ab: Linux web test tool

ref: http://faq.hostway.co.kr/?mid=Linux_WEB&sort_index=readed_count&document_srl=1235&order_type=desc


Apache web server 등이 초당 얼마나 많은 요청을 처리할 수 있는지 측정하는 툴이다


Options


 -k

HTTP Keep-Alive 기능 사용 

-i 

GET 대신 HEAD 사용 

-n [REQUEST_COUNT] 

측정할 요청 수 지정 기본값 1

-t [TIME_LIMIT_SEC] 

측정할 시간 지정. 미지정시 세션에 대하여 50000개의 요청 자동 정의 

-c [SIMULTANEOUSLY_REQUEST_COUNT] 

동시 요청 수 지정. 기본값 1 

-p  [FILE]

POST 요청 및 파일 지정 

-A USER:PASS

사용자 인증

-p USER:PASS 

프록시 서버로의 인증 

-C COOKIE=VALUE 

요청에 쿠키 추가 

-H [HEADER] 

요청에 임의 헤더 추가 

 -T [CONTENT-TYPE]

POST 데이터의 content-type 헤더 지정 

-v 

출력 레벨 지정. 4: 결가괎 상단에 헤더 출력, 3: 결과 상단에 응답코드 출력, 2: 경고,정보 출력 

 -w

HTML table로 결과 출력 

-x <table [ATTRIBUTES]>

HTML <table>에 대한 속성 지정 

-y <tr [ATT]> 

<tr> 속성 지정 

-z <td [ATT]>

<td> 속성 지정 

-V 

버전 정보 출력 후 종료 

-h 

help 


Examples


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
[root@LOCALHOST ~]# ab -n 100 -c 10 http://localhost/
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/
 
Benchmarking localhost (be patient).....done
 
 
Server Software:        Apache/2.2.15
Server Hostname:        localhost
Server Port:            80
 
Document Path:          /
Document Length:        4961 bytes
 
Concurrency Level:      10
Time taken for tests:   0.014 seconds
Complete requests:      100
Failed requests:        0
Write errors:           0
Non-2xx responses:      103
Total transferred:      531377 bytes
HTML transferred:       510983 bytes
Requests per second:    7204.09 [#/sec] (mean)
Time per request:       1.388 [ms] (mean)
Time per request:       0.139 [ms] (mean, across all concurrent requests)
Transfer rate:          37383.68 [Kbytes/sec] received
 
Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    0   0.2      0       1
Processing:     0    1   0.4      1       2
Waiting:        0    1   0.4      1       2
Total:          1    1   0.3      1       2
 
Percentage of the requests served within a certain time (ms)
  50%      1
  66%      1
  75%      1
  80%      1
  90%      2
  95%      2
  98%      2
  99%      2
 100%      2 (longest request)
 
cs


저작자표시 비영리 변경금지

'System Engineering > Linux' 카테고리의 다른 글

Check the disk type in linux (ubuntu)  (0) 2019.11.07
Bash: sed  (0) 2019.05.07
Find files and directory which is using disks very highly  (0) 2018.08.17
Check and recover disk badblocks  (0) 2018.08.16
Apache: Security settings  (0) 2018.08.03

MRTG (Multi Router Traffic Grapher)


ref: http://dpnm.postech.ac.kr/MRTG/mrtg-intro.html


MRTG에 대한 이미지 검색결과


SNMP agent    -->    Manager 로 보내는 자료를 그래픽으로 보여주는 TOOL

Network-link에서 트래픽 부하 감시

WEB UI

Perl, C 기반

설정, 확장 기능이 좋음

에러 패킷 수, 시스템 로드, 모뎀 상태 등 SNMP 변수 쉽게 모니터링


로그 파일이 하디드스크의 용량을 많이 차지 하지 않도록 통합 알고리즘 사용(consolidation)

각 인터페이스 정보를 4단계로 지정. 최근 33시간, 주 , 월, 년 간의 정보

semi-automatic configuration tool


SNMP를 이용하여 기본적인 시스템과 인터페이스 정보 이용

CFG 파일을 사용하여 configuration file 설정

HTML 문서 형식으로 관리가 쉬움

로그 영역: 1200 item = 75MB


How to use


모니터링 대상 라우터에 대한 config file 생성하여 html file에 link 시켜 사용


config file 구성 > mrtg.cfg 파일에 WorkDir 추가 > mrtg 컴파일 > WebUI 구축 > crontab에 mrtg 작업 등록

