37일차(4.5) 터널링 IP Binding 채널 본딩(channel bonding) 관리 작업 자동화 CRON/AT

  터널링(Tunneling)
  터널링이란 Telnet이나 SSH 등으로 타겟 호스트와 연결된 세션(1차 연결) 내에 새로운 연결(터널)을 생성(2차 연결)해서 두 원격 시스템 사이에 은닉된 보안 세션을 형성하는 것을 말한다. 터널링에서 Telnet 등으로 연결할 수도 있지만 보안 연결이 목적이므로 일반적으로 SSH를 사용해서 연결한 뒤 작업한다. 
  Windows 서버에서 kahn.edu 도메인의 LAN1에 있는 client1 호스트와 LAN2에 있는 client2 호스트 사이에 SSH 터널링을 구축해두면 서버 인증을 통하지 않고 독립된 SSH 보안 채널로 서로 연결될 수 있어서 해킹에서는 서버의 각종 보안 설정을 거치지 않고도 하나의 클라이언트 호스트를 통해서 다른 네트워크나 노드로 들어갈 수 있기 때문에 관리자는 매우 주의해야 한다. 
=>원래는 네트워크에서 VPN 연결에서 주로 사용한다. 
  
  Tunneling은 다음 세 가지로 주로 사용되는데
1) VPN에서 공중망를 통과하는 두 지점이 마치 전용선(leased line)처럼 연결하는 경우 터널링 기법을 사용한다.
2) 프로토콜이 다른 두 회선을 연결할 때(IPv4와 IPv6, TCP/IP와 IPX/SPX, ....)도 터널링으로 연결할 수 있다.
3) 해킹에서 서버에 설치된 mysql, dns, ssh, web 등의 서비스와 1차 연결한 뒤, 터널링을 사용해서 Kali 등 로컬에서 이들 서비스에 직접 연결하는 경우도 터널링 기법을 이용한다. 
  실제 구현에서는 port-forwarding, standard tunneling, reverse tunneling 등이 있다.

 

실습

yum -y install httpd

echo "<h1>This is CentOS1 Web Page</h1>" > /var/www/html/index.html

홈페이지를 만드는 명령어

 

[root@localhost centos]# firewall-config >>http, https

(firewall-config:6628): dconf-WARNING **: 15:03:34.082: failed to commit changes to dconf: The connection is closed

(firewall-config:6628): dconf-WARNING **: 15:03:34.082: failed to commit changes to dconf: The connection is closed
[root@localhost centos]# firewall-cmd --reload 
success
[root@localhost centos]# service httpd start
Redirecting to /bin/systemctl start httpd.service

 

iptables -nL --line-numbers

우분투에서

nano /etc/hosts

/etc/hosts는 리눅스와 유닉스 기반 운영체제에서 호스트 이름을 IP 주소와 매핑하는 데 사용되는 로컬 호스트 파일입니다. *(매핑(Mapping)은 하나의 객체나 개념을 다른 객체나 개념에 대응시키는 과정을 말합니다.)

즉, 이 파일은 호스트 이름과 IP 주소 쌍을 기록하는 텍스트 파일로, DNS(Domain Name System)와 비슷한 역할을 합니다. 이 파일을 사용하면 로컬 시스템에서 DNS 서버를 사용하지 않고도 호스트 이름을 IP 주소로 변환할 수 있습니다.
이 파일은 보안 상의 이유로 로컬 시스템에서만 사용되며, 일반적으로 시스템의 기본 설정으로 제공됩니다. 예를 들어, 로컬 루프백 주소인 127.0.0.1은 일반적으로 "localhost"라는 이름과 함께 /etc/hosts 파일에 기록됩니다.
따라서 /etc/hosts 파일은 로컬 시스템에서 호스트 이름을 IP 주소로 변환하기 위해 자주 사용되는 파일 중 하나입니다.
*(컴퓨터 네트워크에서 호스트(Host)는 네트워크에 연결된 컴퓨터나 다른 장치를 가리킵니다. 이 컴퓨터나 장치는 네트워크 상에서 고유한 식별자(IP 주소)를 갖고 있으며, 다른 호스트와 데이터를 주고받을 수 있습니다.)

위 /etc/hosts 파일의 항목은 다음과 같은 의미를 가집니다.

• IP 주소: 192.168.100.140
• 호스트 이름: www.kahn.edu, centos1.kahn.edu, centos1

이를 해석하면, 로컬 시스템에서 www.kahn.edu, centos1.kahn.edu, centos1이라는 호스트 이름을 각각 192.168.100.140의 IP 주소로 매핑하도록 설정한 것입니다.

