tail 명령과 리디렉션(>) 으로 조합해서 할 수 있다.

tail -n [줄 수] [원본 로그 파일 경로] > [백업 파일 경로]

예로, 

tail -n 100 /var/log/syslog > /home/user/syslog_recent_backup.log

로그 파일을 비우는 기능을 사용할때 기존 로그를 전체 백업하긴 부담 스럽다면, 

이렇게 최근 몇줄만 백업하고 나머지는 삭제하는 방법 좋을거 같다.

tail -n 100 /var/log/syslog > /home/user/syslog_recent_backup.log

truncate -s 0 /var/log/syslog

로그파일을 삭제 하지 않고 비우는 방법

1. 로그 파일은 그대로 유지하면서 내용만 비우기 : 수동

- #cat /dev/null > /var/log/syslog

ㄴ파일의 내용을 /dev/null 파일의 빈 내용으로 덮어쓰는 방법

- #truncate -s 0 /var/log/syslog

ㄴ파일 내용을 비운다. 파일의 권한 속성은 그대로 유지 된다.

2. 로그 주기적인 관리 : 자동

- logrotate 도구를 사용해 주기적으로 파일의 일정 수준으로 자동 관리 할 수 있다.

- logrotate 설정은 /etc/logrotate.conf 또는 /etc/logrotate.d/ 하위 설정 파일을 관리를 통해 자동 관리가 가능하다.

* 주의 사항

로그를 비울때는 시스템 또는 실행중인 서비스에 문제가 될 지 검토 후 진행을 하고,

필요시 백업을 하고 비우도록 하자.

복제 서버에서 binlog 포맷을 변경하는 방법이다.

우선, 슬레이브 서버를 멈춘다

mysql>stop slave;

만약 슬레이브서버가 체인 형태로 더 있다면, 모든 slave서버를 중지 시킨다.

두번째로, 마스터서버에서 기존 로그를 닫고 새로 쓸 수 있도록 flush logs를 해준다.

mysql>flush logs;

그리고, binlog format을 원하는 포맷으로 변경한다.

mysql>set global binlog_format = 'ROW';

set global 로 변경했을때는 현재 서비스중인 상태에 적용하는 것으로

만약 서버가 재시작 되면 설정이 이전으로 돌아 가게 된다.

따라서, my.cnf 설정 파일에도 변경된 정보를 추가해 준다.

[root@]# vi /etc/my.cnf

binlog_format = ROW 

추가하고 저장한다.

이미 set global로 설정한 부분이 있으니, 당장은 서버를 재시작 할 필요는 없겠다.

mysql서버를 운영하다 보면 로그파일이 너무 커져 있는 경우가 있다.

주로, general 로그와 slow 로그 일건데..

이 로그를 정리하기 위해서는 간단히

mysql>FLUSH LOGS;

를 이용하면 된다. flush logs는 현재 로그파일을 닫고 새로운 로그 파일을 생성해서 기록하게 해주는 명령어다.

다만, flush logs 했을때 기존 로그 파일들은 수정하고 새로 생성할 수 있는 권한이 있어야 하는데,

로그 기록을 하고 있는 디렉토리에 mysql 계정에 해당 권한이 없으면 정상적으로 동작되지 않는다.

로그 기록되고 있는 위치를 확인하고, mysql 계정이 파일을 수정하고 새로 만들수 있는 권한이 있는지 확인해보기 바란다.

이제, 위와 같이 flush logs로만 로그 파일을 새로 변경하지 못할때 수동으로 변경하는 방법을 해보자.

간단하다.

#1. 로그 기록 설정을 중지하고.

#general log

mysql>SET GLOBAL general_log = 'OFF';

#slow log
mysql>SET GLOBAL slow_query_log = 'OFF';

#2. 기존 로그파일을 백업 또는 삭제한다.
[root@]# mv mysql-slow.log mysql-slow.log.old
[root@]# mv mysqld.log mysqld.log.old

#3. 새로운 로그 파일을 만들고 권한을 부여한다

[root@]# touch mysql-slow.log

[root@]# chown mysql:mysql mysql-slow.log

[root@]# touch mysqld.log

[root@]# chown mysql:mysql mysqld.log

#4. flush logs를 해서 기존 로그 파일을 닫고 새로운 파일에 로그를 기록할 수 있도록 해준다.
mysql>FLUSH LOGS;

#5. 로그기록 설정을 다시 ON으로 변경한다.

mysql>SET GLOBAL general_log = 'ON';
mysql>SET GLOBAL slow_query_log = 'ON';

#6. 로그 기록 상태를 확인해 본다.

