Oracle Linux 8 (arm64) 서버에 mariadb 10.7 설치

Oracle Cloud Infrastructure (https://www.oracle.com/kr/cloud/free/)

에서 무료로 제공 되고 있는 서버중 Ampere 를 이용한 인스턴스(VM.Standard.A1.Flex)를 확보 하게 되었다 ‘ㅅ’a (평생 무료)

2코어 12GB 램을 가지고 있어서 활용 방법을 구상 하다가 개인의 DB 서버를 구축을 해서 운용 하면 좋을것으로 판단되어서 mariadb 10.7을 설치 하고

현재 웹사이트인 www.enteroa.com 의 데이터베이스 서버로 활용을 하기로 하였다.

 

서버 확보가 쉽지 않았지만… (무료 인스턴스 제공 갯수 제한이 있어 Out of host capacity 오류로 생성이 잘 되지 않는다.)

 

먼저 서버의 시간을 지정 하고 OS 업데이트를 진행 한뒤 재부팅 및 기본 적인 설정을 한다.

 

이후 mariadb.org 에서 현재 상황에 맞게 설치를 진행 한다. (https://mariadb.org/download/?t=repo-config&d=Red+Hat+EL+8+%28ARM64%29&v=10.7&r_m=yongbok)

2022-04-27_101422

오라클 리눅스는 기본적으로 RHEL 8 의 복제판 이기 때문에 RHEL 8(ARM64)을 선택하고 RC 가 아닌 최신 10.7 버전을 선택 하였다.

 

이후 안내 되는 내용에 따라 /etc/yum.repos.d/MariaDB.repo 파일을 생성 하여 아래와 같이 입력 한다.

 

dnf 명령어를 이용하여 설치를 하고 서비스 활성화 및 데몬을 실행 시킨다.

 

AWS 의 경우 방화벽이 서버 밖에 테이블 형태로 제어 되지만 오라클 클라우드 의 경우 서버내의 firewalld 으로 제어 되기 때문에 방화벽에서 mysql 서비스를 외부 접근을 허용 한다.

 

데이터베이스 서버에 불필요한 일부 데몬(atd, gssproxy, rpcbind)을 정지 한다. (메모리 절감)

 

기본 인코딩을 설정하고 및 로깅을 위해 /etc/my.cnf.d/mysql-clients.cnf 파일을 수정 한다. (mariadb 10.7 은 기본 캐릭터셋이 utf8mb3 이다.)

지정한 error 및 slow 로그 생성을 위해서 로그 저장 위치에 폴더를 생성해 준다.

수정한 설정 파일을 적용 하기 위해 mariadb 를 재시작 한다.

 

mysql 로그인을 한뒤  변경된 내용을 확인 한다.

 

불피요한 데이터 베이스인 test 를 삭제 하고 필요한 database 및 로그인 권한을 생성 한다.

 

이제 이용하면 된다 ‘ ㅅ’a

 

git 명령어 사용법

git 은 가능하면 일반 유져 권한으로 하자 ‘ㅅ’a (apache  에서 엑세스가 잘 되려면.)

 

기본적으로 git 은 암호 를 저장하는 store 방식으로 설정을 할 경우 ~/.git-credentials 파일에

https://[아이디]:[패스워드]@깃호스트주소 형태로 평문 저장을 한다. 때문에 보안상 좋지 않다.

 

다만 별도의 config 없이 git 명령어 를 사용할 때 마다 아이디, 패스워드를 입력을 요구 하기 때문에

아래와 같은 명령어로 cache 를 1시간 설정 값을 지정해서 일정 시간 인증을 유지하는 편이 정신건강에 좋다.

git을 이용해서 remote 서버인 origin에 쓰기가 필요한 경우 사용자 정보를 입력 해준다 ‘ㅅ’a

 

더 많은 사용 방법이 있겠지만 대부분 툴을 쓰는 부분이기도 하고 이정도만 알면 shell 에서 사용하는데 무리가 없을듯 하다 ‘ㅅ’a

 

다른 방법으로는 ssh-key 를 만들어서 ssh 방식으로 사용하는 방법이 있다.