저작자표시 비영리 변경금지

'System Engineering > Network' 카테고리의 다른 글

nc: Remote port check on remote host in Linux  (0) 2018.11.06
Protocol: SNMP  (0) 2018.08.21
HTTP Header Sample Analysis - www.ebay.com  (0) 2018.07.24
HTTP Header Sample Analysis - www.amazon.com  (0) 2018.07.24
HTTP Header Sample Analysis - Google.com  (0) 2018.07.24

SNMP (Simple Network Management Protocol)

네트워크 장비 간 네트워크 관리 및 전송을 위한 프로토콜. UDP / IP (161번 포트) 상에서 동작하는 비교적 단순한 형태의 메시지 교환형 네트워크 관리 프로토콜이다. 구조가 간단하며, 쉽게 관리 적용이 가능. 정보 지향적 동작 구조로, 특정 정보 변수에 대한 단순한 요청/응답 메커니즘 (GET / SET)을 사용한다. Manager - Agent 형태로 동작한다.



2개의 다른 정보 구조 프로토콜과 함께 사용: SMI & MIB

-       SMI (Structure of Management Information)
관리 정보 구조. 변수 작명, 변수 유형, 객체 및 값들을 부호화 등의 규칙. 장비마다 다르게 표현될 수 있는 MIB 객체의 표현 동질성을 유지하는 표준

-       MIB (Management Information Base)
관리 특성을 묘사하는 변수 객체들의 모음



SNMP 장비 구분

Manager (Network Management System)

호스트 등의 관리 시스템. 관리용 메시지를 에이전트에 요청 및 모니터링. Manager S/W, HP OpenView, MRTG, TWSNMP

Agent (Managed Device)

허브, 라우터, 스위치, 브리지, 호스트 등 관리되는 장비. Agent S/W, MIB. 자비 동작에 필요한 변수, 상태 정보 등을 데이터베이스화 하여 유지



SNMP 동작 방식

ManagerAgent에 관리 정보를 요청, agent가 생산하는 MIB 데이터를 통해 관리 역할 수행. MIB에서 Get, Set 등의 명령을 통해 상호 데이터 교환. OSI ASN.1/BER 문법체계를 따른다.



저작자표시 비영리 변경금지

'System Engineering > Network' 카테고리의 다른 글

nc: Remote port check on remote host in Linux  (0) 2018.11.06
Tool: MRTG  (0) 2018.08.28
HTTP Header Sample Analysis - www.ebay.com  (0) 2018.07.24
HTTP Header Sample Analysis - www.amazon.com  (0) 2018.07.24
HTTP Header Sample Analysis - Google.com  (0) 2018.07.24

Find files and directory in Linux

리눅스 상에서 파일, 디렉토리 찾기

du (Disk Usage)

Check linux directory usage

디스크 사용량 체크 명령어

1
# du [OPTIONS] [FILE]
cs


1
2
3
4
5
6
7
to check directory’s usage
# du -hs DIR
to check files and directory’s usage in current directory
# du -hs *
to limit recursive directory depth
# du --max-depth=1
 
cs


 -h

--human-readable 

-s 

--summarize: display only a total for each argument 

-x 

--one-file-system: skip directories on different file system 



grep

Print matching line

패턴과 매치되는 파일 또는 디렉터리 출력

1
2
3
# grep [OPTIONS] PATTERN [FILE]
 
egrep == grep -E
cs


-E 

--extended-regexp 

-v 

--invert-match 

-c 

count lines 

-i 

case insensitive 

-n 

set line number 

-l 

print matching file name 

-w 

print line with perfect match 



sort

Sorting list of files

출력하는 내용을 옵션에 따라 정렬해주는 명령

-r 

--reverse 

-h 

--human-numeric-sort: compare according to general numerical value 


head

Print top to N lines

출력 시 위에서 N 번째 줄 까지 출력

1
# head -n 20
cs


xarg

Make a command line on standard input and execute them.

표준 입력으로부터 명령을 받아 실행하는 명령으로, ls 명령과 조합하여 각 ls 명령 결과 줄에 따른 명령을 다시 실행할 수 있다.