웹에서 nodejs 소켓통신시 보안 관련 인증서 이슈가 있다.
클라이언트에서 node서버로 통신에는 문제 없겠으나,
node서버 내에서 통신시 ssl을 적용하지 않으면 문제가 되는 이슈가 있는데,
이를 해결 하기 위해서 node 서버측 스크립트(server.js)에 직접 ssl인증서 정보를 추가하는 방법이 있는데
이는 보안에 취약하다.

그래서, 가상호스트에 Reverse Proxy를 적용해
클라이언트와 서버간 데이타 전송은 ssl로 하고, node서버에서 내부 통신을 통해서 데이타 전송을 하면 보안 이슈가 해결 된다.

아래 클라이언트, 서버 관련 기본 소스와 가상호스트 내용 추가한다.

* 클라이언트 페이지
<script src="socket.io.js"></script>
<script>
var socket = io.connect('https://yourdomain.com', {
requestCert: true,
secure: true,
rejectUnauthorized: false,
transports: ['websocket']  //통신 방법
});
var socketid;
socket.on('connect', function(){
socketid = socket.id;
});
</script>

* node 서버측 스크립트
const os = require('os');
const nodeStatic = require('node-static');
const socketIO = require('socket.io');
const http = require('http');

// 💡 CORS 설정: 클라이언트가 접속하는 도메인으로 변경해야 합니다.
const ALLOWED_ORIGIN = "http://abc.com";

const options = {};

// 모든 네트워크 인터페이스(0.0.0.0)의 3000 포트에서 요청 수신
// Node.js 서버는 HTTP로만 응답하며, SSL 인증서는 Apache가 처리합니다.
var server = http.createServer(options, (req, res) => {
    // '/socket.io/' 경로가 아니거나, 파일이 존재하지 않는 경우 등 필요한 경우에만 정적 파일을 제공
    // Socket.IO는 '/socket.io/' 경로를 내부적으로 처리합니다.
}).listen(3000, '127.0.0.1', () => { // 'localhost' 대신 '0.0.0.0' 사용
    console.log('✅ Socket.IO server started and listening on 127.0.0.1:3000...');
});
// Socket.IO 서버 초기화 및 CORS 옵션 적용
var io = socketIO.listen(server, {
    cors: {
        // 💡 중요: 클라이언트 웹페이지가 로드되는 도메인을 정확히 지정합니다.
        origin: ALLOWED_ORIGIN, 
        methods: ["GET", "POST"],
        credentials: true
    }
});

io.sockets.on('connection', function(socket) { 
    function log() {
        var array = ['[Server Log]'];
        array.push.apply(array, arguments);
        socket.emit('log', array);
    }

    // 클라이언트 연결 이벤트 (Apache 리버스 프록시를 통과한 후)
    log('Client connected. Socket ID:', socket.id);
    
    // 리버스 프록시를 통해 전달된 클라이언트 정보 확인
    // Apache Vhost 설정에서 'X-Real-IP' 헤더를 전달했으므로, 이 정보를 확인할 수 있습니다.
    const realIp = socket.request.headers['x-real-ip'] || socket.request.connection.remoteAddress;
    log(`Client IP (via Proxy): ${realIp}`);

    // 클라이언트가 보낸 연결 확인 이벤트 수신
    socket.on('client_connected', function(data) {
        log(`Client ID confirmation received: ${data.id}`);
        // 여기에 추가적인 인증 또는 초기화 로직을 넣을 수 있습니다.
    });
    
    // 기타 소켓 이벤트 리스너 추가...

});


* 서버의 가상호스트
<VirtualHost *:80>
    ServerName yourdomain.com

    # Rewrite 모듈을 사용하여 HTTPS로 리다이렉트
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>

<VirtualHost *:443>
    ServerName yourdomain.com

    LogLevel        warn
    SSLEngine on
    SSLProtocol -ALL +TLSv1.2
    SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
    SSLCertificateFile      /etc/letsencrypt/live/yourdomain.com/cert.pem
    SSLCertificateKeyFile   /etc/letsencrypt/live/yourdomain.com/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/yourdomain.com/chain.pem

    CustomLog "logs/yourdomain.com-ssl_access_log" combined

#   ProxyRequests Off  # 리버스 프록시 모드로 설정
    ProxyPreserveHost On
    ProxyTimeout 600

    RequestHeader set X-Forwarded-Proto "https"

    # Socket.IO 프록시 설정
    ProxyPass /socket.io/ ws://127.0.0.1:3000/socket.io/
    ProxyPassReverse /socket.io/ ws://127.0.0.1:3000/socket.io/

    # 일반 HTTP(s) 프록시 설정
    ProxyPass / http://127.0.0.1:3000/
    ProxyPassReverse / http://127.0.0.1:3000/
</VirtualHost>

mysql에서 실행되는 쿼리들중 오래 걸리는 쿼리를 확인하기 위해서 slow query 를 설정한다.

