 ICMP 패킷들을 모두 출력한다.
# tcpdump 'icmp[0] != 8 and icmp[0] != 0'
--------------------------------------------------------------------------------
Tcpdump의 평가
TCPDUMP는 여러모로 좋은 툴이다. libpcap을 거의 100% 활용한 프로그램의 예이며, 실제로 많은 툴들이 TCPDUMP와 병행하여 돌아가거나, TCPDUMP를 기반으로 제작되었다. TCPDUMP의 막강한 packet filter는 현재 로컬 네트워크 상에서 날아다니고 있는 특정한 패킷들을 실시간으로 기록해 줄 수 있으며, 이를 이용하여 네트워크에서 벌어지는 일들을 네트워크 관리자가 원하는 대로 뽑아 볼 수 있게 해 준다. 또한, 시스템 관리자들에게는 로컬 유저의 외부로의 커넥션들을 감시하고, 또 특정 침입자가 침투 경로로 자주 이용하는 호스트, 혹은 원하지 않는 호스트로부터의 커넥션을 실시간으로 감시할 수 있게 해 준다. libpcap을 이용하여 비슷한 툴을 제작하고자 하는 사람들에게도 TCPDUMP는 가장 훌륭한 예제가 될 것이다.
--------------------------------------------------------------------------------
References
TCP dump Manual page : written by Van Jacobson, Craig Leres and Steven McCanne, all of the Lawrence Berkeley National Laboratory, University of California, Berkeley, CA.
TCP dump Document included in TCP dump package
IPv6 비활성화 시키기
/etc/modprobe.conf 파일에 아래와 같이 입력한다.
alias net-pf-10 off
alias ipv6 off
/etc/sysconfig/network 파일을 아래와 같이 수정한다.
NETWORKING_IPV6=no
위와 같이 설정한 후, 재부팅하거나 /etc/init.d/network restart 를 실행한다.
alias net-pf-10 off
alias ipv6 off
/etc/sysconfig/network 파일을 아래와 같이 수정한다.
NETWORKING_IPV6=no
위와 같이 설정한 후, 재부팅하거나 /etc/init.d/network restart 를 실행한다.
NFS 사용을 위한 방화벽 설정
NFS가 사용하는 포트들을 iptables rule chain에 추가한다.
foo# /sbin/iptables -A INPUT -p tcp --dport 111 -j ACCEPT
foo# /sbin/iptables -A INPUT -p udp --dport 111 -j ACCEPT
foo# /sbin/iptables -A INPUT -p tcp --dport 2049 -j ACCEPT
foo# /sbin/iptables -A INPUT -p udp --dport 2049 -j ACCEPT
foo# /sbin/iptables -A INPUT -p tcp --dport 32766 -j ACCEPT
foo# /sbin/iptables -A INPUT -p tcp --dport 32767 -j ACCEPT
foo# /sbin/iptables -A INPUT -p tcp --dport 32769 -j ACCEPT
foo# /sbin/iptables -A INPUT -p tcp --dport 111 -j ACCEPT
foo# /sbin/iptables -A INPUT -p udp --dport 111 -j ACCEPT
foo# /sbin/iptables -A INPUT -p tcp --dport 2049 -j ACCEPT
foo# /sbin/iptables -A INPUT -p udp --dport 2049 -j ACCEPT
foo# /sbin/iptables -A INPUT -p tcp --dport 32766 -j ACCEPT
foo# /sbin/iptables -A INPUT -p tcp --dport 32767 -j ACCEPT
foo# /sbin/iptables -A INPUT -p tcp --dport 32769 -j ACCEPT
SELINUX 비활성화시키기
/etc/sysconfig/selinux 파일에서 SELINUX 를 disabled 로 설정하면 된다. /etc/sysconfig/selinux 설정 예제는 아래와 같다.
SELINUX=disabled
SELINUXTYPE=targeted
SELINUX=disabled
SELINUXTYPE=targeted
NFS 설정
리눅스에서 여러분의 홈디렉토리를 통해 자신의 모든 설정파일들 - 예를 들어 넷스케이프 북마크들, 여러분의 전자우편을(여러분이 컴퓨터마다 모두 같은 전자우편 프로그램을 사용한다고 가정하고) 공유하는 것은, 여러분이 컴퓨터와 컴퓨터 사이에서 옮겨 다닐 때 윈도우 매니저가 사용자 환경에 적절하게 맞춰졌던 것처럼 여러분 네트워크에 강력함을 더해준다.
리눅스 그리고 유닉스는 일반적으로 파일시스템을 공유하기 위해 nfs(network file system)라는 이름을 가진 프로그램을 사용한다. nfs는 몇 가지 보안 구멍이 알려져 있으므로 방화벽 컴퓨터 뒤에 nfs를 숨기는 것이 좋다. NFS Howto는 이 기사를 읽은 다음에 꼼꼼하게 읽어보아야 할 중요한 리소스이다.
UDI:
어떤 사용자가 접근했었는지 nfs가 기억하게 만드는 방법 가운데 하나는 UID - 사용자 식별 번호이다. UID는 패스워드 파일의 세 번째 항목에 기록된다. 내 시스템에서 이 파일은 다음과 같다:
jpollman:IxmI/XXxxrg/Y:501:100:JC Pollma
n:/home/jpollman:/bin/bash
501이라는 숫자가 있는 자리가 UID이다. 어떤 한 사용자를 위한 UID는, nfs를 사용하는 다른 모든 머신에서 항상 같아야 한다. 여러분은 패스워드 파일을 이용하여 모든 머신에서 같은 UID를 가지도록 할 수도 있고, NIS - 이 글의 주제를 넘어서는 것인데 - 를 사용할 수도 있다. 여러분이 UID를 바꾼다면 사용자 소유의 파일들에 대해서, chown 명령으로 소유권을 모두 설정해 주어야 한다. 꽤 성가신 일이기는 하지만, 딱 한 번만 해주면 된다.
서버쪽에서 NFS:
여러분이 실행해야 하는 프로그램이 몇 개 있다. 그리고, 커널도 필요한 옵션을 설정하여 컴파일해 두어야 한다.
여러분의 커널에서:
커널은 반드시 nfs 기능을 포함하여 컴파일되어야 한다. 다행스럽게도, 대부분의 배포판이 nfs를 지원하도록 컴파일된 커널을 가진다. 만약 여러분이 자신의 커널을 바꿀 계획이라면 Network File Systems 아래에서 다음 옵션들에 꼭 YES라고 답해야 한다.
NFS filesystem support
NFS server support
No라고 답해야 하는 것은:
Root filesystem on NFS
그 다음에 커널을 컴파일하고, 새로 만들어진 커널을 여느 때처럼 설치한다.
portmap:
여러분의 시스템에 portmap 프로그램이 반드시 설치되어 실행되고 있어야 한다. 일반적으로 portmap 프로그램은 배포판을 설치할 때 기본적으로 설치된다. 다음 명령으로 portmap이 실행 중인지 확인할 수 있다:
ps ax|grep port [Enter]
이미 실행했다면, 제대로 동작하고 있는지 다음 명령으로 점검할 수 있다:
rpcinfo -p [Enter]
portmap 프로그램은 /etc/host.allow와 /etc/host.
deny 파일을 이용하므로, rpcinfo -p 명령이 실패하더라도 여러분의 portmapper는 이들 파일이 있는지 점검해서 여러분이 원하는 대로 실행된다.
nfsd and mount:
nfsd와 mount 프로그램들이 반드시 여러분의 서버에 설치되어 있어야 한다. nfs 프로그램들은 커널 2.2에서는 knfsd라 불리고, 그 이전의 커널에서는 nfs-server2.2란 이름을 가지고 있었다.
exports:
/etc/exports 파일에는 nfs를 통해 다른 컴퓨터에 마운트 될 수 있는 디렉토리들을 설정한다. exports는 각각의 줄마다 마운트 될 수 있는 디렉토리와 허용된 사용자, 퍼미션 등으로 구성된 텍스트 파일이다. 내 시스템에 있는 exports 파일은 다음과 같다:
/home *.kulai.org(rw)
이 줄에서 첫 번째 항목은, 우리 네트워크의 다른 컴퓨터에서 마운트해서 홈디렉토리로 사용할 수 있는 디렉토리이다. 그 옆, 두 번째 아이템은 어떤 시스템에서 디렉토리를 마운트 할 수 있도록 할 것인지 정한 리스트이다. 우리는 kulai.org 네트워크에 속하는 모든 컴퓨터들이(*.kulai.org) 첫 번째 항목에서 설정한 디렉토리들을 마운트 할 수 있도록 설정했다. 세 번째는(괄호로 싸여 있는) 퍼미션을 설정한다. export 파일 설정에 대한 더 많은 정보가 필요하면, man 5 exports 명령을 실행한다. 여러분의 exports 파일을 바꾼 다음에는 설정 내용을 다시 읽어들이도록 nfsd와 mountd 데몬을 다시 시작해야 한다.
마지막 점검:
exports 파일을 고치고 필요한 데몬을 모두 다시 시작한 다음에는, 다음 명령을 실행한다:
rpcinfo -p [Enter]
명령을 실행하면 아래와 비슷한 메시지를 보게 될 것이다.(여러분이 다른 서비스들을 가동 중에 있고 mountd 포트가 다르다면 더 많은 메시지들을 보게 될지도 모르겠다):
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100005 1 udp 745 mountd
100005 1 tcp 747 mountd
100003 2 udp 2049 nfs
100003 2 tcp 2049 nfs
클라이언트 쪽에서 NFS:
여러분은 반드시 nfs 클라이언트 프로그램들을 설치해야 한다: mountd와 portmap는 물론, 커널도 nfs를 지원하도록 설정되어야 한다. 이런 것들은 대부분의 배포판에서 처음 설치할 때 따라서 설치된다. 조건이 모두 갖추어진 다음, nfs 서버 - master.kulai.org - 를 루트로 마운트하기 위해서는, 클라이언트 머신에서 다음 명령을 실행한다:
mount -t nfs master.kulai.org:/home /mnt [Enter]
만약 모든 설정이 제대로 되었다면, 프롬프트가 다시 나타날 것이다. 그 다음, /mnt 디렉토리로 cd 하고, 디렉토리에서 ls 해보아 리스트가 보이면 모든 작업이 잘 된 것이다. 만약, 파일 시스템을 마운트하는 대신, mount 프로그램이 ‘mount:master.kulai.org://home failed’와 비슷한 에러 메시지를 보여준다면, 서버 쪽에 그 원인이 있는 것이다: exports 파일 설정이 잘못되어 접근권한이 없거나, exports 파일을 편집한 다음에 nfsd와 mountd 데몬을 다시 시작하는 것을 잊은 것이다. 만약 mount clntudp_create :RPC:Program not registered 라는 메시지가 보인다면 nfsd나 mountd 데몬이 서버에서 구동되지 않았다는 뜻이다. 또는 앞서 말했던 문제가 hosts.{allow,deny} 파일에 있는 것이다.
마운트된 파일시스템을 해제하기 위해서는 다음 명령을 사용한다:
umount /mnt [Enter]
마운트 작업들을 자동화하려면, 아래 항목을 여러분의 클라이언트 머신에 있는 /etc/fstab 파일에 추가한다 - 물론, master.kulai.org 대신 여러분 서버의 이름을 넣어야 한다.
master.kulai.org:/home /home nfs rw 0 0
흥미롭게도, 여러분이 다른 컴퓨터로부터 /home 디렉토리를 nfs 마운트 할 때, 여러분 하드 드라이브에서 /home 디렉토리는 사라진다 : 여전히 그 곳에 있지만, umount /home 할 때까지 여러분의 /home 디렉토리는 보이지 않는다.
