Learn, Unlearn and Relearn

기본적인 httpd log 에 대한 6개월 보관 설정 예시 (오래된 것은 삭제)# vi /etc/logrotate.d/httpd/var/log/httpd/*log { weekly # 로그 파일을 주 단위로 회전 rotate 24 # 24주(약 6개월) 동안 로그를 보관 missingok # 로그 파일이 없더라도 오류 무시 notifempty # 로그가 비어있으면 회전하지 않음 compress # gzip 압축하여 저장 (.gz) delaycompress # 가장 최근 파일은 압축하지 않음 sharedscripts # 여러 개의 ..

192.168.0.1 (80 또는 443) 접속 시, 192.168.0.2 ~ 3으로 분기해주는 설정 예시입니다.https(443)는 SSL 종단(termination) 처리하지 않고, backend 서버에게 맡깁니다.이를 위해 http mode가 아닌 tcp mode 로 설정합니다.필요 시, 인증서 설정을 추가하여 http mode 로 설정하면, 보다 세부적인 설정 및 모니터링이 가능합니다만,여기서는 다루지 않습니다. (원래 사용자의 IP 확인, 접속 통계 확인 등)# vi /etc/haproxy/haproxy.cfgglobal log /dev/log local0 pidfile /run/haproxy.pid chroot /var/lib/haproxy maxconn 20000 ..

1. SSL 보안성 점검 (d= 는 점검할 주소 입력)https://www.ssllabs.com/ssltest/analyze.html?hideResults=on&d=www.tistory.com 2. SSL 설정 방법아래 사이트에서 환경 정보를 입력하면 예제 설정 파일을 얻을 수 있습니다.이를 적절히 수정하여 반영하면 됩니다.(Forward Secrecy(http→https) 까지 적용해야 A+을 받을 수 있는데, 오류가 발생할 수 있으므로 서비스 환경에 따라 결정해서 적용합니다.)https://ssl-config.mozilla.org/ Mozilla SSL Configuration Generator ssl-config.mozilla.org

1. WASID(변경할관리자ID), WASPW(변경할관리자비밀번호) 를 정하여 아래 스크립트 실행합니다.(아래는 wasadmin/nimdasaw로 설정 예시)WASID=wasadminWASPW=nimdasawWASPWENC=`encryption aes $WASPW | head -n 1 | awk -F'[][]' '{print substr($4, 8)}' | awk '{print substr($0, 1, length($0)-1)}'`echo "AES" > $JEUS_HOME/bin/jeusEncodeecho $WASID >> $JEUS_HOME/bin/jeusEncodeecho $WASPWENC >> $JEUS_HOME/bin/jeusEncodechmod 640 $JEUS_HOME/bin/jeusEncod..

1. nmap 설치# dnf -y install nmap또는, https://nmap.org/download.html 에서 다운로드 하여 설치 2. 점검 (아래는 lawmin.tistory.com 에 대한 점검)# nmap --script ssl-enum-ciphers -p 443 lawmin.tistory.com 3. 결과에서 아래 두 내용을 확인하여, 웹서버 SSL 설정을 변경, 재기동하여 조치하면 됩니다.warnings: 없으면 양호least strength: A 이면 양호 가령, 아래와 같이 나온 경우, 3DES 사용으로 인해 취약하여 C 등급이 나왔으므로,해당 웹서버의 SSL cipher 설정을 찾아, :!3DES 를 붙여 줍니다. (:는 추가 나열, !는 사용하지 않겠다는 표시)웹서버 재기동 ..

1. fail2ban 설치 (CentOS 7 / fail2ban v0.11.2 기준)$ sudo ym instsall epel-release$ sudo yum install fail2ban fail2ban-systemd 2. 기본 설정$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local 3. /etc/fail2ban/jail.local 에 설정 추가$ sudo vi /etc/fail2ban/jail.local...[httpd-dos]enabled = true#port = http,httpsfilter = httpd-doslogpath = /var/log/httpd/access_logmaxretry = 100findtime = 10bantime = 60a..

DocumentRoot "/var/www/html/" ServerName 도메인:80 ErrorLog "/var/log/httpd/error_log" TransferLog "/var/log/httpd/access_log" RewriteEngine on RewriteCond %{REQUEST_FILENAME} !^(.*).(ico|png|js|jpg|css|gif)$ RewriteCond %{REQUEST_URI} !^/index.html$ [NC] RewriteRule . index.html [R=302,L] DocumentRoot "/var/www/html/" ServerName 도메인:443 ErrorLog "/var/log/httpd/ssl_error_log" TransferLog "/var/log..

1. httpd.conf 수정 (주석처리 해제: 첫 # 글자 삭제)LoadModule proxy_module modules/mod_proxy.soLoadModule proxy_http_module modules/mod_proxy_http.so # Virtual hostsInclude conf/extra/httpd-vhosts.conf 2. extra/httpd-vhosts.conf 수정 (reverseproxy 설정 + location별 IP 제한) DocumentRoot "${SRVROOT}/htdocs" ProxyRequests Off ProxyPreserveHost On Require ip 허용할IP1 허용할IP2 Require ip 허용할IP1 허용할IP2 ProxyPass/nagioshttp:/..

1. web.xml 을 만들어 아래와 같이 등록합니다.(web.xml은 Eclipse 웹 프로젝트에서 Java EE Tools > Generate Deployment Descriptor Stub 메뉴를 눌러 생성가능) 2. https 제외할 패턴은 NONE, 적용할 패턴은 CONFIDENTIAL 로 등록하면 됩니다. (순서대로 적용) 사이트명 index.jsp Non-secure /제외할패턴.jsp NONE Secured /* CONFIDENTIAL

Tomcat JVM -Dfile.encoding=UTF-8 사용시 문제가 해결되는 듯 하지만, console log 한글이 깨지게 된다. 아래와 같이 설정후 해결되어서 기록차 남김... if(ServletFileUpload.isMultipartContent(request)) {DiskFileItemFactory factory = new DiskFileItemFactory();factory.setSizeThreshold(THRESHOLD_SIZE);factory.setRepository(new File(System.getProperty("java.io.tmpdir")));ServletFileUpload upload = new ServletFileUpload(factory);upload.setHeaderEn..