1
# xarg -i [replace-str]
cs


-I or i 

replace with replace-str 



Sample

du -h --max-depth=1 * |sort -hr |head

ls | egrep -v "cache|proc" | xargs -i du -sh {} |sort -h


저작자표시 비영리 변경금지

'System Engineering > Linux' 카테고리의 다른 글

Bash: sed  (0) 2019.05.07
Tools: ab  (0) 2018.08.30
Check and recover disk badblocks  (0) 2018.08.16
Apache: Security settings  (0) 2018.08.03
Apache: httpd set-up  (0) 2018.08.03

Disk Check

Badblock

블록은 OS 상의 파일 시스템에서 파일이 저장되는 단위를 의미한다. 각 파일 시스템에 따라 그 크기가 자동으로 결정되며, 수동으로 설정할 수 있다.

1
# dumpe2fs -h /dev/DEV_NAME
cs


위의 유틸을 통해 해당 디스크 디바이스의 블록을 확인할 수 있다.


이 블록에 문제가 생겨 파일 시스템에 파일을 읽고 쓰는 것이 정상적으로 동작하지 않는 경우, 배드블록 (badblock)으로 판단한다.

배드블록이 생성된 디스크를 계속 사용하게 되면, 운용중인 장비가 다운되는 등 치명적인 문제가 발생할 수 있으므로, 교체 해주는 것이 좋다.


중요 데이터의 경우, 하기의 복구 과정 이후에 백업을 필수로 시행하고, 디스크를 빠른 시일 내에 교체하는 것이 좋다.


1
# badblocks -v /dev/DEV_NAME
cs

badblocks 명령을 사용하여 해당 장치의 배드블록을 검사할 수 있다. -o 옵션을 추가하여 해당 블록의 번호를 출력할 수 있다.



File System recovery

리눅스 상에서 파일 시스템을 검사하거나 복구하는 유틸을 사용하여 디스크 상태를 확인할 수 있다.

1
# fsck [-t FILE_SYSTEM] /dev/DEV_NAME
cs


fsck 명령을 이용하여 해당 디스크의 상태를 체크할 수 있으며, 5개의 phase를 거치게 된다.


Phase1

Check blocks and sizes

Phase2

Check Pathnames

Phase3

Check connectivity

Phase4

Check reference counts

Phase5

Check cycle groups

검사 후 복구하기 위해서는 a(묻지 않고 복구) 또는 r(물어본 후 복구) 옵션을 사용하면 된다.

Lost+Found

리눅스 파일 시스템에서 자주 볼 수 있는 디렉토리로, 모든 파일 시스템은 자신의 루트 디렉토리에 이 디렉토리를 가져야 하며, newfs에 의해 생성된다. 존재하지 않을 경우, /etc/mklost+found 명령으로 생성할 수 있다.
fsck는 문제가 있는 파일을 이 디렉토리에 위치시킨다.


DELL OMSA (Open Manage) Badblock recovery

virtual disk bad block medium error

To display the controller ID

1
# omreport storage controller
cs


To display the Controller's Virtual Disk

1
# omreport storage vdisk controller=ID
cs


To clear the blocks

1
# omconfig storage vdisk action=clearvdbadblocks controller=C_ID vdisk=VD_ID
cs


저작자표시 비영리 변경금지

'System Engineering > Linux' 카테고리의 다른 글

Tools: ab  (0) 2018.08.30
Find files and directory which is using disks very highly  (0) 2018.08.17
Apache: Security settings  (0) 2018.08.03
Apache: httpd set-up  (0) 2018.08.03
DNS on Linux: BIND  (0) 2018.07.27

Apache security

SSL/TLS

HTTP server and client can use security channel. SSL/TLS is the answer.
HTTP over SSL uses 443 port to establish connection.
Apache uses mod_ssl to using HTTPS.

With ISRG Internet Security Research Group, we can use free SSL certification.
(But it has to renew every 90 days)

The Link above is the guide to install SSL certification via certbot utility.


After installation, you can check the httpd configuration file.


1
2
3
4
5
6
7
8
9
RewriteEngine on
RewriteCond %{SERVER_NAME} =www1.hy.cdn-cpart.site
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [L,NE,R=permanent]
 
<IfModule mod_ssl.c>
NameVirtualHost *:443
</IfModule>
Include /etc/httpd/conf/httpd-le-ssl.conf
 
cs

Rewrite*

Redirect the http connection request to https connection

Include ...

httpd-le-ssl.conf is the virtual host configuration file that using https connection

In the ssl configuration file

1
2
3
SSLCertificateFile /etc/letsencrypt/live/www1.hy.cdn-cpart.site/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www1.hy.cdn-cpart.site/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/www1.hy.cdn-cpart.site/chain.pem
cs


You can check the SSL certification, private key, and CA's certification.



