카테고리 Archives: linux

우분투 20.04 의 xrdp에서 로그인창 반복 문제

우분투 20.04 버전에서 xrdp 를 설치하고 원격 데스크톱을 연결했을때 로그인을 한 뒤에 아래와 같이

인증이 필요합니다

시스템 저장소를 새로 고치려면 인증해야 합니다

라는 메세지가 나오게 되고 패스워드 입력창이 반복되면 실제 로그인시 로그인을 실패를 하는것이 확인되었다.

실제 ubuntu 계정의 패스워드를 입력해도 정상 로그인이 불가능한 상태 이다.

/var/log/auth.log 파일에서는 아래와 같은 로그가 확인 되었다.

1	Jan 4 17:47:39 ubuntu-server polkit-agent-helper-1[2918]: pam_tally2(polkit-1:auth): user ubuntu (1000) tally 50, deny 5

xrdp의 버그인 것으로 아래와 같이 터미널에서 polkit 룰을 추가함으로서 해결 되었다.

polkit.addRule(function(action, subject) {

if ((action.id == "org.freedesktop.color-manager.create-device" ||

action.id == "org.freedesktop.color-manager.create-profile" ||

action.id == "org.freedesktop.color-manager.delete-device" ||

action.id == "org.freedesktop.color-manager.delete-profile" ||

action.id == "org.freedesktop.color-manager.modify-device" ||

action.id == "org.freedesktop.color-manager.modify-profile") &&

subject.isInGroup("{users}")) {

return polkit.Result.YES;

}

});

위 파일을 터미널을 통해 생성한뒤에 로그아웃 -> 로그인을 하면 사라진다 @_@b

출처 : https://devanswers.co/how-to-fix-authentication-is-required-to-create-a-color-profile-managed-device-on-ubuntu-20-04-20-10/

ssh (sftp) 속도 저하 이슈.

ssh 또는 sshd 의 내장된 sftp 를 이용하여 파일을 업로드 할때 가끔 속도가 저하되는 이슈가 있다 ‘ㅅ’a

sftp의 경우 데이터를 암호화 해서 통신을 하기 때문에 cpu와 네트워크(1Gbps)가 좋다면 일반적으로 20Mbps ~ 60Mbps 정도로 측정이 된다.

다만 resolve 가 정상적이지 않을때 속도 저하가 발생할 수 있는데 이때 sshd_config를 수정해서 DNS 확인을 하는 옵션을 꺼둠으로서 속도 저하를 예방할 수 있다.

일반적으로 CentOS 에서는 아래와 같은 설정 값을 가진다.

~]# grep -E "UseDNS|GSSAPIAuthentication" /etc/ssh/sshd_config

GSSAPIAuthentication yes

#UseDNS yes

이를 수정을 해주고 sshd를 재 시작 한다.

~]# sed -ie 's/GSSAPIAuthentication yes/GSSAPIAuthentication no/g;s/#UseDNS yes/UseDNS no/g' /etc/ssh/sshd_config

~]# grep -E "UseDNS|GSSAPIAuthentication" /etc/ssh/sshd_config

GSSAPIAuthentication no

UseDNS no

~]# systemctl restart sshd.service

~]# systemctl status sshd.service

● sshd.service - OpenSSH server daemon

Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)

Active: active (running) since Mon 2022-01-03 08:32:48 UTC; 11s ago

Docs: man:sshd(8)

man:sshd_config(5)

Main PID: 25479 (sshd)

CGroup: /system.slice/sshd.service

└─25479 /usr/sbin/sshd -D

상태 active (running) 을 확인 한뒤에 추가적으로 ssh 접속을 시도해 본다. (sshd 설정을 건들 경우에는 새로운 접속이 가능한지 확인해보는것이 좋다.)

ubuntu의 경우에는 기본 설정 값이 틀리기 때문에(주석으로 막혀있는 구조) 아래의 명령어를 사용한다.