이제, 모든 것들이 잘 동작하면, 여러분의 서버와 클라이언트 머신 둘 다 다시 부트 하는게 좋겠다. 리눅스 구루들이(Linux gurus) “reboot”를 보고 내게 포화를 쏘아 대겠지만, 여기서 시스템을 다시 부트하는 데는 그만한 까닭이 있다.
리눅스 그리고 유닉스는 일반적으로 파일시스템을 공유하기 위해 nfs(network file system)라는 이름을 가진 프로그램을 사용한다. nfs는 몇 가지 보안 구멍이 알려져 있으므로 방화벽 컴퓨터 뒤에 nfs를 숨기는 것이 좋다. NFS Howto는 이 기사를 읽은 다음에 꼼꼼하게 읽어보아야 할 중요한 리소스이다.
UDI:
어떤 사용자가 접근했었는지 nfs가 기억하게 만드는 방법 가운데 하나는 UID - 사용자 식별 번호이다. UID는 패스워드 파일의 세 번째 항목에 기록된다. 내 시스템에서 이 파일은 다음과 같다:
jpollman:IxmI/XXxxrg/Y:501:100:JC Pollma
n:/home/jpollman:/bin/bash
501이라는 숫자가 있는 자리가 UID이다. 어떤 한 사용자를 위한 UID는, nfs를 사용하는 다른 모든 머신에서 항상 같아야 한다. 여러분은 패스워드 파일을 이용하여 모든 머신에서 같은 UID를 가지도록 할 수도 있고, NIS - 이 글의 주제를 넘어서는 것인데 - 를 사용할 수도 있다. 여러분이 UID를 바꾼다면 사용자 소유의 파일들에 대해서, chown 명령으로 소유권을 모두 설정해 주어야 한다. 꽤 성가신 일이기는 하지만, 딱 한 번만 해주면 된다.
서버쪽에서 NFS:
여러분이 실행해야 하는 프로그램이 몇 개 있다. 그리고, 커널도 필요한 옵션을 설정하여 컴파일해 두어야 한다.
여러분의 커널에서:
커널은 반드시 nfs 기능을 포함하여 컴파일되어야 한다. 다행스럽게도, 대부분의 배포판이 nfs를 지원하도록 컴파일된 커널을 가진다. 만약 여러분이 자신의 커널을 바꿀 계획이라면 Network File Systems 아래에서 다음 옵션들에 꼭 YES라고 답해야 한다.
NFS filesystem support
NFS server support
No라고 답해야 하는 것은:
Root filesystem on NFS
그 다음에 커널을 컴파일하고, 새로 만들어진 커널을 여느 때처럼 설치한다.
portmap:
여러분의 시스템에 portmap 프로그램이 반드시 설치되어 실행되고 있어야 한다. 일반적으로 portmap 프로그램은 배포판을 설치할 때 기본적으로 설치된다. 다음 명령으로 portmap이 실행 중인지 확인할 수 있다:
ps ax|grep port [Enter]
이미 실행했다면, 제대로 동작하고 있는지 다음 명령으로 점검할 수 있다:
rpcinfo -p [Enter]
portmap 프로그램은 /etc/host.allow와 /etc/host.
deny 파일을 이용하므로, rpcinfo -p 명령이 실패하더라도 여러분의 portmapper는 이들 파일이 있는지 점검해서 여러분이 원하는 대로 실행된다.
nfsd and mount:
nfsd와 mount 프로그램들이 반드시 여러분의 서버에 설치되어 있어야 한다. nfs 프로그램들은 커널 2.2에서는 knfsd라 불리고, 그 이전의 커널에서는 nfs-server2.2란 이름을 가지고 있었다.
exports:
/etc/exports 파일에는 nfs를 통해 다른 컴퓨터에 마운트 될 수 있는 디렉토리들을 설정한다. exports는 각각의 줄마다 마운트 될 수 있는 디렉토리와 허용된 사용자, 퍼미션 등으로 구성된 텍스트 파일이다. 내 시스템에 있는 exports 파일은 다음과 같다:
/home *.kulai.org(rw)
이 줄에서 첫 번째 항목은, 우리 네트워크의 다른 컴퓨터에서 마운트해서 홈디렉토리로 사용할 수 있는 디렉토리이다. 그 옆, 두 번째 아이템은 어떤 시스템에서 디렉토리를 마운트 할 수 있도록 할 것인지 정한 리스트이다. 우리는 kulai.org 네트워크에 속하는 모든 컴퓨터들이(*.kulai.org) 첫 번째 항목에서 설정한 디렉토리들을 마운트 할 수 있도록 설정했다. 세 번째는(괄호로 싸여 있는) 퍼미션을 설정한다. export 파일 설정에 대한 더 많은 정보가 필요하면, man 5 exports 명령을 실행한다. 여러분의 exports 파일을 바꾼 다음에는 설정 내용을 다시 읽어들이도록 nfsd와 mountd 데몬을 다시 시작해야 한다.
마지막 점검:
exports 파일을 고치고 필요한 데몬을 모두 다시 시작한 다음에는, 다음 명령을 실행한다:
rpcinfo -p [Enter]
명령을 실행하면 아래와 비슷한 메시지를 보게 될 것이다.(여러분이 다른 서비스들을 가동 중에 있고 mountd 포트가 다르다면 더 많은 메시지들을 보게 될지도 모르겠다):
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100005 1 udp 745 mountd
100005 1 tcp 747 mountd
100003 2 udp 2049 nfs
100003 2 tcp 2049 nfs
클라이언트 쪽에서 NFS:
여러분은 반드시 nfs 클라이언트 프로그램들을 설치해야 한다: mountd와 portmap는 물론, 커널도 nfs를 지원하도록 설정되어야 한다. 이런 것들은 대부분의 배포판에서 처음 설치할 때 따라서 설치된다. 조건이 모두 갖추어진 다음, nfs 서버 - master.kulai.org - 를 루트로 마운트하기 위해서는, 클라이언트 머신에서 다음 명령을 실행한다:
mount -t nfs master.kulai.org:/home /mnt [Enter]
만약 모든 설정이 제대로 되었다면, 프롬프트가 다시 나타날 것이다. 그 다음, /mnt 디렉토리로 cd 하고, 디렉토리에서 ls 해보아 리스트가 보이면 모든 작업이 잘 된 것이다. 만약, 파일 시스템을 마운트하는 대신, mount 프로그램이 ‘mount:master.kulai.org://home failed’와 비슷한 에러 메시지를 보여준다면, 서버 쪽에 그 원인이 있는 것이다: exports 파일 설정이 잘못되어 접근권한이 없거나, exports 파일을 편집한 다음에 nfsd와 mountd 데몬을 다시 시작하는 것을 잊은 것이다. 만약 mount clntudp_create :RPC:Program not registered 라는 메시지가 보인다면 nfsd나 mountd 데몬이 서버에서 구동되지 않았다는 뜻이다. 또는 앞서 말했던 문제가 hosts.{allow,deny} 파일에 있는 것이다.
마운트된 파일시스템을 해제하기 위해서는 다음 명령을 사용한다:
umount /mnt [Enter]
마운트 작업들을 자동화하려면, 아래 항목을 여러분의 클라이언트 머신에 있는 /etc/fstab 파일에 추가한다 - 물론, master.kulai.org 대신 여러분 서버의 이름을 넣어야 한다.
master.kulai.org:/home /home nfs rw 0 0
흥미롭게도, 여러분이 다른 컴퓨터로부터 /home 디렉토리를 nfs 마운트 할 때, 여러분 하드 드라이브에서 /home 디렉토리는 사라진다 : 여전히 그 곳에 있지만, umount /home 할 때까지 여러분의 /home 디렉토리는 보이지 않는다.
이제, 모든 것들이 잘 동작하면, 여러분의 서버와 클라이언트 머신 둘 다 다시 부트 하는게 좋겠다. 리눅스 구루들이(Linux gurus) “reboot”를 보고 내게 포화를 쏘아 대겠지만, 여기서 시스템을 다시 부트하는 데는 그만한 까닭이 있다.
IPTABLES
명령어순례
iptables 명령은 리눅스 IPv4 방화벽을 설정하는 명령어이다. 1.1 시리즈 부터 리눅스 커널은 패킷 필터링을 포함하기 시작했다. 제 1세대는 BSD의 ipfw를 기본으로 했고 1994년 후반기에 알란 콕스(Alan Cox) 에 의해서 포트 됐다.
이것은 리눅스 2.0에서 Jos Vos와 다른이들에 의해서 개선됐고 커널의 필터링 규칙을 제어하는 사용자 툴로는 'ipfwadm'이 사용됐다.
1998년 중반에 리눅스 2.2를 위해 사용자 툴로 'ipchains'를 내놓았다. 마지막으로, 제 4세대 툴이 'iptables'이고 리눅스 2.4를 위해 1999년 중반에 커널을 재작성했다.
<리눅스매거진 편집부>
패킷 필터란? 네트워크를 통하는 모든 것은 패킷의 형태를 가지며, 패킷의 앞부분에는 패킷이 어디서 왔는지 어디로 향하는지, 어떤 프로토콜을 이용하는지 등과 같은 정보를 가지고 있다. 패킷 필터는 이렇게 지나가는 패킷의 헤더를 보고 패킷을 ‘DROP'(마치 전혀 전달되지 않는 것처럼 패킷을 거부) 하거나 ’ACCEPT‘(패킷이 지나가도록 내버려 둠)하는 등의 작업을 하는 프로그램을 말한다. iptables은 이런 패킷 필터링 기능을 설정하는데 사용할 수 있는 프로그램이다. 자신의 시스템에 설치돼 있는 iptables의 버전을 확인하는 방법은 아래명령을 통해 가능하다.
# iptables --version
iptables 1.2.4
커널은 3가지의 방화벽 체인(chain)을 기본적으로 가지고 패킷 필터링을 시작한다. 파이어월 체인 혹은 체인이라 부르는 이 3가지는 입력(Input), 출력(Output), 전달(Forward)이다. 입력체인은 들어오는 패킷을 조사하고 전달체인은 외부의 다른 시스템으로 전달될 패킷을 조사한다. 마지막으로 출력체인은 외부로 나가는 패킷을 조사한다.
■ 패킷검사방법
1. 패킷이 커널에 도착하면 그 패킷의 목적지를 확인한다. 이것을 '라우팅' 이라고 한다.
2. 패킷의 목적지가 이곳이면, 패킷은 전달돼 입력체인에 도달한다. 패킷이 입력체인을 통과하면 패킷을 기다리고 있던 프로세서가 받게 된다.
3. 그렇지 않고 커널이 포워딩 불능이나, 패킷을 어떻게 포워딩해야 하는가를 알지못하면, 그 패킷은 ‘DROP‘ 된다. 포워딩이 가능하게 돼있고 다른 곳이 목적지이면 패킷은 그림의 오른쪽 방향으로 전달돼 포워딩 체인으로 간다. 이 체인이 ’ ACCEPT‘ 하게 되면 이것은 포워딩 할 네트워크로 보내진다.
4. 마지막으로, 로컬에서 수행하던 프로그램은 네트워크 패킷을 전송할 수 있다.
이 패킷은 즉시 출력 체인에 보내지며 이 체인이 ‘ACCEPT’되면 이 패킷은 그 목적지가 어디든지 보내진다.