즉, 이 시스템에서는 www.kahn.edu, centos1.kahn.edu, centos1이라는 호스트 이름을 사용하여 192.168.100.140의 IP 주소로 접근할 수 있습니다. 이러한 매핑은 로컬 DNS 서버를 사용하지 않고도 호스트 이름을 IP 주소로 변환할 수 있도록 합니다.

매핑해줬다. 

 

 

  FQDN(Fully Qualified Domain Name)
  FADN은 도메인에 가입된 호스트를 의미하는데 
호스트명이 centos1일 때 kahn.edu 도메인에 속해 있으면(workstation으로 부름) 이는 centos1.kahn.edu식으로 표시되는 이름이다. 

 

이렇게 접속하는 게 가능한 이유는 아까 /etc/hosts  파일에 www.kahn.edu 를 추가해줬기 때문이다.    

 

scp /etc/hosts root@centos1:/etc/hosts

 

내가 가지고 있는 /etc/hosts 파일을 저쪽에 root에 센토스에 /etc/hosts 파일로 보낸다.

이제 센토스로 건너간다.

 

이제 센토스에도 호스트 이름이 IP 주소와 매핑되어 있다. 

 

root에서 ssh로 들어갈 수 있다. 

 

그리고 위에는 센토스로 로그인이 되었지만, 아래는 센토스로 로그인도 안되었는데 명령어로 정보만 먹튀했다 ㄷ ㄷ (연결은 이루지 않고)

 

ssh -L 8888:www.kahn.edu:80 centos@centos1

해당 명령어는 SSH 포트 포워딩 기능 중 하나인 로컬 포트 포워딩(Local Port Forwarding)을 수행합니다.
이 명령어는 다음과 같이 구성됩니다.
ssh: SSH 클라이언트 프로그램을 실행합니다.-L 8888:www.kahn.edu:80: 로컬 포트 8888을 www.kahn.edu의 80번 포트로 포워딩합니다.centos@centos1: SSH 연결을 수행할 원격 호스트 및 계정 정보입니다.
따라서 이 명령어를 실행하면, 로컬 포트 8888로 들어오는 모든 트래픽이 SSH 연결을 통해 원격 호스트인 centos1.kahn.edu의 80번 포트(웹 서버 포트)로 전달됩니다. 이를 통해 로컬 머신에서 http://localhost:8888/ 주소를 사용하여 centos1.kahn.edu의 웹 서버에 접근할 수 있습니다.
즉, 이 명령어는 SSH를 사용하여 로컬 머신에서 인터넷 상의 다른 호스트에 접근하는 것을 가능하게 해주는 포트 포워딩 기능을 제공합니다.

 

www.kahn.edu:80 80타켓 웹서버를 로컬 8888 포트하고 센토스 사용자하고 연결하는 그런 터널을 만드는 것? 

일단 세션을 열어둔다?

이 세션도 열어둔다.

 

 

ssh -L 8888:naver.com:80 centos@localhost

원래 네이버에 들어가려면 firefox를 이용하지만 여기서는 그냥 터널을 사용하기 때문에 로컬로 웹사이트를 연결하겠다.

 

firefox http://localhost:8888

웹으로 들어가려 했는데 네이버를 치지 않았다!!!!!!

 

세션이 형성되어야 한다.

 

 

한 번 더

kahn.edu를 입력하지 않았는데도 웹페이지가 떴다.

 

 

wall -n LOG OUT PLZ.. 경고(그러나 꺼지진 않음)

 

 

  IP Binding
  물리적으로 하나의 네트워크 카드에 여러 IP 주소를 줄 수 있는데 주로 고성능의 Linux 서버 하나로 FTP나 Proxy Server, 혹은 여러 Web 서버를 운영할 때 유용한 기법이다. 
=>이 기법은 하나의 강력한 서버머신에 여러 웹 서버를 운영할 때 유리하다. 
예를 들어서 
eth0:0 =>192.168.111.100 =>www.pretty-clothing.com
eth0:1 =>192.168.111.101 =>www.pretty-pets.com식으로 여러 도메인(웹 사이트)을 설정하고 /etc/hosts 파일에서 이들을 지정하면 독립적으로 각 웹 서버를 잘 운영할 수 있다.

 

물리적으로는 하나지만 핑이 분명 간다. 