~]# sed -ie 's/#GSSAPIAuthentication no/GSSAPIAuthentication no/g;s/#UseDNS no/UseDNS no/g' /etc/ssh/sshd_config

~]# grep -E "UseDNS|GSSAPIAuthentication" /etc/ssh/sshd_config

GSSAPIAuthentication no

UseDNS no

~]# systemctl restart sshd.service

~]# systemctl status sshd.service

CentOS 8 종료에 따라…

CentOS 8 의 CentOS Stream 전환의 시기가 얼마 남지 않았다. (2021년 12월 31일 까지…)

기존의 CentOS 와 같이 RHEL 을 복제한 OS 는 다음과 같다.

Rocky Linux (https://rockylinux.org)

Oracle Linux (https://www.oracle.com/kr/linux/)

Alma Linux (https://almalinux.org/)

Navy Linux (https://navylinux.org/)

네이비 리눅스의 경우 업데이트 적용이 늦는듯 하고(업데이트 지원이 늦어질수도??)

오라클 리눅스는 Mysql -> MariaDB 사태를 본 사람으로서 선택하기 어렵다.

아무래도 기존에 CentOS 개발자로 참여(Gregory Kurtzer) 했던 Rocky Linux 을 선택 하는게 좋을거 같지 싶다 ‘ ‘a

Rocky 리눅스의 경우에는 AWS, Azure, GCP 에서 OS 이미지로도 선택(물론 소프트웨어 요금 없이)이 가능하다.

springboot 의 systemd 설정 및 rsyslog 설정

스프링부트로 작성이 된 프로그램을 systemd 를 이용한 데모나이즈를 위해 아래와 같이 생성 한다. (가장 기본적인 부분..)

[Unit]

Description=SpringBoot application (FRONT)

After=network.target

[Service]

Type=simple

### EDIT ### start

StandardOutput=syslog

StandardError=syslog

SyslogIdentifier=로그이름1

User=배포계정명

WorkingDirectory=/home/배포계정명/폴더

Environment='JAVA_OPT1=-Djava.security.egd=file:/dev/urandom'

Environment='JAVA_OPT2=-server -XX:MaxNewSize=384m -XX:+UseParallelGC -XX:ParallelGCThreads=2'

Environment='EXEC_JAR=배포파일.war'

### EDIT ### end

ExecStart=/usr/bin/java $JAVA_OPT1 $JAVA_OPT2 -jar $EXEC_JAR

SuccessExitStatus=143

Restart=on-failure

RestartSec=5

TimeoutStopSec=10

[Install]

WantedBy=multi-user.target

위와 같이 설정 파일을 생성 한뒤에 아래와 같은 명령어로 실행 할 수 있다.

### 프로그램 시작

~]# systemctl start springboot-front.service

### 프로그램 정지

~]# systemctl stop springboot-front.service

### 부팅시 시작 활성화

~]# systemctl enable springboot-front.service

### 프로그램 시작 & 부팅시 시작 활성화

~]# systemctl enable --now springboot-front.service

위와 같이 실행을 할 경우 발생하는 로그는 CentOS 7 기준 /var/log/messages 파일에 누적이 된다.

가만히 두면 messages 파일이 엄청 커지거나 섞여 있어서 로그 확인에 에로 사항이 발생하게 된다.

때문에 다음 와 같이 /etc/rsyslog.d/30-springboot.conf 파일을 생성 하여 분리 하도록 한다.

if $programname == '로그이름1' then

/var/log/java_front.log

& stop

if $programname == '로그이름2' then

/var/log/java_backend.log

& stop

rsyslog 를 재시작 한다.

1	~]# systemctl restart rsyslog.service

PS1. 로그 순환 설정

rsyslog 에서 생성하는 별도의 파일을 새롭게 선언 되었기 때문에 logrotate 가 안되면 파일이 무한 증식 하게 되므로 아래와 같이 순환 설정을 하여

1달동안 보관 되고 삭제 되도록 설정 한다. (생성만 해두면 다음 주기에 적용됨..재시작할 필요는 없음.)