방법은

1. my.cnf 에 아래와 같이 입력하고, mysql을 재시작 해주거나

slow_query_log_file = /var/log/mysql-slow.log

long_query_time = 3

slow_query_log = 1

2. mysql 콘솔에서 set global 을 이용해 바로 변경하는 방법이다. 이때 set global은 서버가 재시작 되면 초기화 된다는점을 유념해야 한다.

mysql> set global long_query_time = 1;// 초단위 입력

mysql> set global slow_query_log = 'ON';// ON , OFF

이렇게 하면 느린 쿼리를 확인 할 수 있다.

그런데, 이렇게 했음에도 slow query에 설정된 값보다 작은 시간들의 쿼리 로그가 기록된다면,

예로 long_query_time = 1; 로 1초 이상 쿼리를 로그 기록 하도록 설정 했음에도 1초 미만의 쿼리들이 기록이 된다면, 

설정에서 아래 내용들을 확인해 봐야 한다.

long_query_time이 1초로 설정되어 있는데도 1초 미만의 쿼리가 로그에 기록된다면, 다음을 확인해야 합니다.

• min_examined_row_limit 값: 이 값이 0으로 설정되어 있다면, 실행 시간이 짧더라도 모든 쿼리가 기록될 수 있습니다. 이 값을 적절한 값(예: 1000)으로 변경해야 합니다.
• log_queries_not_using_indexes: 이 설정이 ON으로 되어 있다면, long_query_time에 관계없이 인덱스를 사용하지 않는 쿼리는 모두 로그에 기록됩니다. 이 설정을 OFF로 변경하면 이로 인한 로그 기록을 막을 수 있습니다.

slow query 기록에 영향을 주는 설정값으로는

1. long_query_time : 쿼리 실행 시간

2. min_examined_row_limit : 쿼리 실행시 검사한 쿼리 행의 최소 수

3. og_queries_no_using_indexes  :   : 인덱스를 사용하지 않는 쿼리를 식별하는 설정값으로 'ON/OFF'

여기서 신경 써야 할 것(간과 하는 것)이 

log_queries_no_using_indexes 인데, 이 설정이 'ON'  되어 있을 경우 long_query_time 과 무관히게 로그에 기록한다.

min_examined_row_limit 는 검사한 쿼리의 행 수를 제한 하는 설정으로 0이면 검색한 행의 값이 0개 이더라도, query time 이 1초를 넘으면 기록하게 되어 로그파일 사이즈 증간, 파일 I/O 부하등을 유발 할 수 있어 적당한 값을 설정하는 것을 권고 한다고 한다.

Rocky8 에서 기본 저장소에는 mod_evasive 가 없는거 같다.

그래서, 여기저기 찾아보니 raven 저장소를 설치하면 된다고 한다.

- raven 저장소 설치
#dnf install https://pkgs.sysadmins.ws/el8/base/x86_64/raven-release-1.0-1.el8.noarch.rpm -y

- 확인
#yum repolist
raven                                                                                             Raven's RPM repo for el8-x86_64 - base
raven이 보이면 된다

- raven 저장소에서 mod_evasive 설치하기
#dnf --enablerepo=raven-extra install mod_evasive

- 설치확인
#ls /usr/lib64/httpd/modules/ | grep evasive
mod_evasive 


- 설치가 잘 되었으니, 이제 설정을 해주면 된다.
#vi /etc/httpd/conf.d/mod_evasive.conf

DOSPageCount 5 #동일페이지 요청횟수, DOSPageInterval 에 설정된 초동안 동일 아이피에서 호출할 수 있는 수
DOSSiteCount        50 #기본값
DOSPageInterval     1 #기본값
DOSSiteInterval     1 #기본값
DOSBlockingPeriod   10 #기본값
DOSLogDir   "/var/log/mod_evasive" #로그를 기록하는 디렉토리, 디렉토기 권한 apache에서 쓰기 가능하게 chown apache 권한 준다.
DOSWhitelist    127.0.0.1 192.168.0.* #이 부분도 중요하다. 이 IP들은 ddos 공격형태가 되더라도 접속 허용해주는 설정이다.