Security Configuration

- AllowOverride FileInfo: To control file upload

- Header set X-XXS-Protection "1; mode=block": To prevent XSS (Cross Site Scripting) attack

- Block remote root login

- Use normal user on User/Group account in apache

- Directory Indexes removal

- FollowSymLinks removal

- LimitReqeustBody: To limit the file upload size

- Stop the unused / weak services



CORS

Set Header set Access-Control-* on the apache


저작자표시 비영리 변경금지

'System Engineering > Linux' 카테고리의 다른 글

Find files and directory which is using disks very highly  (0) 2018.08.17
Check and recover disk badblocks  (0) 2018.08.16
Apache: httpd set-up  (0) 2018.08.03
DNS on Linux: BIND  (0) 2018.07.27
DNS Query Tools: nslookup and dig  (0) 2018.07.27

Apache

Install

Install httpd via yum

1
yum install httpd
cs


Virtual Host

1
2
3
4
5
6
7
8
9
vi /etc/httpd/conf/httpd.conf
 
Listen 80
 
NameVirtualHost *:80
<VirtualHost *:80>
    ServerName www.DOMAIN
    DocumentRoot /var/www/html/DIR_DOC_ROOT
</VirtualHost>
cs


Listen on 80 port via http

NameVirtualHost

Set the virtual host with IP address and port.

<VirtualHost>

Take the server's info.
You can use multiple virtual hosts with IP address-based, domain-based, port-based method.


Before you start the httpd service, you have to check system's firewall policy which is 'iptables'


MIME-Type

1
2
3
vi /etc/httpd/conf/httpd.conf
 
TypesConfig /etc/mime.types
cs


You can set the MIME-Types on the file. Or, use AddType like this.


1
2
3
vi /etc/httpd/conf/httpd.conf
 
AddType application/x-tar .tgz
cs


And here is the DefaultType that is considered when MIME-type is not set.


1
DefaultType text/plain
cs



Content Compression

1
LoadModule deflate_module modules/mod_deflate.so
cs


To transfer compressed content, Apache uses mod_deflate module. It is default module after Apache 2.2.


1
2
3
4
5
6
7
8
9
10
11
12
vi /etc/httpd/conf/httpd.conf
 
<IfModule mod_deflate.c>
    AddOutputFilterByType DEFLATE text/html
 
    DeflateCompressionLevel 9
 
    BrowserMatch ^Mozilla/4 gzip-only-text/html
    BrowserMatch ^Mozilla/4\.0[678] no-gzip
    BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
 
</IfModule>
cs


AddOutputFilterByType DEFLATE

Using deflate module to compress specific type

DeflateCompressionLevel

Set the level of compression. The value is in range(1 ~ 9) that higher number means high compression rate and need more CPU resources.

BrowserMatch

To take care of User-Agent which is the browser and it's bug.

- Mozilla/4 and 4.x has issue that it could not take the deflate filter.
- Microsoft Internet Explorer notify to server that Mozilla/4 itself.

1
Content-Encoding: gzip
cs

You can check the compressed content via header in the browser's development mode.

gzip

GNU zip file format which is Lempel-Ziv coding combination with 32bit CRC

deflate

zlib data format combination with deflate compression mechanism.



Cache-Control

Apache uses mod_expires module to control Expires and Cache-Control: max-age HTTP headers.

1
2
3
4
5
6
vi ./httpd.conf
 
<IfModule mod_expires.c>
        ExpiresActive On
        ExpiresByType text/html "access plus 1 minutes"
</IfModule>
cs



저작자표시 비영리 변경금지

'System Engineering > Linux' 카테고리의 다른 글

Check and recover disk badblocks  (0) 2018.08.16
Apache: Security settings  (0) 2018.08.03
DNS on Linux: BIND  (0) 2018.07.27
DNS Query Tools: nslookup and dig  (0) 2018.07.27
SSH security settings  (0) 2018.07.27

BIND


bind: dns 서버 구축 프로그램


bind-utils: DNS 서버 질의를 위해 사용되는 유틸리티 제공


bind-libs: bindbind-utils가 사용하는 라이브러리 패키지


bind-chroot: chroot 환경에서 bind 사용을 위한 파일 제공


Install bind

1
yum install bind*
cs




DNS는 기본적으로 UDP 53번 포트로 동작하며, DNS 헤더를 포함한 메시지 크기가 512바이트를 초과할 경우에 TCP 53번 포트로 변경하여 동작하도록 설

계되어 있다. 또한, 마스터와 슬레이브 네임 서버 간, 존 전송 시에도 많은 양의 데이터를 전송하기 때문에 TCP를 사용한다.

