19일차 서비스, 리소스 제한, 데몬

 서비스
  Linux 서버는 여러 서비스를 실행하고 있으므로 클라이언트 머신에서 다양한 서버 서비스에 접속해서 작업할 수 있다. 서버는 서비스(Web, FTP, VNC, Database, Proxy, Mail, Name, DNS, DHCP, ...)를 데몬(daemon) 형태로 실행시켜둔다.

  보통 서버에서 서비스 실행은 다음 단계로 수행한다. 
  예를 들어서 SSHD 데몬이라면 
① 해당 프로그램을 yum –y install sshd 해서 설치하고
② 해당 서비스의 구성 설정파일(/etc/ssh/sshd_conf)을 상황에 맞게 변경해주고 
③ system-config-firewall 해서 방화벽에서 해당 서비스 포트 22를 열어두고, 
    system-cmd reload 해주고
=>CentOS 7에서는 firewall-config 해서 방화벽 작업을 해준다.
④ setenforce 0 해서 SELinux 설정을 permissive로 해두고
⑤ service sshd (re)start식으로 해당 서비스 데몬을 (재)실행시킨 뒤
=>CentOS 7에서는 systermctl start sshd ; systemctl enable sshd.service
⑥ netstat –nltp | grep 22 해서 해당 서비스 포트가 듣고 있는지 보고 
⑦ (필요하면) chkconfig sshd --level 35 on식으로 실행 런레벨을 정해주고
⑧ 이제 클라이언트들을 ssh centos@192.168.100.100(SSH_서버) 해서 해당 서비스로 접속시켜서 서비스를 이용하게 한다. 

 

service network restart

이걸로 네트워크 시작을 해줄 수도 있고

setup으로 TUI 화면으로 들어가서 할 수도 있다.

  콘솔 화면은 CLI console, GUI graphic, TUI text 화면이 있다!

 

스페이스바를 누르면 활성화, 다시 누르면 비활성화, 탭키를 눌러 오케이로 감

 

ntsysv

시스템이 부팅 될 시에 자동으로 실행되는 서비스를 관리할 수 있는 서비스 명령어. 

 

chkconfig --level 24 network off

2번 4번 런레벨을 많이 쓰지 않으므로 죽였다. 

 

리소스(cpu, ram, hdd) 제한
  여러 클라이언트들이 동시에 한 서버에 연결되면 세션(연결된 상태)이 많아지게 되고 서버는 많은 리소스(HDD, RAM, CPU)를 사용하게 되므로 서버의 리소스가 고갈되어 서버 성능이 많이 떨어지게 된다. 이를 대비해서 관리자는 연결 세션 수를 제한하거나 사용자들의 서버 리소스 사용에 대한 한계를 설정해 둘 필요가 있다. 
  사용자들이 사용하는 서버의 HDD 사용량은 disk quotas로 지정하고, CPU와 RAM, Process 용량은 /etc/security/limits.conf 파일에서 지정해주면 된다.

cat /etc/security/limits.conf

* 사용자

@그룹(학생 그룹)

 

=>여기서 표시되는 soft limit와 hard limit는 Disk Quotas 등에서도 나오지만 
    사용자들의 HDD에 대한 최대 사용량을 10MB로 지정했을 때 
soft limit는 8MB로 지정해서 이 한도를 넘는 9MB라면 경고가 나오지만 저장은 되고, 
        일정기간(grace) 안에 한도를 넘는 1MB를 제거하게 한다. 
hard limit는 무조건 10MB를 넘기게 하지 않는다. 

 

wheel 그룹의 로그인은 10번까지 된다.

센토스는 CPU를 한시간 사용 가능하다. 

유저 그룹은 메모리리를 10기가 사용 가능하다. 

루트는 메모리를 무한으로 사용 가능하다.

 

사용자들을 user그룹에 가입 시키면 /etc/security/limits.conf에서 user 관련 편집했던 부분에 걸린다. 

 

=>이제 usermod –G users –a paul 하면 사용자 paul은 users 그룹에 속하게 되고 이 /etc/scurity/limits.conf 파일에서 설정한 @users 그룹에 대한 리소스 제한에 적용을 받게 된다. 

