ImageMagick 설치

ImageMagick 썸네일을 생성하는 php extension 이다.

자세한 설명은 요기 : http://ko.wikipedia.org/wiki/이미지매직

먼저 프로그램 설치를 한다. ‘ㅅ’a

1	~]# yum install ImageMagick ImageMagick-devel

한 20~여개가 의존성으로 깔리더라능.. ㄷㄷ..

이후에 아래 링크에서 패키지 다운로드를 받아 서버에 업로드 하고 설치 진행을 한다.

http://pecl.php.net/package/imagick

설치 진행은 /opt 폴더에서 진행하였다.

1

2

3

4

5

6

7

~]# cd /opt

~]# wget http://pecl.php.net/get/imagick-3.1.2.tgz

~]# tar xfzp imagick-3.1.2.tgz

~]# cd imagick-3.1.2

~]# /usr/local/php/bin/phpize

~]# ./configure --with-php-config=/usr/local/php/bin/php-config

~]# make && make install

5, 6 번째줄은 자기서버의 php 경로에 따라 달라지겠다.

이후에 php.ini 에 해당 익스텐션을 불러오도록 설정한다.

1 2	[ImageMagick] extension=imagick.so

php 에서 익스텐션을 정상적으로 불러오나 확인

1

2

3

4

5

6

7

8

9

10

11

12

13

14

~]# php -i|grep -i image

ImageMagick version => ImageMagick 6.5.4-7 2014-02-10 Q16 OpenMP http://www.imagemagick.org

ImageMagick copyright => Copyright (C) 1999-2009 ImageMagick Studio LLC

ImageMagick release date => 2014-02-10

ImageMagick number of supported formats: => 199

ImageMagick supported formats => A, AI, ART, ARW, AVI, AVS, B, BGR, BMP, BMP2, BMP3, BRF, BRG, C, CALS, CAPTION, CIN, CIP, CLIP, CMYK,

CMYKA, CR2, CRW, CUR, CUT, DCM, DCR, DCX, DDS, DFONT, DNG, DOT, DPS, DPX, EPDF, EPI, EPS, EPS2, EPS3, EPSF, EPSI, EPT, EPT2, EPT3, ERF,

EXR, FAX, FITS, FRACTAL, FTS, G, G3, GBR, GIF, GIF87, GRADIENT, GRAY, GRB, HALD, HISTOGRAM, HRZ, HTM, HTML, ICB, ICO, ICON, INFO, INLINE,

IPL, ISOBRL, JNG, JP2, JPC, JPEG, JPG, JPX, K, K25, KDC, LABEL, M, M2V, M4V, MAP, MAT, MATTE, MIFF, MNG, MONO, MOV, MP4, MPC, MPEG, MPG, MRW,

MSL, MSVG, MTV, MVG, NEF, NULL, O, ORF, OTB, OTF, PAL, PALM, PAM, PATTERN, PBM, PCD, PCDS, PCL, PCT, PCX, PDB, PDF, PDFA, PEF, PFA, PFB, PFM,

PGM, PGX, PICON, PICT, PIX, PJPEG, PLASMA, PNG, PNG24, PNG32, PNG8, PNM, PPM, PREVIEW, PS, PS2, PS3, PSD, PTIF, PWP, R, RADIAL-GRADIENT, RAF,

RAS, RBG, RGB, RGBA, RGBO, RLA, RLE, SCR, SCT, SFW, SGI, SHTML, SR2, SRF, STEGANO, SUN, SVG, SVGZ, TEXT, TGA, THUMBNAIL, TIFF, TIFF64, TILE,

TIM, TTC, TTF, TXT, UBRL, UIL, UYVY, VDA, VICAR, VID, VIFF, VST, WBMP, WMF, WMV, WMZ, WPG, X, X3F, XBM, XC, XCF, XPM, XPS, XV, XWD, Y, YCbCr,

YCbCrA, YUV

그다음 아파치 재시작을 하면 바로 적용이 됩니다 🙂

CentOS 6.x 업데이트가 되지 않을때.

yum 을 이용해서 centos 는 쉽게 업데이트가 가능하다.

1	~]# yum -y update

정말 간단하지 않은가 =ㅅ=a

CentOS 6.2 에서 yum 을 이용한 업데이트시 아래와 같이 에러가 발생하였다.