:::: 사 용 법 ::::
iptables -[ADC] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -P chain target [options]
iptables -h (print help information)
# Commands
-A : 새로운 규칙을 추가한다.(--append)
-D : 규칙을 삭제한다.(--delete)
-C : 패킷을 테스트한다.(--check)
-R : 새로운 규칙으로 교체한다.(--replace)
-I : 새로운 규칙을 삽입한다.(--insert)
-L : chain에 설정된 규칙을 출력한다.(--list)
-F : chain으로부터 규칙을 모두 방출(삭제)한다.(--flush)
-Z : 모든 chain의 패킷과 바이트 카운터 값을 0으로 만든다.(--zero)
-N : 새로운 chain을 만든다.(--new)
-X : chain을 삭제한다.(--delete-chain)
-P : 기본정책을 변경한다.(--policy)
# chain
INPUT : 입력에 대한 사용
OUTPUT : 출력에 대한 사용
FORWARD : 전달(forwarding)에 대한 사용
# Options
-s : 패킷의 발신지를 명시한다.(--source)
-p : 패킷의 프로토콜을 명시한다.(--protocol)
-d : 패킷의 도착지를 명시한다.(--destination)
-i : 규칙을 적용할 인터페이스 이름을 명시한다.(--interface)
-j : 규칙에 맛는 패킷을 어떻게 처리할 것인가를 명시한다.(-jump)
-y : 접속 요청 패킷인 SYN패킷을 허용하지 않는다.(--syn)
-f : 두 번째 이후의 조각에 대해서 규칙을 명시한다.(--fragment)
# 사용예
127.0.0.1 IP 주소로부터 오는 모든 ICMP 패킷을 무시하는 경우 사용되는 프로토콜은 ICMP이고 발신 주소는 127.0.0.1 이어야 한다. 그리고 패킷 필터의 목표는 드롭(DROP)이다. 테스트하는 프로그램은 ping이며 ping은 단순히 ICMP type 8로 반응요구를 보내며 이에 협조하는 대상 호스트는 ICMP 타입 0 (echo reply)를 보내어 응답하도록 돼 있다. 이제 iptables의 패킷필터를 통해 로컬호스트가 ping 명령에 반응하지 않도록 하겠다.
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms
--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
; `INPUT' 체인에 127.0.0.1로부터 오고(`-s 127.0.0.1') ICMP(`-p
ICMP') 패킷에 대해 DROP로 점프하라는 (`-j DROP') 규칙을 추가(-A).
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
■ 설정된 iptables 규칙의 삭제
지금 현재 입력돼 있는 chain이 하나밖에 없으므로 숫자를 지정하는 명령으로 삭제가 가능하며, 앞의 명령과 똑같이 하되 -A를 -D로 바꾸어 지우는 방법이 있다.
#iptables -D INPUT 1
#iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP
■ 체인 규칙 나열하기
설정돼 있는 체인의 규칙을 모두 볼 수 있다. 명령으로 -L을 사용해 가능하며 -v 옵
션과 같이 사용해 각 체인에 대한 패킷과 바이트 카운터 등의 자세한 정보를 함께
볼 수 있다.
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
# iptables -L -v
Chain INPUT (policy ACCEPT 709 packets, 35362 bytes)
pkts bytes target prot opt in out source
destination
0 0 DROP icmp -- any any localhost.localdomain
anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
Chain OUTPUT (policy ACCEPT 423 packets, 39549 bytes)
pkts bytes target prot opt in out source
destination
■ 체인 비우기
하나의 체인 안의 모든 규칙을 비우는 것은 ‘-F’ 명령을 사용해 간단하게 할 수
있다. 체인을 지정하지 않으면 모든 체인의 규칙을 지울 수 있다.
# iptables -F INPUT
■ 출처와 목적지 지정
출처('-s', '--source', '--src')와 목적지('-d', '--destination', '--dst') IP 주소를 지정하는데 4가지 방법이 있다. 가장 보편적인 방법은 'www.linuzine.com', 'localhost'처럼 도메인 네임을 이용하는 것이다. 두번째 방법은 '127.0.0.1'과 같은 IP 주소를 이용하는 것이다.
세번째와 네번째 방법은 IP 주소의 그룹을 지정하는 것으로 '199.95.207.0/24' 또는 '199.95.207.0/255.255.255.0' 같은 형태이다. 이 둘은 모두 199.95.207.0
부터 199.95.207.255 사이의 모든 IP 주소를 지정한다. '/' 다음의 숫자는 IP 주
소의 어떤 부분이 의미 있는가를 나타낸다. '/32' 나 '/255.255.255.255' 가 기
본 값이다.(IP 주소의 모든 부분이 일치해야 한다.) 모든 IP 주소를 지정하는
데 '/0' 가 사용된다.
# iptables -A INPUT -s 0/0 -j DROP
많은 지시자들('-s'나 '-d' 같은)은 일치하지 않는 주소를 나타내기 위해 '!'('not'을 의미한다)로 시작하는 설정을 할 수 있다. 예로, '-s ! localhost' 는 localhost로부터 오는 패킷이 아닌 경우를 나타낸다.
■ 프로토콜 지정
프로토콜은 '-p' 지시자로 지정할 수 있다. 프로토콜을 숫자가 될 수 있고(IP의 프로토콜 번호를 알고 있다면) 'TCP', 'UDP', 'ICMP' 같은 이름이 될 수도 있다.
그리고 'tcp'는 'TCP'와 같은 역할을 한다. 프로토콜 이름 지정에도 '!'을 이용
할 수 있다. '-p ! TCP'
■ TCP 확장
TCP 확장은 '--protocol tcp' 가 지정되고 다른 적용이 지정되지 않으면 자동으로 적재된다. 이것은 다음과 같은 옵션을 제공한다.
--tcp-flags
뒤에 두개의 단어를 사용한다. 첫번째 것은 검사하고자 하는 지시자 리스트의 마스크이다. 두번째 단어는 지시자에게 어떤 것이 설정 될 것인지를 말해준다.
# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
이것은 모든것이 검사돼야 함을 말한다. 그러나 SYN과 ACK만 설정된다.
--syn
'!' 옵션이 선행될 수 있다. 이것은 '--tcp-flags SYN,RST,ACK,SYN'의 약어이다.
--source-port,
'!' 옵션이 선행될 수 있다. 이후에 하나의 TCP 포트나 포트의 범위를 지정한다.
--sport
/etc/services 에 기록된 것과 같은 포트 이름이 사용될 수 도 있고 숫자로 나타낼 수도 있다. 범위는 두 개의 포트 이름을 '-'으로 연결해서 사용하거나 하나의 포트 뒤에 '-'를 사용하거나 하나의 포트 앞에 '-' 를 덧붙일 수 있다.
--destination-port, --dport
위의 내용과 같으나 목적지를 지정한다.
--tcp-option
'!' 나 숫자가 옵션에 선행될 수 있는데 숫자가 앞에 올 경우 그 숫자 와 TCP 옵션이 같은 경우의 패킷을 검사한다. TCP 옵션을 검사하려 할 때 완전한 TCP 헤더를 갖지 않는 것은 자동으로 드롭 된다.
■ iptables를 통한 포트관리
iptables는 테이블 형식으로 관리를 한다. 그리고 먼저 등록된 것이 효력을 발생하기 때문에 등록을 하는 순서가 중요하다. 모든 것을 거부하는 설정이 먼저 오게 되면 그 이후에 포트를 열어주는 설정이 와도 효과가 없다. 그러므로 허용하는 정책이 먼저 오고 나서 거부하는 정책이 와야 한다.
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 22:30 -j DROP
이렇게 하면 먼저 25번 포트로 들어오는 것을 허용하고 난 후에 다른 것을 막아내기 때문에 제대로 된 설정이 된다.
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
등록된 라인은 ssh를 사용하는 것을 허용하는 것이다. 출처(source)와 목적지 (destination)는 명시하지 않았기 때문에 전체포트와 IP가 대상이 된다. -dport 는 패킷이 대상으로 삼는 포트를 명시한 것이다 여기에서 22라고 표기한 것은 ssh서비스 포트이다. 그리고 마지막에 -j ACCEPT는 허용하도록 정책을 정하는 것이다.
따라서 여기로의 ssh서비스를 요청하는 패킷은 허용되도록 설정을 한 것이다.
■ 전체적인 설정
#!/bin/sh
# iptables 모듈 등록하기
modprobe iptable_filter
# ssh 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# httpd 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# pop3 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 109 -j ACCEPT
# pop2 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
# imap 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 143 -j ACCEPT
# mysqld 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
# ftpd 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# ftp-data 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
# ircd 열어주기
/usr/local/bin/iptables -A INPUT -p tcp --dport 6667 -j ACCEPT
/usr/local/bin/iptables -A INPUT -p udp --dport 6667 -j ACCEPT
# 전부 거절하기
/usr/local/bin/iptables -A INPUT -p tcp --dport 1:30000 -j DROP
/usr/local/bin/iptables -A INPUT -p icmp --icmp-type echo-request -j
DROP
이처럼 허용하는 서비스가 한정적이다. 우선 ssh, http, pop3, pop2, imap,
mysql, ftp, ircd를 위해서 서비스를 요청하는 패킷은 허용하고 나머지는 전부 거부하는 설정이다. 이 설정을 자세히 보면 tcp와 icmp를 대상으로 했다. 거절하는 줄인
/usr/local/bin/iptables -A INPUT -p tcp --dport 1:30000 -j DROP
이 라인에서 --dport 다음에 1:30000 으로 지정돼 있다. 이 부분은 서버를 경유해서 다른 곳으로 가고자하는 경우에 클라이언트 프로그램이 사용할 포트를 남겨주기 위함이다. 1번포트에서 30000번 포트까지는 완전히 tcp에 대해서 막는 것이다.
만약에 서버에서 나갈 이유가 없으면 전부 막으면 된다. 1:65535 로 설정하면 전체포트가 막힌다. iptables 설정은 조금만 공부를 하면 쉽게 습득이 가능하다. 그러므로 문서를 보는 것이 중요하다. 이 설정은 기본이므로 좀더 많은 것은 관련 문서를 이용하기를 바란다.
iptables 명령은 리눅스 IPv4 방화벽을 설정하는 명령어이다. 1.1 시리즈 부터 리눅스 커널은 패킷 필터링을 포함하기 시작했다. 제 1세대는 BSD의 ipfw를 기본으로 했고 1994년 후반기에 알란 콕스(Alan Cox) 에 의해서 포트 됐다.
이것은 리눅스 2.0에서 Jos Vos와 다른이들에 의해서 개선됐고 커널의 필터링 규칙을 제어하는 사용자 툴로는 'ipfwadm'이 사용됐다.
1998년 중반에 리눅스 2.2를 위해 사용자 툴로 'ipchains'를 내놓았다. 마지막으로, 제 4세대 툴이 'iptables'이고 리눅스 2.4를 위해 1999년 중반에 커널을 재작성했다.
<리눅스매거진 편집부>
패킷 필터란? 네트워크를 통하는 모든 것은 패킷의 형태를 가지며, 패킷의 앞부분에는 패킷이 어디서 왔는지 어디로 향하는지, 어떤 프로토콜을 이용하는지 등과 같은 정보를 가지고 있다. 패킷 필터는 이렇게 지나가는 패킷의 헤더를 보고 패킷을 ‘DROP'(마치 전혀 전달되지 않는 것처럼 패킷을 거부) 하거나 ’ACCEPT‘(패킷이 지나가도록 내버려 둠)하는 등의 작업을 하는 프로그램을 말한다. iptables은 이런 패킷 필터링 기능을 설정하는데 사용할 수 있는 프로그램이다. 자신의 시스템에 설치돼 있는 iptables의 버전을 확인하는 방법은 아래명령을 통해 가능하다.
# iptables --version
iptables 1.2.4
커널은 3가지의 방화벽 체인(chain)을 기본적으로 가지고 패킷 필터링을 시작한다. 파이어월 체인 혹은 체인이라 부르는 이 3가지는 입력(Input), 출력(Output), 전달(Forward)이다. 입력체인은 들어오는 패킷을 조사하고 전달체인은 외부의 다른 시스템으로 전달될 패킷을 조사한다. 마지막으로 출력체인은 외부로 나가는 패킷을 조사한다.
