엔지니어 (192) 썸네일형 리스트형 iptables-FORWARD chain 작동안할때 보통 브릿지 방화벽으로 iptables 를 이용할 때 간혹 생기는 이슈 /proc/sys/net/bridge/bridge-nf-call-iptables 을 1로 설정해 줘야 한다.그렇지 않으면 bridge패킷이 net filter 으로 가지 않고 바로 스위칭? 되버리는거 같음.그래서 iptables -nvL 로 확인해보면 FORWARD 패킷수가 항상 0 부팅시 자동으로 적용하기 위해/etc/sysctl.conf 에net.bridge.bridge-nf-call-iptables 와 ip6tables, arptables 모두를 1로 설정 Pinpoint 서버 & Agent 설치 http://www.geekhub.cn/a/480.html 사이트 참조 https://get.k8scn.org/packages/others/pinpoint/ pinpoint-agent-1.5.2/zookeeper-3.4.6-10.el6.x86_64.rpmpinpoint-web-1.5.2.warpinpoint-collector-1.5.2.warpinpoint-agent-1.5.2.tar.gzapache-tomcat-8.0.36.tar.gzpp-webpp-collector ---jdk get----wget --no-cookies --no-check-certificate --header "Cookie: gpw_e24=http%3A%2F%2Fwww.oracle.com%2F; oraclelicense=accept.. backdoor 탐지 Red : 강조Blue : 명령어 & 메뉴이동Green : 주석Pink : 변수Purple : 예시Orange : 출력&편집&소스 * Incident 리눅스서버 해킹 사고 분석 및 대응 절차 1. 해킹 의심 상황 포착2. 외부에서 nmap 명령어로 포트 스캔3. chrootkit, rootkit hunter등으로 명령어 변조와 rootkit 존재여부 확인4. 해커가 시스템의 권한을 어느정도까지 확보했는지 확인5. 변조된 파일 복구6. 시스템 상황 파악 및 백도어 제거7. 어떤 취약성을 이용하여 권한을 획득하였는지 확인 후 취약성 패치 및 대책 수립 * Resolution1. 해킹 의심 상황 포착보통 해커들은 변조된 실행파일들이 다시 바뀌지 않게 해당 명령어에 속성을 걸어 놓는다.ls 파일의 용량이 동.. REDIS 참고사이트 http://redis.io/연구에 사용한 Redis버전 : 2.4.12 REDIS 소개memory dbno-sql db 로 기본적으로 key 와 value 쌍의 형태로 데이타를 메모리에 저장한다.메모리에 저장된 내용을 지속시키기 위해 파일로 싱크 하는 기능을 제공한다.Data Types redis 에는 5가지 데이타형이 존재하며, 이 5가지 데이타 형을 다루는 명령이 모두 다르다. 예를들어 string 형의 데이타를 저장하는 명령으로 저장한 key 는 hashes 형을 읽는 명령으로 읽을 수 없다.Stringsredis 의 가장 기본적인 데이타형 으로 key 에 하나의 값을 저장한다.string 이라고 해서 문자열만 저장할 수 있는게 아니라, 이진 데이타도 저장이 가능하다.(참고로 redis.. 16TB 이상 파일시스템 만들기 16TB 이상 파일시스템 만들기 OS : centos 6.8 64bit 20TB 의 /dev/sdb 를 생성 서버 모델 : HP 180 G6 ( SAS 2T * 12ea ) 기본적으로 16TB 이상의 파일시스템이 ext4 로 생성이 안된다. block size 를 기본 4096 에서 8192 로 만드니 생성되긴 하지만 마운트때 fs type 이 안맞다고 나옴 # parted /dev/sdb (parted) mklabel gpt(parted) mkpartpartition name [primary]?File system type? [ext2]?Start? 0End? 21TB(parted)q # mkfs.ext4 -L /data -i 8192 /dev/sdb1 mkfs.ext4: Size of device /.. keepalive와 timewait의 상관관계 많은 양의 트래픽을 처리하는 대용량의 웹 서버에서 흔히 발생하는 timewait와 keepalive 와의 상관관계에 대해 살펴봅니다. timewait 소켓이 어떤 문제가 있을까요? 