/var/named/named.ca 루트 네임 서버는 전 세계 13개로 운영되며, TCP로 동작하게 되어 부하를 발생하지 않게 하기 위함이다.

루트 네임서버 정보 갱신은 rs.internic.net/domain/named.root 파일을 다운받아 named.ca파일을 덮어 씌우면 된다.



bind settings

/etc/named.conf

1
2
3
4
5
zone "." IN {
        type hint;
        file "named.ca";
};
 
cs



chroot

보안 등의 이유로 가상의 새로운 루트 디렉토리를 지정하여 서비스를 사용하도록 하는 것. DNS 서비스의 경우, /var/named/chroot를 최상위 디렉토리로 인식하게 하여 사용한다.


OPTIONS section in named.conf

1
2
3
4
5
6
7
8
9
10
11
12
options {
//      listen-on port 53 { 127.0.0.1; };
        listen-on port 53 { any; };
//      listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
//      allow-query     { localhost; };
//      allow-transfer  { ; };  2nd NS's address
//      masters { ; }; master NS's address in 2nd NS
 
cs


외부 접근 설정, 2차 네임 서버 또는 마스터 네임 서버 지정 옵션 등 추가


/etc/resolve.conf - 리졸버 설정 파일

1
2
3
4
search sample-test.com
nameserver 119.
nameserver 168.
 
cs

자신의 도메인을 search 지시자에 명시하고, 네임서버로 사용할 자신의 IPnameserver 지시자에 명시한다.


/etc/host.conf - 호스트 설정 파일

1
2
3
multi on
order hosts, bind
 
cs

hosts 파일과 DNS 질의 순서 설정.
multi: 시스템 내의 hosts 파일에 복수의 IP 주소를 설정하는 옵션


/etc/named.rfc1912.zones - 각 존 파일 명시

1
2
3
4
5
6
zone "sample-test.com" IN {
        type master;
        file "sample-test.com.zone";
        allow-update { none; };
};
 
cs

-       /etc/named.rfc1912.zones 파일에 도메인 존 추가 및 존 파일 명시 (이 경우 named.conf 파일에 includenamed.rfc1912.zones 파일을 명시해야 한다. 아닐경우 /etc/named.conf에 작성)


/var/named/new_zone.zone - DNS 데이터베이스 존 파일

1
2
3
4
5
6
7
8
9
10
11
12
13
14
$TTL 1D
@       IN SOA  ns.sample-test.com.     admin.sample-test.com. (
                                        20180727        ; serial
                                        1D              ; refresh
                                        1H              ; retry
                                        1W              ; expire
                                        1D )            ; minimum
        IN NS           ns.sample-test.com.
        IN A            119.x.x.x
ns      IN A            119.x.x.x
www     IN A            119.x.x.x
web     IN CNAME        www
;       IN NS           ns2.sample-test.com.
;ns2    IN A            IPv4_address_of_2nd_NS
cs

-       Zone 파일 상단에 TTL 기본 값을 명시해 준다.

-       @은 현재 zone을 의미하며, SOA에 권한을 가진 네임 서버를 명시하고, 관리자 메일을 적는다. @의 혼용을 막기 위해 ‘.’을 사용한다.

n  Serial: zone 파일 레코드의 갱신 정보. 보통 생성/수정된 날짜를 작성

n  Refresh: 서브 네임 서버가 마스터 네임 서버의 갱신 내용을 확인하기 위해 체크하는 시간

n  Retry: 서브 네임 서버가 마스터 네임 서버에 접속 시도 실패 시, 재시도할 시간

n  Expire: 서브 네임 서버가 가져온 마스터 네임서버의 정보의 만료 시간

n Minimum: TTL 값 설정 부분. 존 파일 상단 $TTL과 같음


Access control on zone file

1
2
3
[root@localhost ~]# ll /var/named/sample-test.com.zone
-rw-r--r-- 1 root named 340 Jul 27 14:33 /var/named/sample-test.com.zone
 
cs

-       named 데몬에서 접근 가능하도록 존 파일의 소유권을 변경해 준다.