이 부분만 수정해 줬다. 
다른 부분은 운영하는 사이트에 맞게 조절해주면 된다.
다만, 너무 값을 낮게 설정하게 되면, 정상적인 트래픽도 차단이 될 수 있으니,
적정한 수를 확인하면서 적용해 주도록 한다.

모두 적용을 했으면, 
#systemctl restart httpd

적용이 잘 되고 있다면,  차단이 되었을때 httpd status에서도 볼 수 있다.
#systemctl status httpd
~~~
~~~
7월 10 14:41:18 svr133 mod_evasive[3269551]: Blacklisting address 112.223.109.114: possible DoS attack.
7월 10 14:43:32 svr133 mod_evasive[3269549]: Blacklisting address 39.119.233.194: possible DoS attack.
7월 10 14:50:42 svr133 mod_evasive[3269551]: Blacklisting address 210.124.191.225: possible DoS attack.
7월 10 14:51:07 svr133 mod_evasive[3269550]: Blacklisting address 221.150.189.139: possible DoS attack.




mod_evasive를 운영하다가 중지를 시키려면,

1. 설정값들을 크게 설정해 주거나, 비활성화(주석)
ㄴex) DOSPageCount 10000 또는 DOSBlockingPeriod 0 으로 해서 설정을 거의 무효화 하는 방식
ㄴex) mod_evasive.conf 에서 <IfModule mod_evasive20.c>~</IfModule> 블럭 전체를 주석처리하는 방식
2. 모듈을 삭제하거나
ㄴdnf remove mod_evasive -y
3. mod_evasive.conf 파일명을 변경 해줘도 된다.
ㄴmv mod_evasive.conf mod_evasive.conf.bak
4. mod_evasive 모듈 로드 되지 않게 하기
ㄴmod_evasive.conf 에서 주석처리해 준다. 
ㄴ#LoadModule evasive20_module modules/mod_evasive.so

편하게 할 수 있는 방법으로 하면된다.
나라면, 파일명 바꾸는 식으로 하겠다.

변경을 했으면,

#systemctl restart httpd

centos 6버젼에서 사용 가능한 저장소 정보

우선, 기존 저장소를 백업하고 내용을 변경한다.

# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/backup/

# vi /etc/yum.repos.d/CentOS-Base.repo

--------------------------------------------------------------------------------------------------------------------------------------------------

#yum clean all

#yum makecache

#yum update -y

위 내용으로 변경 후 yum 업데이트는 정상으로 수행 되었다.

현재(2025년 7월 08일) 사용이 가능한 것으로 확인되었다.

centos7에서 letsencrypt 설치하기
- 일반적으로 certbot 클라이언트를 사용하면 된다. 따라서 certbot 패키지를 설치한다.

1. epel 저장소 활성화 하고.
#yum install epel-release -y

2. certbot설치한다.
#yum install certbot python2-certbot-apache -y

별 문제 없다면 간단히 설치가 가능하다.
이후, 인증서를 생성해서 이용하면된다.


주로 사용하는 명령은,
certbot certonly :: 신규 생성할때
certbot renew :: 갱신할때.
ㄴ실행시 인증과 관련된 문제가 있을때 "--no-verify" 명령 옵션을 넣주고 실행한다.
ㄴ갱신 테스트 해볼때는 "--dry-run" 옵션을 추가해서 실행한다.
cerbot certificates :: 설치된 인증서 확인할때.

centos7에서 zabbix agent 설치하기

#yum search zabbix*
있으면 설치하고 없으면, zabbix 저장소를 추가해준다.

#rpm -Uvh https://repo.zabbix.com/zabbix/6.0/rhel/7/x86_64/zabbix-release-6.0-1.el7.noarch.rpm
추가 완료 한 후

#yum install zabbix-agent -y
설치 완료 후, 설정하기

#vi /etc/zabbix_agentd.conf
-- Server=자빅스서버아이피(192.168.0.1)
-- ServerActive=자빅스서버아이피(192.168.0.1)
-- Hostname=자빅스클라이언트아이피(192.168.0.100)
Server=192.168.0.1
ServerActive=192.168.0.1
Hostname=192.168.0.100

변경 완료 후, agent 시작
#systemctl start zabbix-agent

서버 재시작할때 자동으로 실행하도록 저장
#systemctl enable zabbix-agent

자빅스 서버서 클라이언트 추가해주고, 모니터링 한다.