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

Error: Package: matahari-host-0.4.4-11.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

Requires: libqpidclient.so.5()(64bit)

Removing: qpid-cpp-client-0.12-6.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

libqpidclient.so.5()(64bit)

Updated By: qpid-cpp-client-0.14-22.el6_3.x86_64 (base)

Not found

Error: Package: matahari-service-0.4.4-11.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

Requires: libqpidcommon.so.5()(64bit)

Removing: qpid-cpp-client-0.12-6.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

libqpidcommon.so.5()(64bit)

Updated By: qpid-cpp-client-0.14-22.el6_3.x86_64 (base)

Not found

Error: Package: matahari-agent-lib-0.4.4-11.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

Requires: libqpidclient.so.5()(64bit)

Removing: qpid-cpp-client-0.12-6.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

libqpidclient.so.5()(64bit)

Updated By: qpid-cpp-client-0.14-22.el6_3.x86_64 (base)

Not found

Error: Package: matahari-network-0.4.4-11.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

Requires: libqpidcommon.so.5()(64bit)

Removing: qpid-cpp-client-0.12-6.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

libqpidcommon.so.5()(64bit)

Updated By: qpid-cpp-client-0.14-22.el6_3.x86_64 (base)

Not found

Error: Package: matahari-host-0.4.4-11.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

Requires: libqpidcommon.so.5()(64bit)

Removing: qpid-cpp-client-0.12-6.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

libqpidcommon.so.5()(64bit)

Updated By: qpid-cpp-client-0.14-22.el6_3.x86_64 (base)

Not found

Error: Package: matahari-sysconfig-0.4.4-11.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

Requires: libqpidclient.so.5()(64bit)

Removing: qpid-cpp-client-0.12-6.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

libqpidclient.so.5()(64bit)

Updated By: qpid-cpp-client-0.14-22.el6_3.x86_64 (base)

Not found

Error: Package: matahari-sysconfig-0.4.4-11.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

Requires: libqpidcommon.so.5()(64bit)

Removing: qpid-cpp-client-0.12-6.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

libqpidcommon.so.5()(64bit)

Updated By: qpid-cpp-client-0.14-22.el6_3.x86_64 (base)

Not found

Error: Package: matahari-service-0.4.4-11.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

Requires: libqpidclient.so.5()(64bit)

Removing: qpid-cpp-client-0.12-6.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

libqpidclient.so.5()(64bit)

Updated By: qpid-cpp-client-0.14-22.el6_3.x86_64 (base)

Not found

Error: Package: matahari-agent-lib-0.4.4-11.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

Requires: libqpidcommon.so.5()(64bit)

Removing: qpid-cpp-client-0.12-6.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

libqpidcommon.so.5()(64bit)

Updated By: qpid-cpp-client-0.14-22.el6_3.x86_64 (base)

Not found

Error: Package: matahari-network-0.4.4-11.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

Requires: libqpidclient.so.5()(64bit)

Removing: qpid-cpp-client-0.12-6.el6.x86_64 (@anaconda-CentOS-201112091719.x86_64/6.2)

libqpidclient.so.5()(64bit)

Updated By: qpid-cpp-client-0.14-22.el6_3.x86_64 (base)

Not found

You could try using --skip-broken to work around the problem

You could try running: rpm -Va --nofiles --nodigest

헐키 – -a 그러면서 업데이트가 안된다.

사유는 mahatari 가 보안 관련 이슈 때문에 삭제 / 대규모업데이트 가 된듯 하다.

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/6.3_Technical_Notes/matahari.html

그리하여 아래와 같이 삭제를 한뒤에 업데이트 한다.

1 2	~]# yum -y remove matahari-* ~]# yum -y update

mahatari 파이썬으로 만들어진 내부서비스 감시툴이다.