■ 패킷검사방법
1. 패킷이 커널에 도착하면 그 패킷의 목적지를 확인한다. 이것을 '라우팅' 이라고 한다.
2. 패킷의 목적지가 이곳이면, 패킷은 전달돼 입력체인에 도달한다. 패킷이 입력체인을 통과하면 패킷을 기다리고 있던 프로세서가 받게 된다.
3. 그렇지 않고 커널이 포워딩 불능이나, 패킷을 어떻게 포워딩해야 하는가를 알지못하면, 그 패킷은 ‘DROP‘ 된다. 포워딩이 가능하게 돼있고 다른 곳이 목적지이면 패킷은 그림의 오른쪽 방향으로 전달돼 포워딩 체인으로 간다. 이 체인이 ’ ACCEPT‘ 하게 되면 이것은 포워딩 할 네트워크로 보내진다.
4. 마지막으로, 로컬에서 수행하던 프로그램은 네트워크 패킷을 전송할 수 있다.
이 패킷은 즉시 출력 체인에 보내지며 이 체인이 ‘ACCEPT’되면 이 패킷은 그 목적지가 어디든지 보내진다.
:::: 사 용 법 ::::
iptables -[ADC] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -P chain target [options]
iptables -h (print help information)
# Commands
-A : 새로운 규칙을 추가한다.(--append)
-D : 규칙을 삭제한다.(--delete)
-C : 패킷을 테스트한다.(--check)
-R : 새로운 규칙으로 교체한다.(--replace)
-I : 새로운 규칙을 삽입한다.(--insert)
-L : chain에 설정된 규칙을 출력한다.(--list)
-F : chain으로부터 규칙을 모두 방출(삭제)한다.(--flush)
-Z : 모든 chain의 패킷과 바이트 카운터 값을 0으로 만든다.(--zero)
-N : 새로운 chain을 만든다.(--new)
-X : chain을 삭제한다.(--delete-chain)
-P : 기본정책을 변경한다.(--policy)
# chain
INPUT : 입력에 대한 사용
OUTPUT : 출력에 대한 사용
FORWARD : 전달(forwarding)에 대한 사용
# Options
-s : 패킷의 발신지를 명시한다.(--source)
-p : 패킷의 프로토콜을 명시한다.(--protocol)
-d : 패킷의 도착지를 명시한다.(--destination)
-i : 규칙을 적용할 인터페이스 이름을 명시한다.(--interface)
-j : 규칙에 맛는 패킷을 어떻게 처리할 것인가를 명시한다.(-jump)
-y : 접속 요청 패킷인 SYN패킷을 허용하지 않는다.(--syn)
-f : 두 번째 이후의 조각에 대해서 규칙을 명시한다.(--fragment)
# 사용예
127.0.0.1 IP 주소로부터 오는 모든 ICMP 패킷을 무시하는 경우 사용되는 프로토콜은 ICMP이고 발신 주소는 127.0.0.1 이어야 한다. 그리고 패킷 필터의 목표는 드롭(DROP)이다. 테스트하는 프로그램은 ping이며 ping은 단순히 ICMP type 8로 반응요구를 보내며 이에 협조하는 대상 호스트는 ICMP 타입 0 (echo reply)를 보내어 응답하도록 돼 있다. 이제 iptables의 패킷필터를 통해 로컬호스트가 ping 명령에 반응하지 않도록 하겠다.
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms
--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
; `INPUT' 체인에 127.0.0.1로부터 오고(`-s 127.0.0.1') ICMP(`-p
ICMP') 패킷에 대해 DROP로 점프하라는 (`-j DROP') 규칙을 추가(-A).
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
■ 설정된 iptables 규칙의 삭제
지금 현재 입력돼 있는 chain이 하나밖에 없으므로 숫자를 지정하는 명령으로 삭제가 가능하며, 앞의 명령과 똑같이 하되 -A를 -D로 바꾸어 지우는 방법이 있다.
#iptables -D INPUT 1
#iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP
■ 체인 규칙 나열하기
설정돼 있는 체인의 규칙을 모두 볼 수 있다. 명령으로 -L을 사용해 가능하며 -v 옵
션과 같이 사용해 각 체인에 대한 패킷과 바이트 카운터 등의 자세한 정보를 함께
볼 수 있다.
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
# iptables -L -v
Chain INPUT (policy ACCEPT 709 packets, 35362 bytes)
pkts bytes target prot opt in out source
destination
0 0 DROP icmp -- any any localhost.localdomain
anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
Chain OUTPUT (policy ACCEPT 423 packets, 39549 bytes)
pkts bytes target prot opt in out source
destination
■ 체인 비우기
하나의 체인 안의 모든 규칙을 비우는 것은 ‘-F’ 명령을 사용해 간단하게 할 수
있다. 체인을 지정하지 않으면 모든 체인의 규칙을 지울 수 있다.
# iptables -F INPUT
■ 출처와 목적지 지정
출처('-s', '--source', '--src')와 목적지('-d', '--destination', '--dst') IP 주소를 지정하는데 4가지 방법이 있다. 가장 보편적인 방법은 'www.linuzine.com', 'localhost'처럼 도메인 네임을 이용하는 것이다. 두번째 방법은 '127.0.0.1'과 같은 IP 주소를 이용하는 것이다.
세번째와 네번째 방법은 IP 주소의 그룹을 지정하는 것으로 '199.95.207.0/24' 또는 '199.95.207.0/255.255.255.0' 같은 형태이다. 이 둘은 모두 199.95.207.0
부터 199.95.207.255 사이의 모든 IP 주소를 지정한다. '/' 다음의 숫자는 IP 주
소의 어떤 부분이 의미 있는가를 나타낸다. '/32' 나 '/255.255.255.255' 가 기
본 값이다.(IP 주소의 모든 부분이 일치해야 한다.) 모든 IP 주소를 지정하는
데 '/0' 가 사용된다.
# iptables -A INPUT -s 0/0 -j DROP
많은 지시자들('-s'나 '-d' 같은)은 일치하지 않는 주소를 나타내기 위해 '!'('not'을 의미한다)로 시작하는 설정을 할 수 있다. 예로, '-s ! localhost' 는 localhost로부터 오는 패킷이 아닌 경우를 나타낸다.
■ 프로토콜 지정
프로토콜은 '-p' 지시자로 지정할 수 있다. 프로토콜을 숫자가 될 수 있고(IP의 프로토콜 번호를 알고 있다면) 'TCP', 'UDP', 'ICMP' 같은 이름이 될 수도 있다.
그리고 'tcp'는 'TCP'와 같은 역할을 한다. 프로토콜 이름 지정에도 '!'을 이용
할 수 있다. '-p ! TCP'
■ TCP 확장
TCP 확장은 '--protocol tcp' 가 지정되고 다른 적용이 지정되지 않으면 자동으로 적재된다. 이것은 다음과 같은 옵션을 제공한다.
--tcp-flags
뒤에 두개의 단어를 사용한다. 첫번째 것은 검사하고자 하는 지시자 리스트의 마스크이다. 두번째 단어는 지시자에게 어떤 것이 설정 될 것인지를 말해준다.
# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
이것은 모든것이 검사돼야 함을 말한다. 그러나 SYN과 ACK만 설정된다.
--syn
'!' 옵션이 선행될 수 있다. 이것은 '--tcp-flags SYN,RST,ACK,SYN'의 약어이다.
--source-port,
'!' 옵션이 선행될 수 있다. 이후에 하나의 TCP 포트나 포트의 범위를 지정한다.
--sport
/etc/services 에 기록된 것과 같은 포트 이름이 사용될 수 도 있고 숫자로 나타낼 수도 있다. 범위는 두 개의 포트 이름을 '-'으로 연결해서 사용하거나 하나의 포트 뒤에 '-'를 사용하거나 하나의 포트 앞에 '-' 를 덧붙일 수 있다.
--destination-port, --dport
위의 내용과 같으나 목적지를 지정한다.
--tcp-option
'!' 나 숫자가 옵션에 선행될 수 있는데 숫자가 앞에 올 경우 그 숫자 와 TCP 옵션이 같은 경우의 패킷을 검사한다. TCP 옵션을 검사하려 할 때 완전한 TCP 헤더를 갖지 않는 것은 자동으로 드롭 된다.
■ iptables를 통한 포트관리
iptables는 테이블 형식으로 관리를 한다. 그리고 먼저 등록된 것이 효력을 발생하기 때문에 등록을 하는 순서가 중요하다. 모든 것을 거부하는 설정이 먼저 오게 되면 그 이후에 포트를 열어주는 설정이 와도 효과가 없다. 그러므로 허용하는 정책이 먼저 오고 나서 거부하는 정책이 와야 한다.
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 22:30 -j DROP
이렇게 하면 먼저 25번 포트로 들어오는 것을 허용하고 난 후에 다른 것을 막아내기 때문에 제대로 된 설정이 된다.
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
등록된 라인은 ssh를 사용하는 것을 허용하는 것이다. 출처(source)와 목적지 (destination)는 명시하지 않았기 때문에 전체포트와 IP가 대상이 된다. -dport 는 패킷이 대상으로 삼는 포트를 명시한 것이다 여기에서 22라고 표기한 것은 ssh서비스 포트이다. 그리고 마지막에 -j ACCEPT는 허용하도록 정책을 정하는 것이다.
따라서 여기로의 ssh서비스를 요청하는 패킷은 허용되도록 설정을 한 것이다.
■ 전체적인 설정
#!/bin/sh
# iptables 모듈 등록하기
modprobe iptable_filter
# ssh 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# httpd 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# pop3 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 109 -j ACCEPT
# pop2 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
# imap 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 143 -j ACCEPT
# mysqld 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
# ftpd 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# ftp-data 열기
/usr/local/bin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
# ircd 열어주기
/usr/local/bin/iptables -A INPUT -p tcp --dport 6667 -j ACCEPT
/usr/local/bin/iptables -A INPUT -p udp --dport 6667 -j ACCEPT
# 전부 거절하기
/usr/local/bin/iptables -A INPUT -p tcp --dport 1:30000 -j DROP
/usr/local/bin/iptables -A INPUT -p icmp --icmp-type echo-request -j
DROP
이처럼 허용하는 서비스가 한정적이다. 우선 ssh, http, pop3, pop2, imap,
mysql, ftp, ircd를 위해서 서비스를 요청하는 패킷은 허용하고 나머지는 전부 거부하는 설정이다. 이 설정을 자세히 보면 tcp와 icmp를 대상으로 했다. 거절하는 줄인
/usr/local/bin/iptables -A INPUT -p tcp --dport 1:30000 -j DROP
이 라인에서 --dport 다음에 1:30000 으로 지정돼 있다. 이 부분은 서버를 경유해서 다른 곳으로 가고자하는 경우에 클라이언트 프로그램이 사용할 포트를 남겨주기 위함이다. 1번포트에서 30000번 포트까지는 완전히 tcp에 대해서 막는 것이다.
만약에 서버에서 나갈 이유가 없으면 전부 막으면 된다. 1:65535 로 설정하면 전체포트가 막힌다. iptables 설정은 조금만 공부를 하면 쉽게 습득이 가능하다. 그러므로 문서를 보는 것이 중요하다. 이 설정은 기본이므로 좀더 많은 것은 관련 문서를 이용하기를 바란다.
CVS 세팅 작업
1. 저장소 만들기.
# cvs -d /home/hotyoung/cvs/ init
# chgrp -R cvs /home/hotyoung/cvs/
# chmod -R g+w /home/hotyoung/cvs/
* 여기서 hotyoung 디렉토리에 대해서 cvs group 이 읽고 실행할 수 있는 권한을 부여해야 한다.
2. 새로운 프로젝트 시작.
cvs import -m "[Message]" [project name] [project leader name or group] start
- "test" 란 이름의 프로젝트를 시작할 경우.