무료 인증서 letsencrypt 관리 프로그램 certbot 설치하기

letsencrypt 를 설치(dnf install letsencrypt) 후 

기존 사용하던 인증서를 복사해서

renew(certbot renew) 를 해 봤을때, 

실패가 나면서 아래와 같은 오류 메세지가 있다면,

 "The requested apache plugin does not appear to be installed"

certbot 실행에 필요한 apache plugin이 없다는 것이다.

certbot 관련 plugin은 letsencrypt를 설치 후 확인해 보면,

[root@sv]# yum list installed | grep certbot
certbot.noarch                        1.11.0-2.el7                   @epel
python2-certbot.noarch                1.11.0-2.el7                   @epel

두가지만 나오는데,

갱신(renew)시 실패나면서 필요하다는 apache plugin은 없는 상태가.

certbot apache plugin은 찾아보면, python 관련되는 플러그인으로

위에 나온 python2-certbot 유형으로 찾으면 되는데. 

위 의 경우는

python2-certbot-apache 가 필요한 상태이다.

설치는

yum install -y python2-certbot-apache 

하면 된다.

이후 다시 확인해보면,

[root@sv]# yum list installed | grep certbot
certbot.noarch                        1.11.0-2.el7                   @epel
python2-certbot.noarch                1.11.0-2.el7                   @epel

python2-certbot-apache.noarch         1.11.0-1.el7                   @epel

추가된 항목이 보인다.

CentOS 7까지는 위와 같이 하면 될거고,

Rokey linux 에서는

설치된 버젼 확인후 apache plugin을 설치해 주면 된다.

apache plugin까지 설치하고 확인해보면, 아래와 같을 것이다.

[root@svr]# dnf list installed | grep certbot
certbot.noarch                              1.22.0-1.el8                                @epel
python3-certbot.noarch                      1.22.0-1.el8                                @epel
python3-certbot-apache.noarch               1.22.0-1.el8                                @epel

postfix 와 mailx 가 필요하다.

설치 되어 있지 않다면, 설치해 준다.

설치 확인

#dnf list installed | grep postfix

postfix.x86_64                              2:3.5.8-7.el8                               @baseos

# dnf list installed | grep mailx
mailx.x86_64                                12.5-29.el8                                 @baseos

검색 결과가 나오지 않았다면, 설치해 줘야 한다.

#dnf install -y postfix mailx

설치가 완료되면, 필요한 작업을 한다.

나의 경우,

서버 백업 쉘스크립트에서, 담당자에게 메일 보내는 작업에 사용중이다.

php-fpm 사용시

html, php 확장자 사용 관련 수정 사항

/etc/httpd/conf.d/php.conf
에서 

<IfModule  mod_php.c>
    <FilesMatch \.(php|html|phar)$>
        SetHandler application/x-httpd-php
    </FilesMatch>
</IfModule>

<IfModule !mod_php5.c>
  <IfModule !mod_php7.c>
    <IfModule !mod_php.c>
      # Enable http authorization headers
      SetEnvIfNoCase ^Authorization$ "(.+)" HTTP_AUTHORIZATION=$1

      <FilesMatch \.(php|html|phar)$>
          SetHandler "proxy:unix:/run/php-fpm/www.sock|fcgi://localhost"
      </FilesMatch>
    </IfModule>
  </IfModule>
</IfModule>


두 부분에 html 확장자 추가

추가로,
php-fpm 관련 www.conf 파일을 수정해 줘야 한다.

/etc/php-fpm.d/www.conf
#vi /etc/php-fpm.d/www.conf

해당 파일에서 내용중
## 주석해제 후 내용수정
#security.limit_extensions = .php .php3 .php4 .php5 .php7
주석 되어 있던 부분을 해제  하고 .html 을 추가해 준다.
security.limit_extensions = .php .php3 .php4 .php5 .php7 .html


위 부분과 관련한 에러 로그는 아래과 같이 보일 수 있으니 참고 하시라...

[Wed Apr 02 17:59:36.338751 2025] [proxy_fcgi:error] [pid 25475:tid 139693190534912] [client 127.0.0.1:57039] AH01071: Got error 'Access to the script '/home/aaa/404.html' has been denied (see security.limit_extensions)', referer: https://aaa/index.html 

Rokey linux 8에서 모니터링 zabbix-agent 설치하기

Rokey linux 8에서 zabbix는

dnf install 이나, yum install 로 바로 설치 되지 않는다.