 

데몬

  데몬(Daemon) : 상주한다. 
  네트워크를 통해서 mail, database, web, dns, nis, 그리고 dhcp 등 서버 서비스를 제공하는 프로그램을 서버 서비스 데몬이라고 부른다. 서버 머신에서 구동되는 서비스 데몬들은 대부분 잘 알려진 포트(well-known port:1~1023까지)를 열어두고 메모리에 상주하면서 클라이언트들로부터 해당 서비스의 연결 요청(포트로 구분)을 기다리다가 요청이 들어오면 클라이언트와 임의의 포트(dynamic port:42000~65000까지)로 연결해서(이를 Passive 모드라고 한다) 클라이언트가 서비스를 이용하게 한다. 
  데몬에는 단독(standalone) 데몬과 많은 차일드 데몬을 거느리고 있는 슈퍼(super) 데몬 두 가지가 있는데, 필요에 따라서 단독 데몬을 슈퍼 데몬의 차일드 데몬으로 만들 수 있고, 반대로도 가능(vice versa)하다. 데몬은 대부분 httpd, sshd, 그리고 smtpd식으로 ‘서비스_명d’식으로 d가 붙는다.

1) 단독 데몬
  단독 데몬(Standalone daemon)은 웹, 데이터베이스, 메일 서버 등 서버는 서비스 데몬마다 인스턴스(객체)를 메모리에 계속 상주시켜서 연결 요청에 대기시키고, 부가적으로 연결 소켓을 처리하는 루틴도 각 서비스마다 메모리에 대기시켜놓아야 하는 구조여서 시스템 리소스를 많이 사용한다. 
=>단독 데몬은 service httpd start식으로 해당 데몬을 직접 지정해서 서비스를 시작시킨다.

2) 슈퍼 데몬
  슈퍼 데몬(Super daemon)은 단독 데몬의 비효율성을 극복하기 위해서 만들었다. 여기서는 rsync, telnet, ssh, proxy, dns, dhcp 등 각 데몬마다 인스턴스를 각각 메모리에 상주시키지 않고, 이들을 대표하는 하나의 인스턴스를 생성해서 메모리에 상주시킴으로써 시스템 리소스를 많이 사용하지 않게 했다. 이 대표 인스턴스를 슈퍼 데몬이라고 부르며 모든 차일드(하위) 데몬 서비스들을 일괄 관리한다. 
  클라이언트가 자식 데몬 서비스를 요청하면->이 슈퍼 데몬이 대신 받아서->해당 서비스 데몬의 소켓을 열어서 차일드 데몬과 연결시켜주고, 자신은 다시 새로운 연결 요청을 기다리는 구조이다. 이런 슈퍼 데몬이 xinetd이다. xientd는 시스템이 부팅할 때 /etc/xientd.d 디렉터리에 자신이 관리하는 차일드 데몬 rsyncd, telnetd, sshd, ftp 등을 넣어두고 읽어 들이는데, 차일드 데몬 서비스를 내부 서비스로도 부른다. 
=>슈퍼 데몬은 차일드 데몬을 별도로 지정해서 서비스를 시작시키지 않고 service xinetd start 해서 슈퍼 데몬만 시작시켜두면 외부에서 차일드 데몬 요청이 있을 때 요청 포트를 보고 슈퍼 데몬이 차일드 데몬에게 연결시켜 준다. 예를 들어 telnet 서버가 차일드 데몬이라면 외부에서 23번 포트로 요청이 들어오면 telnet 서버 데몬 대신 슈퍼 데몬 xinetd가 이 요청을 받아서 자신의 차일드 데몬인 telnet 데몬만 실행시켜서 서비스를 제공시키므로 여러 프로세스를 실행시켜 둘 필요가 없다. 따라서 메모리 소비가 줄므로 시스템의 효율이 좋아진다. 

 

단독데몬 

리눅스 서버가 있는데 리소스를 많이 잡아먹으면 하나의 서비스만 설치한다. (메일, 웹, dB).  데몬은 컴퓨터 메모리 상주 프로그램. HTTP 딱 대기. 클라이언트가 80번 포트로 요청.(well known 포트)하면 임의의포트 45273번 할당해 준다.