 

  채널 본딩(channel bonding)
  여러 개의 네트워크 카드를 하나로 묶어서 단일 Channel(or Ethernet) bonding)으로 만들어주면 호스트의 네트워크 대역폭이 늘어나고, 
=>하나의 네트워크 카드에 문제가 있어도 통신에 지장이 없는 폴트 톨러런스(fault tolerance)와 
네트워크 카드에 대한 잉여분 리던던시(redundancy)와 
네트워크 카드끼리 대역폭을 균형 분산시키는 로드 밸런싱(load balancing), 그리고 
트래픽이 적은 카드가 먼저 서비스를 제공하는 라운드 로빈(round robin)
이 동시에 구축될 수 있다. 하나의 호스트에 여러 NIC가 있는 것을 multi-homed host라고 부른다. 6개의 모드가 있다. 
=>HDD를 여러 개 묶어서 오류를 극복해주는 RAID처럼 
    NIC를 여러 개 묶어서 오류 등을 극복해주는 Channel Bonding이다. 

=>이와 유사하게
▪ 여러 HDD를 묶어서 하나의 HDD에 오류가 있어도 데이터 복원이 가능하게 하는 fault-tolerance가 RAID이다.
  
  여기서 자주 사용되는 네트워크 필수 설정 용어로 
▪ fault-tolerance(장애극복) : 장애가 있을 때 시스템이 일정 기간 버텨서 DoS 공격이   나 기타 관리자가 시스템을 관리할 수 있을 때까지 견뎌주는 것, (시스템의 일부가 고장 나더라도 나머지는 올바로 작동하는 능력을 가리킨다)
=>RAID를 통한 HDD 오류 시 데이터 복구, 
    Channel Bonding을 통한 NIC 오류 시 네트워크 정상 운영되는 예
▪ load balancing(부하균등) : 어느 한 서버나 NIC로 트래픽이 몰릴 때 이를 적절히 분산해서 전체적인 시스템에 부담이 적게 하고, 사용자는 접속이 빨라지게 하는 이점  을 준다.
▪ redundancy(잉여) : 시스템을 안정적으로 운영하기 위해서 동일한 브랜드와 용량       등을 가지고 있는 HDD, NIC, Cable, ..등을 시스템에 별도로 구비해서 문제가 있을      때 바로 조치되게 하는 기법
▪ round-robin(먼저 서비스 제공) : www.youtube.com이라는 도메인_명으로 수십대      의 서버가 묶여 있거나, Channel Bonding으로 여러 NIC가 묶여있을 때, 외부에서       서비스 요청 시 트래픽이 적은 장치가 먼저 응답하게 해서 서비스 제공을 원활하고  빠르게 이뤄지게 하는 기법 <=IPv6에서의 AnyCast
▪ hot|warm|cold site : 메인 서버에 문제가 있을 때 다른 장소에 서버를 구축해 두고  언제든지 서비스가 제공되게 하는 기법으로써 늘 현재 서버와 같게(수 시간 내|며칠    내|몇 달 내 설정) 서비스를 제공하게 구성된 사이트 
   <=CDN(Contents Delivery Network)으로 전환되는 상황(위성 서버 구축), HSRP/VRRP 기법을 이용할 수도 있다.

hot site: 수 시간 내

warm site: 며칠 내 

cold site: 몇달 내

  관리 작업 자동화 CRON/AT
  Linux 관리자는 소프트웨어 업데이트나 디스크 조각모음과 같이 시간이 걸리는 작업이나 백업처럼 주기적이고 반복적으로 시행하는 작업 등을 Windows의 스케쥴러와 같은 역할을 하는 cron과 at 도구를 사용해서 원하는 작업을 예약해놓고 작업을 실행시킬 수 있다. 
  현재 작업하고 있는 콘솔에서 결과를 보려면 tty 해서 /dev/pts/1식으로 나오면 각 명령어 끝에 '1>/dev/pts/1'을 붙여주면 된다. 런레벨 3 tty에서는 '1>/dev/console'을 붙이면 지정된 콘솔에서 결과가 보인다. 

 

참고

 Descriptor
2> : 표준 에러 - 표준 에러가 발생해서 모니터에 표시 된다.
1> : 표준 출력 - 명령어 실행시 기본 장치인 모니터로 결과값이 보여진다
0> : 표준 입력 - 출력값을 모니터에 표시하지 하지 않는다.