1. rsa key 생성

cat 을 통해 확인된 공개 키를 git 서비스를 제공 하는 사이트에 ssh key 등록을 한다.

  • AWS CodeCommit 의경우 IAM – 사용자 – 보안 자격 증명 에 codecommit 용 ssh-key 등록 메뉴가 존재 한다.

2022-04-22_133032

2. config 파일 생성 (키등록후 나온 ssh 키 ID 가 User 값으로 사용 된다.)

 

3. git 을 사용한다 ‘ㅅ’b (ssh 키로 등록해서 사용할 경우 git 주소의 시작이 https 에서 ssh 으로 변경되어야 한다.)

 

AWS 서버 발생 로그의 분리 보관 (amazon-cloudwatch-agent)

서버내 dbus -> rsyslogd 에 의해 수집된 시스템 로그는 /var/log 아래에 파일 형태로 저장 된다.

이는 /etc/logrotate.conf 설정에 따라 서버내에 보관이 된다.

 

다만 보관된 파일의 파일 형태로 저장되어 있기 때문에 구조만 알고 있다면 파일을 삭제 하거나 변조 할 수 있으므로

추후 추적을 용의 하게 하기 위해, 데이터 무결성을 보장하기 위해, 혹은 다중의 서버의 데이터를 모아서 보관 하기위해 log 콜렉팅을 하는것이 일반적인 보안 방법 이다.

 

단순한 rsyslogd 를 이용한 udp 푸시 및 graylog collecting 은 기존에 설명을 했지만

AWS 상에서는 CloudWatch Log 라는 기능을 제공 한다 이를 통해 지표 형태로 보거나 알람 설정등을 할 수 있다.

 

서버에서는 CloudWatch log 쪽으로 데이터를 넣어주는 프로그램을 설치해서 운용 하며 이후

Log 파일의 안전한 분리 보관, 보관 주기 설정, 알람 설정 등을 웹 콘솔상에서 편하게 진행할 수 있다.

 

기존에 centos 7 에서는 yum 을 이용하여 awslogs 라는 프로그램을 설치하여 같은 기능을 사용하고 있었으나

Rockylinux 8 에서는 dnf 패키지가 없는 관계로 RPM 설치를 필요로 한다.

AWS 웹콘솔 에서 IAM 메뉴의 Role (역할) 을 생성 하고 권한을 부여 한다. (중간에 권한은 지정하지 않고 생성 하고 추후 인라인 정책으로 생성 한다.)

2022-04-08_161452 2022-04-08_161613 2022-04-08_162326

 

인라인 정책을 생성 한다. (생성한 정책이 다른 계정 이나 역할에 공통으로 부여할 필요하 있으면 일반 정책 생성 후 연결 한다.)

2022-04-08_162608 2022-04-08_163101 2022-04-08_163232

위 json 정책은 ap-northeast-2 (서울) 리전에 로그 를 쌓는 기능만 허용 하는것으로 제한 하였다.

 

생성된 Role (역할) 을 필요한 EC2에 연결 한다.

2022-04-08_164417 2022-04-08_164648

 

위에서 이야기 했지만 yum(dnf) 설치가 RockyLinux 8 에서 되지 않는다. 때문에 AWS 에서 배포 하는 rpm 파일을 가지고 설치를 진행 한다. (amazon-cloudwatch-agent  설치 메뉴얼)

 

편리하게 사용하라고 대화식 명령어를 실행 하도록 되어 있다.
/opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-config-wizard

하지만 문답 형식의 영어를 읽기도 귀찮고(어렵고) Role (정책)을 부여하여 키없이 로그를 쌓게 하고자 했으나

스크립트에서는 필수적으로 Access Key/Secret Key 를 입력 해야 하는 부분이 있기 때문에 스크립트로 진행이 어렵다.

때문에 /opt/aws/amazon-cloudwatch-agent/bin/config.json 파일을 직접 수정 해 준다. (amazon-cloudwatch-agent 설정 메뉴얼)

위 예제는 apache, php, nginx 등을 dnf(yum) 설치를 한경우 일반 적인 log 포멧의 timestamp를 인식 하도록 정리한 것이다. (secure, message 로그 및 apache, nginx, php-fpm 로그)

필요에 따라 수정을 해서 사용 하도록 한다.