 

슈퍼데몬 

리소스 적게 사용하는 2~3개 서비스 같이 사용. DNS 서버 58번 포트. SSH 서버 22번 포트. 클라이언트 요청. 메모리에 SSH DHCP. 상주하면서 기다리는게 부담스럽다. 메모리에 상주하지 말고 대표적인 Xinetd 데몬 하나만 실행시켜줘~. 슈퍼데몬. /etc/xinetd/sshd/, telnet  등등 . SSH 사용할래. 얘(슈퍼데몬)가 받고, 야 너(차일드데몬) 서비스해.  

 

Passive방식

클라이언트가 80번 포트로 요청.(well known 포트)하면 임의의포트 45273번 할당해 준다.

 

 Active 방식

서버에게 서비스를 요청할 때 특정 포트 지정

4000번 포트 요청

타겟에 백도어(악성코드)를 심어두고 해커가 이 포트로만 접속을 하는 경우. 액티브 포트를 사용.

 

추가) 패시브 vs 액티브

패시브 방식 데몬은 일반적으로 고정된 포트 번호를 사용하지 않습니다. 대신 데몬이 실행되는 시점에서 시스템에서 사용 가능한 임의의 포트 번호를 할당받아 사용합니다. 클라이언트는 데몬이 어떤 포트를 사용하는지 알아야 하기 때문에, 패시브 방식 데몬은 클라이언트가 미리 알고 있는 포트 번호나 또는 다른 방법을 사용하여 데몬이 사용하는 포트 번호를 전달합니다.

액티브 방식 데몬은 일반적으로 미리 할당된 포트 번호를 사용합니다. 클라이언트는 요청 시 사용할 포트 번호를 지정하며, 데몬은 해당 포트 번호를 사용하여 클라이언트와 통신합니다.

- 세줄 요약 -
패시브 방식 데몬은 실행 시점에 임의의 포트 번호를 할당받아 사용하고, 액티브 방식 데몬은 미리 할당된 포트 번호를 사용합니다.

vice versa

DNS를 많이 사용하면 standalone으로 만들 수도 있고,

mail을 많이 사용하면 child데몬으로 만들 수도 있다. 

 

 

참고)서비스 요청은 클라이언트에서 보면,  192.168.100.100:80 웹 서비스 요청(포트까지 지정)

ip 주소: 포트 => 소켓(socket)

 

∎ 자주 이용되고, 리소스를 많이 사용하는 서비스는 단독 데몬으로 만들어 두고, 
=>Mail, Database, 그리고 Web 서비스 등
∎ 자주 사용되지 않고, 리소스도 적게 사용하는 서비스는 슈퍼 데몬의 차일드 데몬으로 만들어 둔다.

=>Telnet, SSH, Rsync, Named나 DHCP 서비스 등 

 

키워드

#액티브 방식, 패시브 방식

well-known 포트

단독 데몬(stand-alone daemon), 슈퍼데몬

 

yum -y install httpd

httpd 데몬 설치

 

그리고 방화벽 https, http 체크, 저장

setenforce 0로 SElinux 무력화

service httpd start 해주기

 

netstat -nltp |grep LISTEN으로 80번 포트 열려 있는 것 확인

 

exit && firefox http://localhost

 

단독 서버에 접속 성공!

 

 

백트랙에서 들어가보자

 

잘 들어가진다ㅎㅎ

 

 

yum -y install telnet-server telnet

yum -y install xinetd

cd /etc/xinetd.d

telnet 파일을 만들어줬다.

service xinetd restart

텔넷이라 아니라 슈퍼데몬을 실행. 

 

firewall-cmd --permanent --add-port=23/tcp --zone=public

firewall-cmd --reload

방화벽 열어서 telent도 체크

 

telnet이 아니라 xinetd로 나와있다

 

백트랙에서 텔넷으로 서버 접속 성공했다.

pstree를 때렸더니 xinetd 아래 누군가 로그인한 기록이 뜬다.

 

 

 

우분투를 연다.

 

** 외부에서 root로 로그인을 허용할 때에는 
/etc/securetty에서 콘솔을 열어주어야 한다.

 

아까는 실패했던 root 접속이 성공했다.

root로 들어왔다

두 명이 들어왔다

 

실습 끝