쓰는 사람이 있다면 업데이트 이후 재설치를 하시면 되겠다.(저는 쓰지 않습니다 ‘ㅅ’a)

1	~]# yum install mahatari-*

CVE-2015-0204 취약점 – FREAK Attack

개요
-프랑스 국립 연구소(INRIA) 및 MS社에서는 SSL을 통해 강제로 취약한 RSA로 다운 그레이드 시킬 수 있는 취약점을 발견
※ CVE-2015-0204 : OpenSSL s3_clnt.c의 ssl3_get_key exchange 함수에서 발생하는 취약점으로 공격자가 MITM(Man In The Middle Attack)을 통해 512비트 RSA로 다운 그레이드 시켜 정보를 유출시킬 수 있는 취약점

해당 시스템
-영향을 받는 시스템
-Openssl 0.9.8 대 0.9.8zd 이전 버전
-Openssl 1.0.0 대 1.0.0p 이전 버전
-Openssl 1.0.1 대 1.0.1k 이전 버전

취약점 확인절차
-(시스템 운영자) 시스템 측면 취약점 확인
-아래의 명령어를 입력하여 취약점 유무 확인
-openssl s_client -connect [web site명 입력]:433 -cipher EXPORT

1. 정상

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

~]# openssl s_client -connect [사이트주소]:443 -cipher EXPORT

CONNECTED(00000003)

139795549497160:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:741:

---

no peer certificate available

---

No client certificate CA names sent

---

SSL handshake has read 7 bytes and written 73 bytes

---

New, (NONE), Cipher is (NONE)

Secure Renegotiation IS NOT supported

Compression: NONE

Expansion: NONE

---

2. 취약점 노출 화면 (CERTIFICATE 코드가 보인다.)

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

~]# openssl s_client -connect [사이트주소]:443 -cipher EXPORT

CONNECTED(00000003)

depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root

verify return:1

depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO Certification Authority

verify return:1

depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO Extended Validation Secure Server CA

verify return:1

---

Certificate chain

1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO Extended Validation Secure Server CA

i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO Certification Authority

2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO Certification Authority

i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

---

Server certificate

-----BEGIN CERTIFICATE-----

MB4XDTE0MTEyNDAwMDAwMFoXDTE1MTEyNDIzNTk1OVowggEcMRMwEQYDVQQFEwoy

BmqC0ms44EQPw7AP3Tb4MDpPfeEduM9yeFxEyUwURafnAgMBAAGjggHMMIIByDAf

-----END CERTIFICATE-----

해결방안
-(시스템 운영자) 해당 취약점에 영향 받는 버전 사용자
-OpenSSL 1.0.2 버전으로 업그레이드(http://www.openssl.org/source/)
-버전 업그레이드가 어려운 경우, OpenSSL ‘RSA_EXPORT Cipher Suites’를 지원하거나 클라이언트로 ‘RSA_EXPORT suite’를 전송할 수 있는 모든 기능을 비활성화 시킬 것을 권장

[참고사이트]
1. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204
2. http://FreakAttack.com
3. https://mozilla.github.io/server-side-tls/ssl-config-generator/

출처 : http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=22573

————————————————————————————-

여튼 뭐 또 그렇단다 =ㅅ=a..

확인결과 yum update 가 아직 안나왔다.

때문에 extra/httpd-ssl.conf 파일중 SSLCipherSuite 에 !EXPORT 추가를 해서 막는다.

1

2

3

4

5

SSLProtocol ALL -SSLv2 -SSLv3

SSLCipherSuite ALL:!aNULL:!eNULL:!EXPORT:!PSK:!MD5:!RC4:!DES

Listen 443

AddType application/x-x509-ca-cert .crt

AddType application/x-pkcs7-crl .crl

ps. 2015 – 03 – 17 추가내용.

음 yum 이 나왔다.

1	~]# yum -y update openssl

설치 이후 체인지 로그에서 fix 가 된것을 확인할 수 있겠다.

1 2	~]# rpm -q --changelog openssl \| grep CVE-2015-0204 - fix CVE-2015-0204 - remove support for RSA ephemeral keys for non-export

umount 가 진행되지 않을 경우(device is busy)

umount 명령을 내렸을때

umount : device is busy

라는 에러가 발생하며 umount 가 안될때 사용할 수 있는 방법이다.

1. 먼저 해당 디바이스 사용자가 누구인지 확인.

1	~]# fuser -cu /home/xxxx

2. 해당 마운트 지점을 사용하는 프로세스 kill

1	~]# fuser -ck /home/xxxx

음~ 추가적으로 원격으로 작업할때는 일반적으로 자신도 user 로 붙어서 사용하기 마련인데.