과거 서버의 물리 메모리가 작은 시절에는 시스템 리소스를 차지하는 문제가 있었습니다만, 하드웨어적으로 눈부신 발전이 이루어진 오늘날, timewait 소켓 자체는 문제가 될 만큼 시스템 리소스를 차지하지는 않습니다. 하지만 지금은 timewait를 다른 문제로 볼 필요가 있습니다. 결론부터 말씀드리자면 timewait 가 많다는 것은 서비스의 응답 속도가 느려질 수 있다는 것을 의미합니다. TCP 3-way handshake 에 대해서는 잘 알고 계실 겁니다. 그렇다면 맺기 만큼 중요한 연결을 끊을 때 사용하는 4-way ha.. tcp_syncookies는 어떻게 동작하는가? 오늘 다룰 내용은 tcp_syncookies입니다. 조금은 어렵고 복잡한 이야기를 다룰 예정이고요, 아마도 제가 잘못 조사한 내용이 있을 수도 있으니 잘못된 부분이 있으면 댓글로 알려 주시면 좋겠습니다. syn flooding 공격 먼저 syncookies 에 대해 이야기하기 전에 syn flooding 공격에 대해 이야기해보려고 합니다. 아시다시피 TCP는 세션을 맺기 위해 3-Way handshake 방식을 사용합니다. 정상적인 TCP 3-Way handshake서버가 처음 listen() 시스템 콜을 이용해서 소켓을 만들면 커널에서는 SYN Backlog, Listen Backlog라는 두 개의 큐를 만들게 됩니다. 그 후 클라이언트의 커넥션 요청인 SYN 패킷이 들어오면 해당 소켓 정보를 SYN .. tcp_tw_reuse와 tcp_tw_recycle 시스템 엔지니어에게 가장 골치 아픈 커널 파라미터가 뭐냐고 묻는다면 아마 위 두 값이라고 하시는 분들이 많으실 겁니다. 비슷하게 보이지만 차이점을 알기가 힘든 두 값에 대해 간단한 테스트를 통해 그 의미를 알아보는 시간을 마련해 보았습니다. 준비물 우선 두 대의 서버를 준비합니다. 편의상 client, server라고 지정합니다. 그리고 client에서는 net.ipv4.ip_local_port_range 값을 default 값에서 32768 32768로 고칩니다. server에서는 nginx를 yum으로 기본 설치해서 80만 띄워 놓습니다. tcp_tw_reuse 먼저 tcp_tw_reuse 에 대해 살펴보겠습니다. client에서 server로 curl 명령으로 페이지를 가져오면 방금 사용했던 포트는.. How to make High Available Load Balancer(L4/L7) with haproxy and Pacemaker - 1/4 1. Introduction 서비스의 부하 분산 및 고가용성을 위해 H/W Load Balancer를 필요로 하는 경우가 많지만 도입 비용이 크기때문에 예산상의 어려움도 많다. 반드시 H/W Load Balancer가 필요한 환경이 아니라면 여분의 Server를 활용하여 S/W Load Balancer를 구축할 수 있다. 일반적으로 사용자는 아래와 같은 Infrastructure를 통해 서비스를 받는다. 이때 Active Node에 장애가 발생하더라도 VIP는 Standby Node에서 Failover하므로 서비스는 중단되지 않으며 사용자는 최대 몇초간의 순단 현상만 경험하게 된다. 본 문서에서 다룰 내용은 Active/Standby Node 부분이다. 여기서 사용자의 Requests를 Real Node.. How to make High Available Load Balancer(L4/L7) with haproxy and Pacemaker - 2/4 3. Load Balancer(L4/L7) "haproxy" Build, Install and Configuration Active/Standby Node에 아래와 같은 과정을 통해 haproxy를 설치한다. Download haproxy Lastest version (2013년 2월 현재 1.4.22) http://haproxy.1wt.eu/download/1.4/src/haproxy-1.4.22.tar.gz Tarball 전개 (# (shop)은 root previlege를 의미한다.) # tar xvzf ./haproxy-1.4.22.tar.gz Build # make TARGET=linux26 ARCH=x86_64 Install # make install Make Configuration File.. 이전 1 ··· 8 9 10 11 12 13 14 ··· 20 다음