 

이후 다음 명령어로 설정된 config.json 을 점검 하고 문제가 없다면 자동으로 서비스가 시작된다.

 

웹 콘솔 에서 Cloudwatch > 로그 그룹에서 보관 기간 을 설정 하고 로그 데이터가 잘 적재 되고 있는지 확인 한다.

2022-04-08_1810182022-04-08_1649512022-04-08_181557

Docker 빌드 ‘ㅅ’a

Docker 의 는 단순한 가상화 OS 이다 ‘ㅅ’a

보통 OS 테스트를 할때 이용 할수 있다.

일반적인 사용 법은 image 를 pull 해서 받아온다음에 run 을 통해 실행을 시킨다.

 

좀더 깊게 들어가면 엔지니어가 세팅할때 쓴 명령어를 Dockerfile 으로 만들어서 build 명령을 통해서 docker image 를 만들고 배포 할 수 있다.

배포된 이미지는 개발자가 pull 해서 잘 쓸꺼라고 생각한다.

윈도우 에서 C:\ 드라이브에 dockerWORK 이란 폴더를 생성 하고, Dockerfile 이라는 확장자가 없는 txt 파일을 만든다.

주된 내용은 서버에서 apache 2.4 와 php-fpm 7.3.x 를 구성하기 위한 명령어 및 설정값을 수정 하는 명령어 모음 이다.

 

cmd 창을 열어서 아래와 같이 빌드명령을 실행한다.

목적이 Docker hub 에 배포 하기 위함 이므로 내docker ID 인 san0123/ 을 넣고 뒷부분에는 사용한 OS 와 설치되는 서비스 명을 붙여 rocky8-http-php 으로 명명 하였다.

설치하는 목적상 php 버전만 변경 되기 때문에 태그로 php 버전을 명시 하였다. :7.3

–no-cache 옵션은 빌드시 캐쉬된 부분을 무시하는 옵션.(테스트로 빌드를 마구 하다보면 필요한 옵션)

빌드는 실제 서버에서 명령을 실행한것처럼 순차 실행이 되기 때문에 시간은 오래 걸린다.

컴퓨터 사양에 따라 틀리겠지만 위 Dockerfile은 약 4분 가량 소요 되었다.

 

아래와 같이 생성된 docker 이미지를 확인할 수 있다.

 

생성된 이미지는 아래 명령어로 점검을 해보고 나서 배포하는것을 추천한다. (검사 안하고 올리면 위험할수 있다고 경고 나온다.)

 

Docker 허브에 배포를 진행 한다.

배포가 완료 되었다 ‘ㅅ’a

 

2022-01-14_195909

생성한 이미지를 업로드 한뒤에 docker 허브 사이트를 접속 하면 자신이 업로드한 Docker 이미지를 확인할 수 있고

사용 설명등을 써준다 ‘ㅅ’a (누구나 검색해볼수 있기 때문에 영어로 ?)

https://hub.docker.com/r/san0123/rocky8-http-php

 

 

배포된 이미지를 다운 받아 사용 하는 방법은 다음과 같다.

또는 아래와 그림과 같이 이미지에서 run 에서 옵션을 주어 실행하면 된다.

2022-01-18_100246

 

실행 명령어상 자신의 PC의 80 포트는 컨테이너의 apache 의 80 포트로 연결 하고

윈도우의 w:\project-1 경로를 서버내 /var/www/html 으로 연결 하기 때문에 w:\project-1\index.php 를 아래와 같이 생성 하고 브라우져로 http://127.0.0.1 으로 접속 하면 phpinfo 를 확인 할 수 있다.

2022-01-14_194515

httpd 의 access_log, error_log 등은 아래 그림과 같이 도커에서 직접 확인이 가능 하다.

2022-01-18_094532

서버의 터미널 접속은 아래와 같이 docker 프로그램에서 클릭을 통해 접속이 가능 하다.