# cvs import -m "test project" test my-test start
- 주의할 점은 이미 프로젝트가 있는 경우에 기존에 있는 프로젝트 파일이 지워진다는 것이다.
3. 프로젝트 작업 공간 생성.
cvs checkout [project name]
- "test" 란 이름의 프로젝트의 작업공간을 생성할 경우.
# cvs checkout test
- 이 때 주의할 점은 현재의 디렉토리에 쓰기 권한이 있어야 한다.
- test 란 디렉토리가 생성되고 프로젝트의 모든 소스와 CVS 디렉토리가 생성된다.
4. 작업 내용 저장.
cvs commit -m "[message]" [file name]
# cvs commit -m "test3" ex1.c
5. 저장소에서 파일 가져오기.
cvs update
# cvs update
6. 파일 추가
cvs add [file name]
# cvs add ex2.c
--> 실제로 저장소에 저장되기 위해서는 commit 명령을 사용하여야 한다.
문서가 아닌 바이너리를 넣을 경우에는 -kb 옵션을 준다.
# cvs add -kb test.gif
7. 파일 삭제
cvs delete [file name]
# cvs delete ex2.c
--> 실제로 저장소에 저장되어 있는 파일을 지우기 위해서는 commit 명령을 사용하여야 한다.
8. 작업 기록 보기
cvs log [file name]
# cvs log ex1.c
9. Remote 에서 사용하는 방법.
9.1. 환경 설정.
- ".bash_profile" 에 아래의 라인을 추가한다.
# for CVS
CVSROOT=/home/hotyoung/cvs
export CVSROOT
CVS_RSH=ssh
export CVS_RSH
- 위에서 설정한 환경이 적용되도록 한다.
9.2. 새로운 프로젝트 시작.
cvs -d :ext:[user id]@[cvs server name or ip]:[cvs directory] import -m "[Message]" [project name] [?] start
- "test" 란 이름의 프로젝트를 시작할 경우.
# cvs -d :ext:hotyoung@192.168.2.201:/home/hotyoung/cvs import -m "test project" test my-test start
9.3. 프로젝트 작업 공간 생성.
cvs -d :ext:[user id]@[cvs server name or ip]:[cvs directory] checkout [project name]
- "test" 란 이름의 프로젝트의 작업공간을 생성할 경우.
# cvs -d :ext:hotyoung@192.168.2.201:/home/hotyoung/cvs checkout test
- 이 때 주의할 점은 현재의 디렉토리에 쓰기 권한이 있어야 한다.
- test 란 디렉토리가 생성되고 프로젝트의 모든 소스와 CVS 디렉토리가 생성된다.
10. 파일에 CVS 관련 자료 남기기
- 파일에 아래와 같은 사항을 넣어주면 된다.
$Id$
$Date$
$Revision$
$Log$
11. Snapshot 생성하기
- A 라는 프로그램이 a.c, b.c, c.c 라는 소스 파일로 구성되어 있을때 현재의 파일 들에게 REL_1_0 이라는 꼬리표를 붙인다.
# cvs commit
# cvs tag REL_1_0
12. Snapshot 에서 꺼내오기
- 이후 A 프로그램의 Version 1.0 은 계속 개발이 진행되더라도 REL_1_0 꼬리표를 사용해서 CVS 저장소로부터 꺼낸다.
# cvs co -rREL_1_0 prog_a
이제 prog_a 디렉토리에 REL_1_0 에 대한 소스코드가 존재한다.
13. 해당 버전의 파일 가져오기.
# cvs update -p -r 1.4 test.c > filename1.c
14. 현재 최종 번호를 확인하기.
# cvs status -v test.c
15. 일정 시간에 변경된 파일 리스트 보기.
변경된 사항을 보기 위해서는 history -report 기능을 사용하여야 하고, 특정
기간을 입력하기 위해서는 -D 옵션을 주어야 한다. 즉, 이틀전에 변경된 파일의
리스트를 보기 위해서는 아래와 같이 실행하면 된다.
# cvs history -report -c -D "2 days ago"
--> 이는 자신의 history 만 보여준다...
# cvs -d /home/hotyoung/cvs/ init
# chgrp -R cvs /home/hotyoung/cvs/
# chmod -R g+w /home/hotyoung/cvs/
* 여기서 hotyoung 디렉토리에 대해서 cvs group 이 읽고 실행할 수 있는 권한을 부여해야 한다.
2. 새로운 프로젝트 시작.
cvs import -m "[Message]" [project name] [project leader name or group] start
- "test" 란 이름의 프로젝트를 시작할 경우.
# cvs import -m "test project" test my-test start
- 주의할 점은 이미 프로젝트가 있는 경우에 기존에 있는 프로젝트 파일이 지워진다는 것이다.
3. 프로젝트 작업 공간 생성.
cvs checkout [project name]
- "test" 란 이름의 프로젝트의 작업공간을 생성할 경우.
# cvs checkout test
- 이 때 주의할 점은 현재의 디렉토리에 쓰기 권한이 있어야 한다.
- test 란 디렉토리가 생성되고 프로젝트의 모든 소스와 CVS 디렉토리가 생성된다.
4. 작업 내용 저장.
cvs commit -m "[message]" [file name]
# cvs commit -m "test3" ex1.c
5. 저장소에서 파일 가져오기.
cvs update
# cvs update
6. 파일 추가
cvs add [file name]
# cvs add ex2.c
--> 실제로 저장소에 저장되기 위해서는 commit 명령을 사용하여야 한다.
문서가 아닌 바이너리를 넣을 경우에는 -kb 옵션을 준다.
# cvs add -kb test.gif
7. 파일 삭제
cvs delete [file name]
# cvs delete ex2.c
--> 실제로 저장소에 저장되어 있는 파일을 지우기 위해서는 commit 명령을 사용하여야 한다.
8. 작업 기록 보기
cvs log [file name]
# cvs log ex1.c
9. Remote 에서 사용하는 방법.
9.1. 환경 설정.
- ".bash_profile" 에 아래의 라인을 추가한다.
# for CVS
CVSROOT=/home/hotyoung/cvs
export CVSROOT
CVS_RSH=ssh
export CVS_RSH
- 위에서 설정한 환경이 적용되도록 한다.
9.2. 새로운 프로젝트 시작.
cvs -d :ext:[user id]@[cvs server name or ip]:[cvs directory] import -m "[Message]" [project name] [?] start
- "test" 란 이름의 프로젝트를 시작할 경우.
# cvs -d :ext:hotyoung@192.168.2.201:/home/hotyoung/cvs import -m "test project" test my-test start
9.3. 프로젝트 작업 공간 생성.
cvs -d :ext:[user id]@[cvs server name or ip]:[cvs directory] checkout [project name]
- "test" 란 이름의 프로젝트의 작업공간을 생성할 경우.
# cvs -d :ext:hotyoung@192.168.2.201:/home/hotyoung/cvs checkout test
- 이 때 주의할 점은 현재의 디렉토리에 쓰기 권한이 있어야 한다.
- test 란 디렉토리가 생성되고 프로젝트의 모든 소스와 CVS 디렉토리가 생성된다.
10. 파일에 CVS 관련 자료 남기기
- 파일에 아래와 같은 사항을 넣어주면 된다.
$Id$
$Date$
$Revision$
$Log$
11. Snapshot 생성하기
- A 라는 프로그램이 a.c, b.c, c.c 라는 소스 파일로 구성되어 있을때 현재의 파일 들에게 REL_1_0 이라는 꼬리표를 붙인다.
# cvs commit
# cvs tag REL_1_0
12. Snapshot 에서 꺼내오기
- 이후 A 프로그램의 Version 1.0 은 계속 개발이 진행되더라도 REL_1_0 꼬리표를 사용해서 CVS 저장소로부터 꺼낸다.
# cvs co -rREL_1_0 prog_a
이제 prog_a 디렉토리에 REL_1_0 에 대한 소스코드가 존재한다.
13. 해당 버전의 파일 가져오기.
# cvs update -p -r 1.4 test.c > filename1.c
14. 현재 최종 번호를 확인하기.
# cvs status -v test.c
15. 일정 시간에 변경된 파일 리스트 보기.
변경된 사항을 보기 위해서는 history -report 기능을 사용하여야 하고, 특정
기간을 입력하기 위해서는 -D 옵션을 주어야 한다. 즉, 이틀전에 변경된 파일의
리스트를 보기 위해서는 아래와 같이 실행하면 된다.
# cvs history -report -c -D "2 days ago"
--> 이는 자신의 history 만 보여준다...
웹로직 지원 진단 패턴
추가 지원 패턴(http://kr.bea.com/support/customer_support/service_pattern/pattern/startWLSPattern.html#2_Embedded_LDAP_:_Loss_of_Admin)
WLS 시작 인증 오류
문제 설명
WebLogic Server가 시작되지 않고 관리자 암호, 관리자 인증 또는 LDAP에 대한 오류를 발생합니다.
문제 해결
다음 항목을 모두 수행해야 하는 것은 아닙니다. 어떤 경우에는 다음 중 일부만 수행하여도 해결할 수 있습니다.
항목 바로가기
문제 발생 원인
유효하지 않은 부팅 ID(WLS 7.0 및 WLS 8.1)
Embedded LDAP: 관리자 암호 손실(WLS 7.0 및 WLS 8.1)
Embedded LDAP: 관리자 암호가 변경된 후 메니지드 서버가 시작되지 않음(WLS 7.0 및 WLS 8.1)
>WebLogic Server를 LDAP 서버에 연결할 수 없음(WLS 7.0 및 WLS 8.1)
LDAP 서버: 연결 오류(WLS 7.0 및 WLS 8.1)
LDAP 서버: WebLogic 관리자에게 서버 부팅이 거부됨(WLS 7.0 및 WLS 8.1)
NT 서비스로 WebLogic: 오류 1058
NT 서비스로 WebLogic: 오류 1067
파일 영역에 시스템 사용자 암호 손상됨(WLS 6.1)
디버그 플래그 설정 방법
알려진 WebLogic Server 문제
문제 발생 원인
WebLogic Server 인스턴스를 시작하려면 서버 시작이 허용된 사용자의 자격 증명을 제공해야 합니다.
자격 증명은 파일 영역, LDAP, RDBMS LDAP 등의 보안 영역에 대해 검사합니다. 시작 시 제공한 정보가 보안 영역의 정보와 일치하지 않거나 보안 영역이 손상된 경우 WebLogic Server가 시작되지 않습니다.
다음은 문제 해결을 위한 여러 가지 시나리오입니다.
유효하지 않은 부팅 ID(WLS 7.0 및 WLS 8.1)
WebLogic Server를 시작할 때 다음과 같은 오류가 발생합니다.
The WebLogic Server did not start up properly.
Reason: weblogic.security.SecurityInitializationException: Authentication denied: Boot identity not valid;
이 오류는 부팅 ID 파일(boot.properties)의 사용자 이름 및/또는 암호가 유효하지 않다는 것을 나타냅니다. 부팅 ID 파일이 작성된 후에 부팅 ID가 변경되었을 수도 있습니다. 정확환 사용자 이름과 암호로 부팅 ID 파일을 편집하여 업데이트합니다. 서버를 시작하기 위해 업데이트된 부팅 ID 파일을 처음 사용할 때 이들 새 값이 암호화됩니다.
문제 해결
boot.properties에 들어 있는 매개변수 값을 변경합니다. "boot.properties"는 일반적으로 도메인 루트 디렉토리에 들어 있습니다.
예를 들면 다음과 같습니다.
username=weblogic
password=weblogic812
속성을 설정한 후 서버를 재부팅합니다.
페이지 맨 위로
Embedded LDAP: 관리자 암호 손실(WLS 7.0 및 WLS 8.1)
관리자 암호가 손실되었습니다.