레포지토리 관련한 이슈가 있다고 한다.

(자세한건 잘 모름)

그래서, 우선 레포지토리 관련되는 rpm 먼전 설치하고 진행해야 한다.

아래 진행 순서 기록해 둔다.

[root@svr ~]# rpm -Uvh https://repo.zabbix.com/zabbix/6.0/rhel/8/x86_64/zabbix-release-6.0-4.el8.noarch.rpm
https://repo.zabbix.com/zabbix/6.0/rhel/8/x86_64/zabbix-release-6.0-4.el8.noarch.rpm(을)를 복구합니다
경고: /var/tmp/rpm-tmp.CMnyz3: Header V4 RSA/SHA512 Signature, key ID a14fe591: NOKEY
Verifying...                          ################################# [100%]
준비 중...                         ################################# [100%]
Updating / installing...
   1:zabbix-release-6.0-4.el8         ################################# [100%]


[root@svr ~]# dnf install -y zabbix-agent
Zabbix Official Repository -x86_64  302 kB/s | 573 kB     00:01

Zabbix Official Repository (non-supported) - x86_64         1.2 kB/s | 1.4 kB     00:01
Zabbix Official Repository (Agent2 Plugins) -x86_64        1.4 kB/s | 1.7 kB     00:01
종속성이 해결되었습니다.
==================================================================================

꾸러미                     구조                           버전                                 저장소                        크기==================================================================================
설치 중:
 zabbix-agent       x86_64                 6.0.39-release1.el8              zabbix                           585 k

연결 요약
=======================================================================================
설치  1 꾸러미

전체 내려받기 크기: 585 k
설치된 크기 : 2.2 M
꾸러미 내려받기 중:
zabbix-agent-6.0.39-release1.el8.x86_64.rpm                                                       452 kB/s | 585 kB     00:01
-----------------------------------------------------------------------------------------------------------------------------------------------------------------합계                                                                                                                                                                                                                                           451 kB/s | 585 kB     00:01
Zabbix Official Repository - x86_64                                                      1.6 MB/s | 1.7 kB     00:00
GPG키 0xA14FE591 가져오는 중:
사용자 ID : "Zabbix LLC <packager@zabbix.com>"
지문: A184 8F53 52D0 22B9 471D 83D0 082A B56B A14F E591
출처 : /etc/pki/rpm-gpg/RPM-GPG-KEY-ZABBIX-A14FE591
키 가져오기에 성공했습니다
연결 확인 실행 중
연결 확인에 성공했습니다.
연결 시험 실행 중
연결 시험에 성공했습니다.
연결 실행 중
  준비 중     :                                                                                                                                                 1/1
  구현 중     : zabbix-agent-6.0.39-release1.el8.x86_64                                                                               1/1
  설치 중     : zabbix-agent-6.0.39-release1.el8.x86_64                                                                               1/1
  구현 중     : zabbix-agent-6.0.39-release1.el8.x86_64                                                                               1/1
  확인 중     : zabbix-agent-6.0.39-release1.el8.x86_64                                                                               1/1

설치되었습니다:
  zabbix-agent-6.0.39-release1.el8.x86_64

완료되었습니다!


* 설정 파일 수정하기
vi /etc/zabbix/zabbix_agentd.conf

변경할 부분은 
zabbix server IP가 192.168.0.1 이고, 
모니터링 대상 zabbix agent 서버 ip가 192.168.0.2 이라고 할때

Server=192.168.0.1
StartAgents=1
ServerActive=192.168.0.1
Hostname=192.168.0.2

이 정도만 변경 셋팅하면 된다.
이후, 
#systemctl start zabbix-agent
#systemctl enable zabbix-agent

zabbix 설정 끝.

Rokey linux 8 이상 사용시 
이전 centos 7버젼까지 사용하던 
hosts.deny, hosts.allow가 보안상 사용 제외 되었다고 한다.

대신, firewalld 와 iptables를 사용해야 한다는데...
이러면, 개별 서버별로 포트관리나, ip별 접근 제어를 해야 해서 복잡하게 되었다.

업그레이드 해서 좋았는데..
이런 어려움이 있네. 공부해야 하겠다.

어려운 부분은 서버 관리업체에 맏기고,
이전에 하던거 처럼 ssh에 대한 접근 제어만 해보도록 하자.

firewalld, iptables 사용 없이
ssh의 설정을 통해서 한다.