2022-01-14_195252

cli 접속은 php.ini 혹은 httpd.conf 등을 수정 하려고 했을것이고, 적용을 위해 apache 혹은 php-fpm 을 재시작 해야 하는 경우 아래와 같이 재시작 버튼으로 컨테이너를 재시작을 한다.

2022-01-18_162550

컨테이너 재시작을 하는 경우 CLI 가 닫히는것은 어쩔수 없다…..

Rocky Linuix(v8.5) – nginx(v1.20.1-6) – php-fpm(v8.0.14) 설정

Rocky Linux 8.5 버전에서 nginx – php – mariadb 설치 방법 이다.

 

먼저 OS의 기본적인 설정을 해야 한다.

NetworkManager 를 여전히 사용중이기 때문에 nmtui 명령어로 아래 화면에서 네트워크 설정을 할 수 있다.

2022-01-13_143039

Minimal 설치 기준으로 일반 적인 설정이라고 보면 되겠다 ‘ㅅ’a

  1. atd 데몬을 사용 중지 한다. (보안 취약점이 될 소지가 있다.)
  2. 서버 타임존을 설정한다.
  3. rsyslogd사 설치되어야 로그 감사를 통한 서버 이상을 확인하기 용이 하다. (vim 은 내 친구이기 때문에 설치한다 = =a)
  4. rsyslog를 실행한다.
  5. selinux 이슈 발생시 사유 추적을 위해 분석 스크립트를 설치 한다.

selinux 이슈 발생 추적은 아래 명령어로 진행 한다.

 

 

서버 목적에 따른 firewalld 를 설정 한다.

firewalld 의 경우 전통적인 iptable 를 사용하지 않고 nftable 이란것을 사용하기 때문에 일시 중지를 위해 iptable -F 명령어로 값을 모두 날려도 작동 하지 않으니 유의 하자 ‘ ‘a

기초 사용법은 아래와 같다.

 

 

epel 레포지토리를 설치 하고 업그레이드를 통해 최신화 한다. (리부팅이 필요할지도 ‘ ‘a)

 

php 의 버전 선택 설치를 위해 Remi 레포지토리를 이용 하여 php 8.0 버전을 선택해서 설치 한다. (nginx 역시 1.20 버전으로 선택함)

php-fpm 설치와 라이브러리 설치를 구분한 이유는 일반 php를 설치하게 되면 의존성으로 httpd 가 설치되고 php-fpm 을 설치해야 nginx가 의존 설치 되기 때문이다.

 

MariaDB 10.6 설치 (레포지토리 생성 URL) CentOS 가 아닌 RHEL8의 레포지토리를 사용하였음.

 

/etc/nginx/conf.d/virtual.conf 파일에 가상호스트를 생성하고 php-fpm 과 sock 으로 연결 한다.

일단 여기 까지 진행된 경우 nginx – php – mariadb 조합의 사용이 가능하다.

내부 공용으로 쓰이는 부분은 params 파일로 별도로 만들어서 include 하는편이 좋다. ‘ㅅ’a

 

사이트용 계정 및 phpinfo() 파일을 생성하고 브라우져로 접속하여 확인 해 본다 ‘ㅅ’a

 

WEB 디렉토리를 기본이 아닌 /free/home/계정 으로 진행 했기 때문에 아래와 같이 selinux 설정 하고 적용 한다.

selinux 는 어렵지만 활성화 해두고 쓰면 보안이 매우 강려크 하다.

문제가 발생한경우 setenforce 0 명령어로 감시모드로 전환 하고 sealert 명령어로 예외 추적 하고, context를 추가한 뒤에 다시 setenforce 1 으로 활성화 하는 습관을 가지는게 좋다.

설정된 t콘텍스트 는 ls -lZ /경로/경로 으로 확인할 수 있다.

 

 

snapd 및 certbot (let’s encrypt) 를 설치 한다.

 

certbot을 활용한 인증서 발급 명령어 (nginx acme-challenge 를 설정한 이유는 디렉토리를 고정 사용하기 위해서이다.)

 

nginx ssl 설정은 일반 server { } 설정 사이에 listen 값을 교체 및 ssl 설정을 추가 하면 된다.