-       named-checkconf: named.conf 파일 유효성 검사 유틸
named-checkzone: zone 파일 유효성 검사 유틸


Restart the named

1
2
3
4
[root@localhost ~]# service named restart
Stopping named: .                                          [  OK  ]
Starting named:                                            [  OK  ]
 
cs



1
2
3
4
5
[root@localhost ~]# ss -ant
State      Recv-Q Send-Q        Local Address:Port          Peer Address:Port
LISTEN     0      3            119.x.x.x:53                       *:*
LISTEN     0      3                 127.0.0.1:53                       *:*
 
cs


Test with dig or nslookup


저작자표시 비영리 변경금지

'System Engineering > Linux' 카테고리의 다른 글

Apache: Security settings  (0) 2018.08.03
Apache: httpd set-up  (0) 2018.08.03
DNS Query Tools: nslookup and dig  (0) 2018.07.27
SSH security settings  (0) 2018.07.27
HTTP Header Sample Analysis - www.daum.net  (0) 2018.07.24

DNS Query Tools

nslookup

n  nslookup [DOMAIN]: 해당 도메인의 IP 주소 출력

n  nslookup [IP]: 해당 IP의 도메인 출력 (Reverse DNS lookup)

n  nslookup -type=[RECORD_TYPE] [DOMAIN]: 해당 레코드 타입 쿼리 수행

n  set [OPTIONS]를 통해 옵션 값 설정

n  set all: 적용된 옵션 값 출력



dig

n  dig @NS DOMAIN [QUERY_TYPE] [QUERY_CLASS]: 해당 네임 서버로 도메인과 관련된 옵션 지정 후 질의


-b

Source IP를 다른 IP로 지정

-f

Batch 동작 시 파일 이름 지정

-m

Debugging

-4/-6

IP 버전 강제 지정

-t

레코드 타입

-c

클래스

-x

Reverse lookup

+trace

루트 네임서버부터 경로 추적

+short/comments/question/
authority/additional/stats

section만 출력

+all

모든 section 출력

+multiline

긴 레코드 라인 형식으로 출력

 


저작자표시 비영리 변경금지

'System Engineering > Linux' 카테고리의 다른 글

Apache: httpd set-up  (0) 2018.08.03
DNS on Linux: BIND  (0) 2018.07.27
SSH security settings  (0) 2018.07.27
HTTP Header Sample Analysis - www.daum.net  (0) 2018.07.24
FTP server set up  (0) 2018.06.16

SSH security settings

Add wheel group user

1
2
[root@localhost ~]# useradd -G wheel user_name
 
cs

Or you can edit /etc/group directly


wheel 그룹에 속한 사용자를 만들거나 그룹에 추가


Edit /etc/pam.d/su

1
2
3
4
5
6
7
8
9
10
11
12
13
#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid
auth            include         system-auth
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         optional        pam_xauth.so
 
cs

pam_wheel.so use_uid 부분을 추가


Change group of su command and edit acl

1
2
3
4
5
[root@localhost ~]# which su
/bin/su
[root@localhost ~]# ll /bin/su
-rwsr-x---1 root wheel 34904 Nov 23  2013 /bin/su
 
cs

wheel 그룹으로 제한할 명령어의 접근 권한을 변경

4750 - 750 means rwx r-x --- and 4 means set UID

setUID 설정으로 root 계정 외에는 해당 파일을 변경할 수 없게 설정

Set sshd to do not permit root access

Edit /etc/ssh/sshd_config

1
2
42 PermitRootLogin no
 
cs

ssh로 root 접근이 불가하도록 ssh 데몬 설정 파일 수정


* You can do this sequence at sudo command

저작자표시 비영리 변경금지

'System Engineering > Linux' 카테고리의 다른 글

DNS on Linux: BIND  (0) 2018.07.27
DNS Query Tools: nslookup and dig  (0) 2018.07.27
HTTP Header Sample Analysis - www.daum.net  (0) 2018.07.24
FTP server set up  (0) 2018.06.16
Linux: swap  (0) 2018.06.11

+ Recent posts

티스토리툴바