문제 해결
사용자 ID의 암호를 무시하는 절차가 없으므로 새 관리자 ID를 만들어 WebLogic을 시작하는 데 사용해야 합니다. 다음은 관리자 암호를 손실했을 때 관리자를 복원하는 절차입니다.
사용자 ID가 "adminuser"이고 암호가 "weblogic"인 사용자를 만든다고 가정합시다.
디렉토리를 도메인 디렉토리(cd mydomain)로 변경합니다.
java -cp D:\bea\weblogic700\server\lib\weblogic.jar weblogic.security.utils.AdminAccount adminuser weblogic. (주의: 명령 끝에 점이 있음)
rm myserver/ldap/DefaultAuthenticatormyrealmInit.initialized
rm boot.properties(있는 경우)
"adminuser"를 관리자의 사용자 ID로 사용하여 관리 서버를 재부팅합니다.
페이지 맨 위
Embedded LDAP: 관리자 암호가 변경된 후 메니지드 서버가 시작되지 않음(WLS 7.0 및 WLS 8.1)
WebLogic Server가 제대로 시작되지 않습니다.
예외 발생
weblogic.management.configuration.ConfigurationException: [Configuration Management:150021]The admin
server failed to authenticate the identity of the user weblogic starting the managed server. The reason for the error is .
문제 해결
관리자 암호가 변경되고 동시에 메니지드 서버가 다운된 경우 예외가 발생합니다.
메니지드 서버에서 LDAP 디렉토리를 삭제합니다.
LDAP 디렉토리는 메니지드 루트 디렉토리 아래에 있으며 이름은 LDAP입니다.
메니지드 서버의 이름이 myManaged1이면 LDAP 디렉토리는 ./myManaged1/ldap입니다.
WebLogic Server를 LDAP 서버에 연결할 수 없음(WLS 7.0 및 WLS 8.1)
WLS가 LDAP 서버에 연결하지 못했음을 나타내는 오류가 발생합니다. LDAP 서버가 부팅되지 않았거나 호스트 주소 및/또는 포트가 유효하지 않은 것이 하나의 원인일 수 있습니다.
<13 juil. 2004 16 h 42 CEST> <000000>
<13 juil. 2004 16 h 42 CEST> <000000>
<13 juil. 2004 16 h 42 CEST> <000000>
문제 해결
LDAP 서버가 부팅되었는지 확인합니다.
호스트 주소와 포트가 유효한지 확인합니다.
페이지 맨 위
LDAP 서버: 연결 오류(오류 49)
<30 juin 2004 15 h 07 CEST> <000000>
<30 juin 2004 15 h 07 CEST> <000000>
<30 juin 2004 15 h 07 CEST> <000000>
문제 해결
LDAP 서버에 연결하기 위해 제공된 사용자 ID가 유효하지 않습니다.
config.xml을 검사하여 다음 매개변수를 확인하십시오.
Credential="weblogic"
Principal="uid=admin, ou=Administrators, ou=TopologyManagement, o=NetscapeRoot"
Credential="weblogic"
GroupBaseDN="ou=groups"
Name="Security:Name=RealmIPlanetAuthenticator"
Principal="uid=admin, ou=Administrators, ou=TopologyManagement, o=NetscapeRoot"
Realm="Security:Name=Realm" UserBaseDN="dc=bea,dc=com"/>
문제를 해결하려면 다음 방법 중 하나를 사용하여 사용자 ID와 암호(자격 증명)를 수정하고 WebLogic Server를 다시 시작합니다.
config.xml을 편집하고 사용자 ID 또는 암호를 변경한 후 재부팅
config.xml.booted를 config.xml로 복사한 후 서버를 재부팅하고 자격 증명(사용자 ID/암호) 변경
페이지 맨 위
LDAP 서버: WebLogic 관리자에게 서버 부팅이 거부됨
WebLogic Server 관리자에게 서버 부팅이 거부될 수도 있습니다. 다음 세 가지 원인이 있을 수 있습니다.
LDAP에 연결하는 데 오류 32 발생
LDAP에 연결하는 데 인증 실패
사용자 XXXXXX가 서버를 부팅할 수 없음
1. LDAP에 연결하는 데 오류 32 발생
<30 juin 2004 15 h 10 CEST> <000000>
<30 juin 2004 15 h 10 CEST> <000000>
<30 juin 2004 15 h 10 CEST> <000000>
<30 juin 2004 15 h 10 CEST> <000000>
netscape.ldap.LDAPException: error result (32)
문제 해결
WebLogic이 LDAP에 연결하는 데 사용하는 LDAP 사용자(이 예제에서 "weblogic")를 LDAP에서 찾을 수 없으므로 생성해야 합니다.
사용자 ID 생성 방법은 LDAP 서버 설명서를 참조하십시오.
2. LDAP에 연결하는 데 인증 실패
<30 juin 2004 15 h 29 CEST> <000000>
javax.security.auth.login.FailedLoginException: [Security:090302]Authentication Failed: User admin denied
문제 해결
config.xml에 관리자 암호가 잘못되었습니다.
config.xml에 "credential"을 변경하여 정확한 암호를 지정합니다.
weblogic.security.providers.authentication.IPlanetAuthenticator
Credential="weblogic"
3. 사용자 XXXXXX가 서버를 부팅할 수 없음
<30 juin 2004 16 h 40 CEST>
Reboot the server with the administrative user account or contact the system administrator to update the server policy definitions.>
문제 해결
LDAP에 연결하는 데 사용된 LDAP 사용자 "weblogic"이 LDAP 관리자 그룹에 없습니다.
이 사용자를 관리자 그룹에 추가합니다. 자세한 내용은 LDAP 설명서를 참조하십시오.
페이지 맨 위
NT 서비스로 WebLogic: 오류 1058
WLS는 Windows 2000에서 Windows NT 서비스로 시작되지 않고
"Could not start the service on \\. Error 1058: The specified service is disabled and cannot be started."라는 오류가 발생합니다.
문제 해결
서비스용 Windows 하드웨어 프로필을 사용합니다.
Windows 2000의 경우 다음과 같이 합니다.
시작, 설정, 제어판, 관리 도구, 서비스를 차례로 클릭합니다.
서비스 창에서 적절한 서비스를 마우스 오른쪽 단추로 클릭한 후 속성을 선택합니다.
로그온 탭을 클릭하고 창 하단의 힌 블록에서 각 하드웨어 프로필을 사용 또는 사용 안 함으로 전환할 수 있습니다. 적절한 프로필을 클릭하여 사용으로 설정합니다.
http://support.microsoft.com/kb/q175155/의 Microsoft Knowledge Base Article - 175155에도 설명되어 있습니다.
NT 서비스로 WebLogic: 오류 1067
WLS 도메인이 NT 서비스로 설치되었으며 시작될 때 "Microsoft Error: 1067"이 발생합니다.
이 오류는 일반 메시지로 실제 문제에 대한 힌트를 제공하지 않습니다. 다음은 "1067" 오류를 발생시켜 WebLogic Server가 서비스로 제대로 시작되지 않습니다.
구성: Windows NT에서 WLS 6.x, 7.x
문제 해결
서비스는 시스템 속성을 상속합니다. 시스템 PATH 변수에 공백이 있으면 서비스가 시작되지 않을 수도 있습니다. 예를 들어, 다음 시스템 경로 "C:\Program Files\Microsoft Visual Studio\Common\MSDev98\Bin;"를 살펴보십시오. Visual Studio 디렉토리 이름에 공백이 있어 beasvc는 상황 판단에 도움이 되지 않는 "1067" 오류를 발생시키고 부팅이 되지 않습니다.
시스템 PATH 환경 변수를 수정하여 공백이 없도록 합니다.
페이지 맨 위
파일 영역에 시스템 사용자 암호 손상됨(WLS 6.1)
WebLogic Server가 제대로 시작되지 않습니다.
Exception raised:
java.lang.SecurityException: Authentication for user system denied
at weblogic.security.SecurityService.initializeSuid(SecurityService.java:410)
at weblogic.security.SecurityService.initialize(SecurityService.java:120)
at weblogic.t3.srvr.T3Srvr.initialize(T3Srvr.java:421)
at weblogic.t3.srvr.T3Srvr.run(T3Srvr.java:213)
at weblogic.Server.main(Server.java:35)
Reason: Fatal initialization exception
문제 해결
파일 영역의 시스템 사용자 암호가 고객 도메인에서 손상되어 WebLogic Server가 시작되지 않습니다.
도메인 루트 디렉토리에 들어 있는 fileRealm.properties 및 SerializedSystemIni.dat 파일을 백업합니다.
성공적으로 시작되는 도메인이 있는 경우 다음 파일을 작동 중인 도메인에서 문제의 도메인으로 복사합니다.
fileRealm.properties
SerializedSystemIni.dat
참고: 이 파일은 암호화/암호 해독에 함께 사용되므로 해당 프로세스가 제대로 작동하려면 모두 복사해야 합니다.
페이지 맨 위
디버그 플래스 설정 방법
대부분의 LDAP 문제의 경우 디버그 플래그를 설정하면 도움됩니다. config.xml 파일을 편집하여 다음 속성
StdoutDebugEnabled="true" StdoutSeverityLevel="64"
를 다음과 같이 추가합니다.
ServerVersion="8.1.2.0" StdoutDebugEnabled="true" StdoutSeverityLevel="64">
DebugSecurityRoleMap="true" Name="myserver"/>
알려진 WebLogic Server 문제
CR076945 WLS 7.0 - LDAP 파일이 손상되어 WLS를 시작할 수 없습니다.
또한 WLS 버전의 릴리스 정보를 주기적으로 검토하여 서비스 팩에서 알려진 문제나 해결된 문제를 확인하고 인증 관련 문제를 검색할 수 있습니다. 간편하게 다음을 참조하십시오.
WLS 8.1 릴리스 정보
WLS 7.0 릴리스 정보
WLS 6.1 릴리스 정보
검색하면 릴리스 정보뿐 아니라 추가 도움말에서 언급된 기타 지원 솔루션 및 CR 관련 정보도 알 수 있습니다. 계약 고객은 http://support.bea.com/에 로그인한 다음 Browse 포틀릿에서 Solutions 및 Bug Central을 검색하여 제품 버전별로 사용 가능한 최신 CR을 찾을 수 있습니다.
페이지 맨 위 추가 도움말이 필요하십니까?
패턴대로 작업했지만 추가 도움말이 필요한 경우 다음과 같이 할 수 있습니다.
http://support.bea.com/의 AskBEA에서 "WLS 시작 오류" 등으로 문제를 조회하여 게시된 다른 해결 방법을 찾아봅니다. 계약 지원 고객: 제공되는 CR 관련 정보에 액세스할 수 있는 권한으로 로그온합니다
http://forums.bea.com에서 BEA 뉴스그룹에 보다 자세한 내용을 질문합니다.
이렇게 해도 문제를 해결할 수 없는 경우 유효한 유지 보수 계약이 되어 있다면 http://support.bea.com/에 로그인하여 지원요청할 수 있습니다.
고객 의견
이 지원 진단 패턴 "WLS 시작 오류"가 도움이 되셨습니까? 여러분에게 꼭 필요한 정보나 지원 진단 패턴에 새로 추가하길 바라는 항목이 있으면 저희에게 알려주시기 바랍니다.
책임의 한계에 대한 고지
BEA Systems, Inc.는 사용자와 BEA 간의 유지 보수 및 지원 계약 내용에 따라 이 웹 사이트에 기술 팁과 패치를 제공합니다. BEA에서 허가한 소프트웨어와 함께 이 정보 및 코드를 사용할 수 있지만 BEA는 기술 팁 및 패치와 관련하여 어떠한 명시적이거나 암시적인 보증도 하지 않습니다.