/var/log/java_*.log

{

rotate 4

weekly

missingok

# size 500M

# compress

# delaycompress

notifempty

create 640 root root

sharedscripts

postrotate

/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true

endscript

}

PS2. 프로그램 배포계정에 특정 데몬의 콘트롤 권한만 부여(sudo 이용) 하는 방법.

배포계정에 systemctl 을 이용 하여 특정 데몬을 콘트롤 할수 있는 권한을 부여 한다.

배포계정명 ALL=NOPASSWD: /bin/systemctl status springboot-front.service

배포계정명 ALL=NOPASSWD: /bin/systemctl start springboot-front.service

배포계정명 ALL=NOPASSWD: /bin/systemctl stop springboot-front.service

배포계정명 ALL=NOPASSWD: /bin/systemctl restart springboot-front.service

배포 계정은 아래와 같이 부여된 명령어를 root 와 같은 권한으로 실행이 가능 하다.

~]$ sudo -l

User 배포계정명 may run the following commands on 서버명:

(root) NOPASSWD: /bin/systemctl status springboot-front.service

(root) NOPASSWD: /bin/systemctl start springboot-front.service

(root) NOPASSWD: /bin/systemctl stop springboot-front.service

(root) NOPASSWD: /bin/systemctl restart springboot-front.service

~]$ sudo /bin/systemctl restart springboot-front.service

GEOIP database 파일 업데이트

그렇다. 또 바뀌었다 ‘ㅅ’….

GeoIP database 파일을 다운 받는데 링크 주소가 변경 되었다

맥스마인드 사이트의 회원 가입 이후 라이선스 키를 받아야 다운로드를 받을 수 있도록 변경 되었다.

crontab 에 아래와 같이 geoipupdate 명령어를 주기적으로 실행 함으로서 업데이트를 실행할 수 있다.

~]# crontab -e

------------------------------------------------------

00 06 * * 5 /bin/geoipupdate # GeoIP database update.

------------------------------------------------------

단지 위 명령어를 실행 하기 위해 맥스마인드사의 회원 가입 과 라이선스 키를 발급 받아야 한다.

그리고 /etc/GeoIP.conf 파일에서 라이선스키 등록을 진행해야 한다.

1 2	AccountID 123456 LicenseKey ABCDEFGHIJKL

이후 geoipupdate명령어를 통해서 업데이트가 잘 되나 실행해보면 된다.

1	~]# geoipupdate

출처 : https://dev.maxmind.com/geoip/geoipupdate/

다른 방법으로는 기존 처럼 스크립트를 이용 하여 바뀐 URL 에 파라메터로 라이선스 키를 넣어서 호출하는 방법이 있다.

개인 적으로 남이 만든 프로그램 보단 직접 하는 스크립트를 선호하는 편이라.. (OS 의존성도 없는 편이고 해서 ‘ ㅅ’a)

스크립트 3 번째 줄에 위 방법을 따라 만든 maxmind 라이선스 키를 입력해야 한다.

#!/bin/bash

#################################

Maxmind_Licensekey="ABCDEFGHIJKL"

#################################

CITYDATA="N" ### config - DISABLE city it'll be need free memory 2GB

### geoip set

GEOIPDIR="/usr/share/GeoIP"

DATALINK="/usr/share/xt_geoip /var/lib/GeoIP"

### avoid overlap

lockfile=/var/lock/$(basename $0)

if [ -f $lockfile ];then

P=$(cat $lockfile)

if [ -n "$(ps --no-headers -f $P)" ];then

exit 1

echo $$ > $lockfile

trap 'rm -f "$lockfile"' EXIT

### define server are primary or secandary.

### install dependances

if [[ -z $(which git) ]];then sudo yum -y install git > /dev/null 2>&1 ;fi

if [[ -z $(which pip) ]];then sudo yum -y install python2-pip > /dev/null 2>&1;fi

if [[ -z $(pip list|grep pygeoip) ]];then sudo pip install pygeoip > /dev/null 2>&1 ;fi

if [[ -z $(pip list|grep ipaddr) ]];then sudo pip install ipaddr > /dev/null 2>&1 ;fi