/etc/ssh/sshd_config 파일에서
AllowUsers, DenyUsers, AllowHosts, DenyHosts 를 이용해
적절히 설정하면 된다고 한다.

계정과 ip를 이용해 접근 제어 하려면,
- 허용하는 user
AllowUsers root@192.168.0.1 *@192.168.0.1
- 제외하는 user
DenyUsers root@192.168.0.2

이런 방식으로 하면 되고, 여러개일 경우 콤마나 공백을 띄워서 작성해주면 된다.

IP로 접근 제어를 할때는 
- 허용할때
AllowHosts 192.168.0.0/24 172.16.0.1
- 제외할때
DenyHosts 192.168.0.0/24 172.16.0.1

--> 이 설정 기능은 ssh 최신 버젼에서는 없어졌다고 합니다. AllowUsers, DenyUsers로 이용해야 한다고 합니다.

이렇게 입력하고, 저장 후 sshd를 재시작 해주면 된다.
systemctl sshd restart


centos 7까지의 설정에서는 hosts.deny, hosts.allow 에서 
개별 데몬별로도 설정이 가능했지만, 
현재 rokey linux 8 이상에서는 보안상 이전 방식이 사용되지 않고,
조금 번거롭지만, 개별 서비스별로 설정을 해야 할 거 같다.

mysql 복제 진행중

슬래이브 서버에서 복제 오류가 발생 할 때가 있다.

종종 발생하는 경우가 duplicate entry 관련 에러(1062) 였는데,

이 에러는 간단하게 하나씩 skip 하도록 하면 된다.

stop slave;SET GLOBAL SQL_SLAVE_SKIP_COUNTER=1;start slave;show slave status;

다만, 이렇게 했는데도 duplicate entry 관련 에러(1062)가 계속 난다면,

my.cnf 에 설정을 추가 해 주는 방법이 있다.

#vi my.cnf

#slave-skip-errors = 1062

slave-skip-errors 옵션에는 에러코드를 콤파(,)로 연결해서 여러개 해줄 수도 있다.

#slave-skip-errors = 1061,1062

이렇게 my.cnf에 추가해주고, mysqld 를 재시작해주면 된다.

#service mysqld restart 

위와 같이 해결해주고, 

slave DB를 master DB와 비교해 보고, 운영하기 어려울 정도로 정합성이 깨져 있다면

복제를 다시 구성해 줘야 한다.

mysql 복제 오류 해결 하기 관련글

https://servedev.tistory.com/82

apache 웹서버가 죽었다.......

콘솔에서 상태 확인 후 재시작을 했는데도 안된다....

apache 재작시 아래와 같은 메세지가 나왔다.

[~]# service httpd status
httpd is stopped
[~]# service httpd start
Starting httpd:                                            [FAILED]
[~]# service httpd stop
Stopping httpd:                                            [  OK  ]
[~]# service httpd status
httpd is stopped

오류 내용으로 구글 검색을 해보니,

여러 경우에 대한 내용이 나왔고, 

그 중 웹로그 error log도 확인을 해보라는 내용이 있어 확인 해보니, 

[~]# cat /var/log/httpd/error_log
[Mon Apr 15 10:31:29 2024] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Mon Apr 15 10:31:29 2024] [error] (28)No space left on device: Cannot create SSLMutex
Configuration Failed

언젠가 한번 본 듯 한 오류 내용 이긴 한 거 같은데....

apache 웹서버 재시작(restart)가 안된다 | 써브 개발 (tistory.com)

저 때도 그랬는데.. 그걸 까먹고 해매네.... 

암튼, 

이렇게 No space left .... 와 같은 오류가 발생 하면서 apache(httpd) 실행에 실패 할 때
semaphore 관련 설정을 확인해 본다.

//현재 설정 확인
[~]# ipcs -ls

------ Semaphore Limits --------
max number of arrays = 128
max semaphores per array = 250
max semaphores system wide = 32000
max ops per semop call = 32
semaphore max value = 32767

[~]# cat /proc/sys/kernel/sem
250     32000   32      128


#현재 사용량 확인
[~]# ipcs -us

------ Semaphore Status --------
used arrays = 134
allocated semaphores = 134

설정값 128 보다 현재 사용량 134로 초과 되어 사용중으로 이런 경우 apache 재시작시 "No space .... " 관련 오류가 발생하게 된다.

해결 하기 위해서
"max number of arrays = 128"  값을 늘려 준다.