이 문서에 참조된 상표는 해당 소유자의 자산입니다. 자세한 상표 정보를 보려면 제품 설명서를 참조하십시오.
페이지 맨 위
WLS 시작 인증 오류
문제 설명
WebLogic Server가 시작되지 않고 관리자 암호, 관리자 인증 또는 LDAP에 대한 오류를 발생합니다.
문제 해결
다음 항목을 모두 수행해야 하는 것은 아닙니다. 어떤 경우에는 다음 중 일부만 수행하여도 해결할 수 있습니다.
항목 바로가기
문제 발생 원인
유효하지 않은 부팅 ID(WLS 7.0 및 WLS 8.1)
Embedded LDAP: 관리자 암호 손실(WLS 7.0 및 WLS 8.1)
Embedded LDAP: 관리자 암호가 변경된 후 메니지드 서버가 시작되지 않음(WLS 7.0 및 WLS 8.1)
>WebLogic Server를 LDAP 서버에 연결할 수 없음(WLS 7.0 및 WLS 8.1)
LDAP 서버: 연결 오류(WLS 7.0 및 WLS 8.1)
LDAP 서버: WebLogic 관리자에게 서버 부팅이 거부됨(WLS 7.0 및 WLS 8.1)
NT 서비스로 WebLogic: 오류 1058
NT 서비스로 WebLogic: 오류 1067
파일 영역에 시스템 사용자 암호 손상됨(WLS 6.1)
디버그 플래그 설정 방법
알려진 WebLogic Server 문제
문제 발생 원인
WebLogic Server 인스턴스를 시작하려면 서버 시작이 허용된 사용자의 자격 증명을 제공해야 합니다.
자격 증명은 파일 영역, LDAP, RDBMS LDAP 등의 보안 영역에 대해 검사합니다. 시작 시 제공한 정보가 보안 영역의 정보와 일치하지 않거나 보안 영역이 손상된 경우 WebLogic Server가 시작되지 않습니다.
다음은 문제 해결을 위한 여러 가지 시나리오입니다.
유효하지 않은 부팅 ID(WLS 7.0 및 WLS 8.1)
WebLogic Server를 시작할 때 다음과 같은 오류가 발생합니다.
The WebLogic Server did not start up properly.
Reason: weblogic.security.SecurityInitializationException: Authentication denied: Boot identity not valid;
이 오류는 부팅 ID 파일(boot.properties)의 사용자 이름 및/또는 암호가 유효하지 않다는 것을 나타냅니다. 부팅 ID 파일이 작성된 후에 부팅 ID가 변경되었을 수도 있습니다. 정확환 사용자 이름과 암호로 부팅 ID 파일을 편집하여 업데이트합니다. 서버를 시작하기 위해 업데이트된 부팅 ID 파일을 처음 사용할 때 이들 새 값이 암호화됩니다.
문제 해결
boot.properties에 들어 있는 매개변수 값을 변경합니다. "boot.properties"는 일반적으로 도메인 루트 디렉토리에 들어 있습니다.
예를 들면 다음과 같습니다.
username=weblogic
password=weblogic812
속성을 설정한 후 서버를 재부팅합니다.
페이지 맨 위로
Embedded LDAP: 관리자 암호 손실(WLS 7.0 및 WLS 8.1)
관리자 암호가 손실되었습니다.
문제 해결
사용자 ID의 암호를 무시하는 절차가 없으므로 새 관리자 ID를 만들어 WebLogic을 시작하는 데 사용해야 합니다. 다음은 관리자 암호를 손실했을 때 관리자를 복원하는 절차입니다.
사용자 ID가 "adminuser"이고 암호가 "weblogic"인 사용자를 만든다고 가정합시다.
디렉토리를 도메인 디렉토리(cd mydomain)로 변경합니다.
java -cp D:\bea\weblogic700\server\lib\weblogic.jar weblogic.security.utils.AdminAccount adminuser weblogic. (주의: 명령 끝에 점이 있음)
rm myserver/ldap/DefaultAuthenticatormyrealmInit.initialized
rm boot.properties(있는 경우)
"adminuser"를 관리자의 사용자 ID로 사용하여 관리 서버를 재부팅합니다.
페이지 맨 위
Embedded LDAP: 관리자 암호가 변경된 후 메니지드 서버가 시작되지 않음(WLS 7.0 및 WLS 8.1)
WebLogic Server가 제대로 시작되지 않습니다.
예외 발생
weblogic.management.configuration.ConfigurationException: [Configuration Management:150021]The admin
server failed to authenticate the identity of the user weblogic starting the managed server. The reason for the error is .
문제 해결
관리자 암호가 변경되고 동시에 메니지드 서버가 다운된 경우 예외가 발생합니다.
메니지드 서버에서 LDAP 디렉토리를 삭제합니다.
LDAP 디렉토리는 메니지드 루트 디렉토리 아래에 있으며 이름은 LDAP입니다.
메니지드 서버의 이름이 myManaged1이면 LDAP 디렉토리는 ./myManaged1/ldap입니다.
WebLogic Server를 LDAP 서버에 연결할 수 없음(WLS 7.0 및 WLS 8.1)
WLS가 LDAP 서버에 연결하지 못했음을 나타내는 오류가 발생합니다. LDAP 서버가 부팅되지 않았거나 호스트 주소 및/또는 포트가 유효하지 않은 것이 하나의 원인일 수 있습니다.
<13 juil. 2004 16 h 42 CEST>
<13 juil. 2004 16 h 42 CEST>
<13 juil. 2004 16 h 42 CEST>
문제 해결
LDAP 서버가 부팅되었는지 확인합니다.
호스트 주소와 포트가 유효한지 확인합니다.
페이지 맨 위
LDAP 서버: 연결 오류(오류 49)
<30 juin 2004 15 h 07 CEST>
<30 juin 2004 15 h 07 CEST>
<30 juin 2004 15 h 07 CEST>
문제 해결
LDAP 서버에 연결하기 위해 제공된 사용자 ID가 유효하지 않습니다.
config.xml을 검사하여 다음 매개변수를 확인하십시오.
Credential="weblogic"
Principal="uid=admin, ou=Administrators, ou=TopologyManagement, o=NetscapeRoot"
Credential="weblogic"
GroupBaseDN="ou=groups"
Name="Security:Name=RealmIPlanetAuthenticator"
Principal="uid=admin, ou=Administrators, ou=TopologyManagement, o=NetscapeRoot"
Realm="Security:Name=Realm" UserBaseDN="dc=bea,dc=com"/>
문제를 해결하려면 다음 방법 중 하나를 사용하여 사용자 ID와 암호(자격 증명)를 수정하고 WebLogic Server를 다시 시작합니다.
config.xml을 편집하고 사용자 ID 또는 암호를 변경한 후 재부팅
config.xml.booted를 config.xml로 복사한 후 서버를 재부팅하고 자격 증명(사용자 ID/암호) 변경
페이지 맨 위
LDAP 서버: WebLogic 관리자에게 서버 부팅이 거부됨
WebLogic Server 관리자에게 서버 부팅이 거부될 수도 있습니다. 다음 세 가지 원인이 있을 수 있습니다.
LDAP에 연결하는 데 오류 32 발생
LDAP에 연결하는 데 인증 실패
사용자 XXXXXX가 서버를 부팅할 수 없음
1. LDAP에 연결하는 데 오류 32 발생
<30 juin 2004 15 h 10 CEST>
<30 juin 2004 15 h 10 CEST>
<30 juin 2004 15 h 10 CEST>
<30 juin 2004 15 h 10 CEST>
netscape.ldap.LDAPException: error result (32)
문제 해결
WebLogic이 LDAP에 연결하는 데 사용하는 LDAP 사용자(이 예제에서 "weblogic")를 LDAP에서 찾을 수 없으므로 생성해야 합니다.
사용자 ID 생성 방법은 LDAP 서버 설명서를 참조하십시오.
2. LDAP에 연결하는 데 인증 실패
<30 juin 2004 15 h 29 CEST>
javax.security.auth.login.FailedLoginException: [Security:090302]Authentication Failed: User admin denied
문제 해결
config.xml에 관리자 암호가 잘못되었습니다.
config.xml에 "credential"을 변경하여 정확한 암호를 지정합니다.
weblogic.security.providers.authentication.IPlanetAuthenticator
Credential="weblogic"
3. 사용자 XXXXXX가 서버를 부팅할 수 없음
<30 juin 2004 16 h 40 CEST>
Reboot the server with the administrative user account or contact the system administrator to update the server policy definitions.>
문제 해결
LDAP에 연결하는 데 사용된 LDAP 사용자 "weblogic"이 LDAP 관리자 그룹에 없습니다.
이 사용자를 관리자 그룹에 추가합니다. 자세한 내용은 LDAP 설명서를 참조하십시오.
페이지 맨 위
NT 서비스로 WebLogic: 오류 1058
WLS는 Windows 2000에서 Windows NT 서비스로 시작되지 않고
"Could not start the
문제 해결
서비스용 Windows 하드웨어 프로필을 사용합니다.
Windows 2000의 경우 다음과 같이 합니다.
시작, 설정, 제어판, 관리 도구, 서비스를 차례로 클릭합니다.
서비스 창에서 적절한 서비스를 마우스 오른쪽 단추로 클릭한 후 속성을 선택합니다.
로그온 탭을 클릭하고 창 하단의 힌 블록에서 각 하드웨어 프로필을 사용 또는 사용 안 함으로 전환할 수 있습니다. 적절한 프로필을 클릭하여 사용으로 설정합니다.
http://support.microsoft.com/kb/q175155/의 Microsoft Knowledge Base Article - 175155에도 설명되어 있습니다.
NT 서비스로 WebLogic: 오류 1067
WLS 도메인이 NT 서비스로 설치되었으며 시작될 때 "Microsoft Error: 1067"이 발생합니다.
이 오류는 일반 메시지로 실제 문제에 대한 힌트를 제공하지 않습니다. 다음은 "1067" 오류를 발생시켜 WebLogic Server가 서비스로 제대로 시작되지 않습니다.
구성: Windows NT에서 WLS 6.x, 7.x
문제 해결
서비스는 시스템 속성을 상속합니다. 시스템 PATH 변수에 공백이 있으면 서비스가 시작되지 않을 수도 있습니다. 예를 들어, 다음 시스템 경로 "C:\Program Files\Microsoft Visual Studio\Common\MSDev98\Bin;"를 살펴보십시오. Visual Studio 디렉토리 이름에 공백이 있어 beasvc는 상황 판단에 도움이 되지 않는 "1067" 오류를 발생시키고 부팅이 되지 않습니다.
시스템 PATH 환경 변수를 수정하여 공백이 없도록 합니다.
페이지 맨 위
파일 영역에 시스템 사용자 암호 손상됨(WLS 6.1)
WebLogic Server가 제대로 시작되지 않습니다.
Exception raised:
java.lang.SecurityException: Authentication for user system denied
at weblogic.security.SecurityService.initializeSuid(SecurityService.java:410)
at weblogic.security.SecurityService.initialize(SecurityService.java:120)
at weblogic.t3.srvr.T3Srvr.initialize(T3Srvr.java:421)
at weblogic.t3.srvr.T3Srvr.run(T3Srvr.java:213)
at weblogic.Server.main(Server.java:35)
Reason: Fatal initialization exception
문제 해결
파일 영역의 시스템 사용자 암호가 고객 도메인에서 손상되어 WebLogic Server가 시작되지 않습니다.
도메인 루트 디렉토리에 들어 있는 fileRealm.properties 및 SerializedSystemIni.dat 파일을 백업합니다.
성공적으로 시작되는 도메인이 있는 경우 다음 파일을 작동 중인 도메인에서 문제의 도메인으로 복사합니다.
fileRealm.properties
SerializedSystemIni.dat
참고: 이 파일은 암호화/암호 해독에 함께 사용되므로 해당 프로세스가 제대로 작동하려면 모두 복사해야 합니다.