### link path

if [[ ! -d $GEOIPDIR ]];then

mkdir -p $GEOIPDIR

for a in $DATALINK

if [[ ! -d $a ]];then if [[ $(readlink $a) != $GEOIPDIR ]];then

rm -rf $a;ln -s $GEOIPDIR $a

fi;fi

done

### https://github.com/sherpya/geolite2legacy - csv to data file.

cd $GEOIPDIR

if [ ! -e $GEOIPDIR/geolite2legacy/geolite2legacy.py ];then cd $GEOIPDIR

git clone https://github.com/sherpya/geolite2legacy.git

### make GeoIP.dat files from GeoLite2 CSV file.

if [ -d $GEOIPDIR/geolite2legacy ];then

cd $GEOIPDIR/geolite2legacy

EXT="zip"

CIF="GeoLite2-City-CSV"

COF="GeoLite2-Country-CSV"

BASEURL="https://download.maxmind.com/app/geoip_download?edition_id"

COF_URL="$BASEURL=$COF&license_key=$Maxmind_Licensekey&suffix=$EXT"

ORI_DATE=$(date +"%Y%m%d%H%M.%S" -d "$(curl -sI $COF_URL|grep ^Last-Modified:|cut -d, -f2)")

CSV_DATE=$(date +"%Y%m%d%H%M.%S" -d "$(stat -c %y $COF.$EXT)")

if [[ "$ORI_DATE" != "$CSV_DATE" ]];then

rm -f $COF.$EXT $CIF.$EXT

wget "$COF_URL" -O $COF.$EXT >/dev/null 2>&1

if [ -s $GEOIPDIR/geolite2legacy/$COF.$EXT ];then

python geolite2legacy.py --input-file $COF.$EXT --fips-file geoname2fips.csv --output-file GeoIP.dat

python geolite2legacy.py --input-file $COF.$EXT -6 --fips-file geoname2fips.csv --output-file GeoIPv6.dat

if [[ $CITYDATA == "Y" ]];then

CIF_URL="$BASEURL=$CIF&license_key=$Maxmind_Licensekey&suffix=$EXT"

wget "$CIF_URL" -O $CIF.$EXT >/dev/null 2>&1

python geolite2legacy.py --input-file $CIF.$EXT --fips-file geoname2fips.csv --output-file GeoLiteCity.dat

python geolite2legacy.py --input-file $CIF.$EXT -6 --fips-file geoname2fips.csv --output-file GeoLiteCityv6.dat

touch -t $ORI_DATE GeoLiteCity.dat GeoLiteCityv6.dat

mv -f Geo{LiteCity,LiteCityv6}.dat $GEOIPDIR/ >/dev/null 2>&1

touch -t $ORI_DATE GeoIP.dat GeoIPv6.dat $COF.$EXT

mv -f Geo{IP,IPv6}.dat $GEOIPDIR/ >/dev/null 2>&1

exit 0

기존 스크립트에서 추가 변경된 기능이 있는데 DB 업데이트가 이루어 졌는지 배포주소의 HEAD 체크를 통해서 Last-Modified 를 체크 한다.

쉽게 말하면 맥스마인드사에서 새로운 db를 업데이트 할때만 작동 한다는 소리다. ( 더 쉽게: 매일 돌리면 된다. )

때문에 위 스크립트는 /etc/cron.daily/ 폴더내에 넣어두면 필요할 때 자동 실행이 된다.

출처 : https://dev.maxmind.com/geoip/geoip-direct-downloads/#Direct_Downloads