해당 설정은 "/etc/sysctl.conf"에서 적용해 준다.
kernel.sem = 250 32000 32 256

위 설정값중 맨 뒤 값을 수정해 주면 된다. 너무 크면 서버에 부담이 될 수 있으니, 적당히 올려 주고 모니터링을 해보는게 좋겠다.

설정 변경후 "/etc/sysctl.conf" 재적용 해준다.
[~]# sysctl -p

이후 apach 서비스를 다시 시작해준다.

[~]# service httpd start

rsync를 이용해서 백업 스케줄을 진행하고 있는 상태에서 

로그를 확인해보니, 일부 스케줄에 오류가 있었다.

로그는 아래와 같았다.

[root@svr151 rsync]# tail rsync_123_daara.log-20240411
2024/04/11 00:00:01 [21879] rsync: failed to connect to 192.168.0.123: Connection refused (111)
2024/04/11 00:00:01 [21879] rsync error: error in socket IO (code 10) at clientserver.c(124) [receiver=3.0.6]

위와 같은 오류 발생시 source 서버쪽에 rsyncd 데몬이 실행되고 있는지 확인 필요하다
[root@svr123 ~]# systemctl status rsyncd
● rsyncd.service - fast remote file copy program daemon
   Loaded: loaded (/usr/lib/systemd/system/rsyncd.service; disabled; vendor preset: disabled)
   Active: inactive (dead)

#systemctl start rsyncd
실행시켜 준다

아파치(apache) 웹서버에서 ssl 설정을 하려고 할 때,

vhost 설정후 httpd -t 로 syntax 테스트를 해보면 오류 메세지가 나올때가 있다.

[root@ㅁㅁ]# httpd -t
httpd: Syntax error on line 221 of /etc/httpd/conf/httpd.conf: Syntax error on line 12 of /etc/httpd/conf.d/ssl.conf: Cannot load /etc/httpd/modules/mod_ssl.so into server: /etc/httpd/modules/mod_ssl.so: cannot open shared object file: No such file or directory
[root@ㅁㅁ]# whereis mod_ssl.so
mod_ssl:
[root@ㅁㅁ]# which mod_ssl.so
/usr/bin/which: no mod_ssl.so in (/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin)
[root@ㅁㅁ]# vi /etc/httpd/conf/httpd.conf
[root@ㅁㅁ]# httpd -l
Compiled in modules:
  core.c
  prefork.c
  http_core.c
  mod_so.c

mod_ssl.so 를 찾아봐도 안나오고, 이럴땐 mod_ssl을 설치해줘야 한다.

[root@ㅁㅁ]#yum install mod_ssl

이후 ssl vhost 설정해주고, httpd -t 로 syntax 체크해 보고, 이상 없으면, apache restart 해주면 된다.

mod_so.c 와 mod_ssl.so 모두 있어야 ssl설정 가능함
없으면 yum으로 설치
#yum install mod_ssl

letsencrypt wildcard 인증서 자동 갱신 실패 이슈

멀티 서브 도메인의 ssl인증서를 한번에 적용하는 인증서가 wildcard(*) 인증서다.
유료로 신청해서 사용할 수 있지만, 무료 letsencrypt 로도 발급 받을 수 있다.
다만, wildcard 인증서는 자동 갱신시 오류가 발생된다.

#certbot renew
Processing /etc/letsencrypt/renewal/aaabbb.com.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert is due for renewal, auto-renewing...
Could not choose appropriate plugin: The manual plugin is not working; there may be problems with your existing configuration.
The error was: PluginError('An authentication script must be provided with --manual-auth-hook when using the manual plugin non-interactively.',)
Failed to renew certificate bizdaara.com with error: The manual plugin is not working; there may be problems with your existing configuration.
The error was: PluginError('An authentication script must be provided with --manual-auth-hook when using the manual plugin non-interactively.',)

certbot renew 를 실행해보면, "--manual-auth-hook" 로 발급 받은 경우 동일하게 다시 발급해야 한다고 한다.
이건, --manual-auth-hook 로 발급 받을때 DNS에 txt 레코드를 추가 하는 과정이 다시 필요해서 그렇다고 한다.
즉, letsencrypt의 wildcard 인증서는 재발급시 DNS txt레코드도 새로 발급되어 DNS에 새로 등록 해줘야 하는 과정이 필요한데..
자동 갱신에선 이걸 해주지 못하니, 수동으로 발급을 해줘야 한다는 거다.

아쉽지만, 공짜 wildcard 인증서를 사용하려면, 3개월 마다 수동으로 갱신을 해줘야 한다.

또 새로운걸 알아가네~~