페이지 맨 위
디버그 플래스 설정 방법
대부분의 LDAP 문제의 경우 디버그 플래그를 설정하면 도움됩니다. config.xml 파일을 편집하여 다음 속성
StdoutDebugEnabled="true" StdoutSeverityLevel="64"
를 다음과 같이 추가합니다.
ServerVersion="8.1.2.0" StdoutDebugEnabled="true" StdoutSeverityLevel="64">
DebugSecurityRoleMap="true" Name="myserver"/>
알려진 WebLogic Server 문제
CR076945 WLS 7.0 - LDAP 파일이 손상되어 WLS를 시작할 수 없습니다.
또한 WLS 버전의 릴리스 정보를 주기적으로 검토하여 서비스 팩에서 알려진 문제나 해결된 문제를 확인하고 인증 관련 문제를 검색할 수 있습니다. 간편하게 다음을 참조하십시오.
WLS 8.1 릴리스 정보
WLS 7.0 릴리스 정보
WLS 6.1 릴리스 정보
검색하면 릴리스 정보뿐 아니라 추가 도움말에서 언급된 기타 지원 솔루션 및 CR 관련 정보도 알 수 있습니다. 계약 고객은 http://support.bea.com/에 로그인한 다음 Browse 포틀릿에서 Solutions 및 Bug Central을 검색하여 제품 버전별로 사용 가능한 최신 CR을 찾을 수 있습니다.
페이지 맨 위 추가 도움말이 필요하십니까?
패턴대로 작업했지만 추가 도움말이 필요한 경우 다음과 같이 할 수 있습니다.
http://support.bea.com/의 AskBEA에서 "WLS 시작 오류" 등으로 문제를 조회하여 게시된 다른 해결 방법을 찾아봅니다. 계약 지원 고객: 제공되는 CR 관련 정보에 액세스할 수 있는 권한으로 로그온합니다
http://forums.bea.com에서 BEA 뉴스그룹에 보다 자세한 내용을 질문합니다.
이렇게 해도 문제를 해결할 수 없는 경우 유효한 유지 보수 계약이 되어 있다면 http://support.bea.com/에 로그인하여 지원요청할 수 있습니다.
고객 의견
이 지원 진단 패턴 "WLS 시작 오류"가 도움이 되셨습니까? 여러분에게 꼭 필요한 정보나 지원 진단 패턴에 새로 추가하길 바라는 항목이 있으면 저희에게 알려주시기 바랍니다.
책임의 한계에 대한 고지
BEA Systems, Inc.는 사용자와 BEA 간의 유지 보수 및 지원 계약 내용에 따라 이 웹 사이트에 기술 팁과 패치를 제공합니다. BEA에서 허가한 소프트웨어와 함께 이 정보 및 코드를 사용할 수 있지만 BEA는 기술 팁 및 패치와 관련하여 어떠한 명시적이거나 암시적인 보증도 하지 않습니다.
이 문서에 참조된 상표는 해당 소유자의 자산입니다. 자세한 상표 정보를 보려면 제품 설명서를 참조하십시오.
페이지 맨 위
시스템 전역 환경 설정하기
/etc/profile 파일에 리눅스 시스템 전역에 사용할 환경변수를 설정하면 된다.
즉, LD_LIBRARY_PATH 등과 같은 설정을 /etc/profile 하단에 추가하면 모든 사용자가 사용할 수 있는 환경설정이 된다.
즉, LD_LIBRARY_PATH 등과 같은 설정을 /etc/profile 하단에 추가하면 모든 사용자가 사용할 수 있는 환경설정이 된다.
2009. 4. 2.
Vmware MAC 주소 변경 방법
Vmware MAC 주소 변경 방법
Windows Server 2003 Enterprise Edition.vmx
Setting the MAC Address Manually for a Virtual Machine
VMware ESX Server automatically generates MAC addresses for the virtual network adapters in each virtual machine. In most cases, these MAC addresses are appropriate. However, there may be times when you need to set a virtual network adapter's MAC address manually — for example:
Virtual network adapters on different physical servers share the same subnet and are assigned the same MAC address, causing a conflict.
You want to ensure that a virtual network adapter always has the same MAC address.
This section explains how VMware ESX Server generates MAC addresses and how you can set the MAC address for a virtual network adapter manually.
How VMware ESX Server Generates MAC Addresses
Each virtual network adapter in a virtual machine gets its own unique MAC address. ESX Server attempts to ensure that the network adapters for each virtual machine that are on the same subnet have unique MAC addresses. The algorithm used by ESX Server puts a limit on how many virtual machines can be running and suspended at once on a given machine. It also does not handle all cases when virtual machines on distinct physical machines share a subnet.
A MAC address is a six-byte number. Each network adapter manufacturer gets a unique three-byte prefix called an OUI — organizationally unique identifier — that it can use to generate unique MAC addresses. VMware has two OUIs — one for automatically generated MAC addresses and one for manually set addresses.
The VMware OUI for automatically generated MAC addresses is 00:0C:29. Thus the first three bytes of the MAC address that is automatically generated for each virtual network adapter have this value. ESX Server then uses a MAC address generation algorithm to produce the other three bytes. The algorithm guarantees unique MAC addresses within a machine and attempts to provide unique MAC addresses between ESX Server machines.
The algorithm that ESX Server uses is the following:
We use the VMware UUID (Universally Unique Identifier) to generate MAC addresses. We then check for any conflicts. If there is a conflict, we add an offset and check again, until there is no conflict. (The VMware UUID is based on the path to the virtual machine and the host's SMBIOS UUID.)
Once the MAC address has been generated, it does not change, unless the virtual machine is moved to a different location; for example, a different path on the same server or a different ESX Server machine. We save the MAC address in the configuration file of the virtual machine.
ESX Server keeps track of all MAC addresses that have been assigned to network adapters of running and suspended virtual machines on a given physical machine. ESX Server ensures that the virtual network adapters of all of these virtual machines have unique MAC addresses.
The MAC address of a powered-off virtual machine is not checked against running or suspended virtual machines. Therefore it is possible, but unlikely, that when a virtual machine is powered on again, it can get a different MAC address. This is due to a conflict with a virtual machine that was powered on when this virtual machine was powered off.
Setting MAC Addresses Manually
In order to work around both the limit of 256 virtual network adapters per physical machine and possible MAC address conflicts between virtual machines, the MAC addresses can be assigned manually by system administrators. VMware uses a different OUI for manually generated addresses: 00:50:56. The MAC address range is 00:50:56:00:00:00-00:50:56:3F:FF:FF.
You can set the addresses by adding the following line to a virtual machine's configuration file:
ethernet.address = 00:50:56:XX:YY:ZZ
where refers to the number of the Ethernet adapter, XX is a valid hex number between 00 and 3F, and YY and ZZ are valid hex numbers between 00 and FF. The value for XX must not be greater than 3F in order to avoid conflict with MAC addresses that are generated by the VMware Workstation and VMware GSX Server products. Thus the maximum value for a manually generated MAC address is
ethernet.address = 00:50:56:3F:FF:FF
You must also set the option in a virtual machine's configuration file:
ethernet.addressType="static"
VMware ESX Server virtual machines do not support arbitrary MAC addresses, hence the above format must be used. So long as you choose XX:YY:ZZ uniquely among your hard-coded addresses, conflicts between the automatically assigned MAC addresses and the manually assigned ones should never occur.
Using MAC Addresses
The easiest way to familiarize yourself with MAC addresses is to set the MAC address statically, then remove the virtual machine configuration file options ethernet.address, ethernet.addressType and ethernet.generatedAddressOffset. Check to see that the virtual machine gets a generated MAC address.
We cannot guarantee that a host stays within a specific MAC address range. However, we guarantee that the MAC address never conflicts with any physical host by using our OUIs (00:0C:29 and 00:50:56), that are unique to virtual machines.
http://www.vmware.com/support/esx21/doc/esx21admin_MACaddress.html
Windows Server 2003 Enterprise Edition.vmx
Setting the MAC Address Manually for a Virtual Machine
VMware ESX Server automatically generates MAC addresses for the virtual network adapters in each virtual machine. In most cases, these MAC addresses are appropriate. However, there may be times when you need to set a virtual network adapter's MAC address manually — for example:
Virtual network adapters on different physical servers share the same subnet and are assigned the same MAC address, causing a conflict.
You want to ensure that a virtual network adapter always has the same MAC address.
This section explains how VMware ESX Server generates MAC addresses and how you can set the MAC address for a virtual network adapter manually.
How VMware ESX Server Generates MAC Addresses
Each virtual network adapter in a virtual machine gets its own unique MAC address. ESX Server attempts to ensure that the network adapters for each virtual machine that are on the same subnet have unique MAC addresses. The algorithm used by ESX Server puts a limit on how many virtual machines can be running and suspended at once on a given machine. It also does not handle all cases when virtual machines on distinct physical machines share a subnet.
A MAC address is a six-byte number. Each network adapter manufacturer gets a unique three-byte prefix called an OUI — organizationally unique identifier — that it can use to generate unique MAC addresses. VMware has two OUIs — one for automatically generated MAC addresses and one for manually set addresses.
The VMware OUI for automatically generated MAC addresses is 00:0C:29. Thus the first three bytes of the MAC address that is automatically generated for each virtual network adapter have this value. ESX Server then uses a MAC address generation algorithm to produce the other three bytes. The algorithm guarantees unique MAC addresses within a machine and attempts to provide unique MAC addresses between ESX Server machines.
The algorithm that ESX Server uses is the following:
We use the VMware UUID (Universally Unique Identifier) to generate MAC addresses. We then check for any conflicts. If there is a conflict, we add an offset and check again, until there is no conflict. (The VMware UUID is based on the path to the virtual machine and the host's SMBIOS UUID.)
Once the MAC address has been generated, it does not change, unless the virtual machine is moved to a different location; for example, a different path on the same server or a different ESX Server machine. We save the MAC address in the configuration file of the virtual machine.
ESX Server keeps track of all MAC addresses that have been assigned to network adapters of running and suspended virtual machines on a given physical machine. ESX Server ensures that the virtual network adapters of all of these virtual machines have unique MAC addresses.
The MAC address of a powered-off virtual machine is not checked against running or suspended virtual machines. Therefore it is possible, but unlikely, that when a virtual machine is powered on again, it can get a different MAC address. This is due to a conflict with a virtual machine that was powered on when this virtual machine was powered off.
Setting MAC Addresses Manually
In order to work around both the limit of 256 virtual network adapters per physical machine and possible MAC address conflicts between virtual machines, the MAC addresses can be assigned manually by system administrators. VMware uses a different OUI for manually generated addresses: 00:50:56. The MAC address range is 00:50:56:00:00:00-00:50:56:3F:FF:FF.
You can set the addresses by adding the following line to a virtual machine's configuration file:
ethernet
where
ethernet
You must also set the option in a virtual machine's configuration file:
ethernet
VMware ESX Server virtual machines do not support arbitrary MAC addresses, hence the above format must be used. So long as you choose XX:YY:ZZ uniquely among your hard-coded addresses, conflicts between the automatically assigned MAC addresses and the manually assigned ones should never occur.
Using MAC Addresses
The easiest way to familiarize yourself with MAC addresses is to set the MAC address statically, then remove the virtual machine configuration file options ethernet
We cannot guarantee that a host stays within a specific MAC address range. However, we guarantee that the MAC address never conflicts with any physical host by using our OUIs (00:0C:29 and 00:50:56), that are unique to virtual machines.
http://www.vmware.com/support/esx21/doc/esx21admin_MACaddress.html
피드 구독하기:
글 (Atom)