만약 자신이 로그인한 아이디가 위의 /home 일경우 위 명령어로 프로세스 kill을 시키면

자신의 접속이 끊어지게 되겠다 ‘ㅅ’a

자신이 로그인한 계정의 home 디렉토리를 다른쪽으로 옴겨둔뒤에 umount 를 진행하자 ‘ㅅ’a

ps. 계정의 home 디렉토리를 수정하는 명령어.

1	~]# usermod -d /var/www remote_id(로그인한아이디겠지)

mod_ruid2 의 사용.

mod_ruid2 는 suphp 와 같은 각 계정의 권한으로 실행되게 해주는 DSO 모듈이다.

suphp 는 DSO 가 아니고 apache 1.x 에서 동작하는데 이건 apache2 용이라고 보면 되겠다.

http://sourceforge.net/projects/mod-ruid

소스는 소스포지에서 & 설치는 매우 간단하다. ‘ㅅ’a

1

2

3

4

5

6

~]# yum install libcap-devel

~]# cd ./package

~]# tar xfp mod_ruid2-0.9.8.tar

~]# cd mod_ruid2-0.9.8

~]# /usr/local/apache/bin/apxs -a -i -l cap -c mod_ruid2.c

음 그냥 무난하고 설치도 빠르다. 그리고 설정도 간단하다.

1

2

3

4

5

6

<VirtualHost *:80>

DocumentRoot /var/www/계정아이디/html

ServerName www.도메인.주소

ServerAlias 도메인.주소

RUidGid 계정아이디 그룹

</VirtualHost>

엔드유져는 웹에서 생성한 파일을 ftp로 직접 수정을 할수 있고

퍼미션 변경등의 행위가 불필요 하기 때문에 매우 편리하다.

심지어 쉬운설치 를 지원하는 XE 혹은 wordpress 의 경우 Ftp 정보 입력없이 플러그인 이나

위젯 설치가 가능한 장점이 있다.

이보다 설정이 간단할수는 없지만 함정이 있다.

mod_security2 와 권한 문제로 충돌한다. 물론 apache 를 MPM_ITK 로 했을경우에도 충돌한다.

여기서 수 많은 삽질을 해보았다. 모드시큐리티는 해야하기 때문에 ‘ㅅ’a

아파치 8080포트 nginx 80 포트 로 리버스 프로시를 구성해서 nginx 에서 mod_security2 를 돌리고

프록시를 해서 아파치에서 웹서비스를 가동하는 방법 으로 구성은 했었지만 서비스 운용이

불가능하였다 (많은 문제가 있음 : nginx – mod_security2 가 안정적이지 않다.)

apache – apache(프록시) 를 구성해서 해결을 해볼수도 있겠다. 이건 시도하지 않았다.

다만 구성상 가능할것으로 판단 된다.

프록시를 한경우 mod_remoteip (아파치2.4 내장) 모듈로 프록시 되어온 실제 IP를 log로 남기는

작업을 별도로 할수 있다.

현재 어찌어찌 하여 하나의 아파치2.4 서버에 mod_ruid2 및 mod_security2 를 운영하고 있다.

현재 error_log에 문제가 발생하고 있지는 않지만 좀더 지켜본 뒤 정리해서 업데이트를 하도록 하겠다.

(안정화 테스트중…)

20150216_PicPick_163016

2015-11-10 추가 내용: ruid2 사용시 php.ini 의 session.gc_maxlifetime 에 의해 세션이 자동삭제가되지 않는 증상이 확인 되었고 이를 해결하기 위해 명령어를 주기적(cron등록)으로 실행하여 삭제를 합니다.
*- 세션처리를 file 형태가 아닌 memcached 등을 이용한경우 필요가 없음. -*

1 2	## RUID2 에 의한 session.gc_maxlifetime 자동처리 불가에 따른 세션 삭제 로직. find /tmp -type f -name 'sess_*' -cmin +24 -exec rm -f {} \;

/tmp <—— 세션 디렉토리 선언에 따라 변경할것.
-cmin +24 <—— 세션이 만들어진지 24분이 초과 한경우(필요시 변경)

사유: 폴더 안에 약 32000여개 이상의 파일이 만들어질 경우 해당 폴더에 접근하는 시간이 늦어질수 있음
(파티션종류에 따라 틀림) 즉 웹서버 성능저하가 올수 있음. 때문에 필히 필요한 부분 ‘ㅅ’a