 

  일반적으로 cron 설정은 두 가지로 하는데
∎ nano /etc/crontab 해서 
a. '분 시 날짜 월 요일 (root run-parts) 실행파일_위치' 구문으로 설정하고(root run- parts는 명령어 실행자로써 root로 실행한다는 것인데 생략할 수 있다), 
b. /etc/cron.hourly(daily, weekly, monthly) 디렉터리 중에서 원하는 곳에 지정한 실행파일을 넣어주는 방법

∎ crontab -e 한 뒤, i를 입력해서 vi 편집모드로 가서 
'분 시 날짜 월 요일 실행_명령어' 구문으로 설정할 수 있는데 이 경우에는 실행_명령어를 바로 적어주므로 별도로 실행될 파일이 있는 위치를 지정할 필요가 없다.
 
  주기적으로 작업할 내용을 설정할 때에 
분(minute)은 0-59, 
시(hour)는 0-23, 
날짜(date)는 1-31, 
월(month)은 1-12, 그리고 
주(week)는 0-6(or Sunday-Saturday)으로 표시해주는데, 
▪ '분 시간 일 월 요일'에 * 기호를 사용하면 매(every) ~의 의미인데 
@hourly, @daily, @midnight, @weekly, @monthly, @yearly(OR @annually)와 부팅 될 때마다 실행되게 해주는 @reboot도 있다. @reboot * * * * * ~식으로 설정어구 맨 앞에 써주면 된다. 
▪ 분에서 0,20,40 * * * * 하면 매 0분, 20분, 40분을 말하고, 
   분에서 */10 하면 10분마다의 의미이며, 
▪ 요일에서 * * * * 1-5 하면 월~금이고, 
   요일에서 * * * * 1,3,5 하면 월,수,금이 된다. 이 외에도 여러 설정 방법이 있다. 

  시간 설정의 예를 몇 개 보자.
  crontab -e(OR /etc/crontab) 하고 
① 02 4 * * * root run-parts /etc/cron.daily로 작성해주면
=>매일 04시 02분에 /etc/cron.daily에 있는 쉘 스크립트를 실행한다.
② 03 4 * * 0 root run-parts /etc/cron.weekly로 작성해주면
=>매주 일요일(0), 04시 03분에 /etc/cron.weekly에 있는 실행 쉘 스크립트를 실행한다.
③ 0,30 8-19 15 * * root run-parts /etc/cron.monthly로 작성해주면
=>매월 15일마다, 8~19시 사이, 매 정각(0)과 30분마다 /etc/cron.monthly에 있는 실행 쉘 스크립트를 실행한다. 
④ * */2 * * * bash /root/backup.sh 1> /dev/pts/1 하면 
=>매 2시간마다 /root/ 밑에 있는 backup.sh 스크립트를 실행해서 /dev/pts/1 콘솔에 결과를 보인다. 
⑤ 00 18 * * 1 cd ~ && ls > week.out 1> /dev/console 해주면 
=>월요일(1) 오후 6시(18) 정각(00)에 홈 디렉터리로 가서(cd ~) 내용을 출력(ls)해서 week. out라는 파일로 저장하고, 그 내용을 /dev/console 터미널로 보여라(~ 1> /dev/console)라는 의미이다. 
  그리고 cron은 명령어를 실행하는 해당 사용자에게 실행결과 등을 메일을 보내게 되어있으므로 명령어 뒤에 '>/dev/null 2> &1'식으로 덧붙이면 사용자에게 오류 메시지를 콘솔에 보이거나 메일을 보내지 않는다. 

  참고로 명령어를 연속으로 실행시킬 때 ;는 한 줄에 두 개의 명령어를 각각 실행하는 것이고, &&는 앞의 명령어가 완전히 실행된 뒤 다음 명령어가 실행되게 한다. |는 앞의 명령어 결과가 뒤로 넘어간다는 의미이다. 

실습

 

0 3 15 * * root run-parts /etc/cron.monthly

요일 몰라 매달 15일마다 3시 정각에 너 etc 크론 먼쓰에 가면 그 파일이 있을 거야 

실습이니까 최소단위 1분으로 잡음

 

[root@www centos]# cd /etc/cron.monthly
[root@www cron.monthly]# date
Thu Apr  6 16:56:11 KST 2023
[root@www cron.monthly]# nano backup.sh

 

[root@www cron.monthly]# chmod +x backup.sh 
[root@www cron.monthly]# ls
backup.sh

1분 단위로 백업이 된다.

 

crontab -e

 

홈밑에 센토스 사용자의 디스크 사용량을 보여라

 

crontab -l로 조회 

 

141M가 되었다!!

 

오늘 실습 끝

 

터널링  IP Binding 채널 본딩(channel bonding) 관리 작업 자동화 CRON/AT