프로덕션 환경(상용)

####프로덕션 고려사항 가용성: control과 worker 노드 분리 스케일링: 필요한 만큼 용량(capacity) 보안 및 접근 관리 서버리스 관리형 컨트롤 플레인 관리형 워커 노드 통합성

프로덕션 클러스터 구성

컨트롤 플레인 배포 도구 선택:kubeadm, kops, kubespray, 컨테이너 런타임 인증서 관리: PKI 인증서 및 요구 조건 확인 apiserver 로드벨런서 구성(외부 로드벨런서 생성하기) etcd 서비스 분리 및 백업: 추가 실행, etcd 데이터베이스 벡업(etcd 클러스터 운영, 고가용성 etcd 생성) 다중 컨트롤 플레인 시스템 구성:최대 3대 머신 실행 다중 영역 확장 구동 중 기능 관리

워커 노드 노드 구성 및 검증 클러스터에 노드 추가 노드 스케일링 노드 자동 스케일링 노드 health 체크 구성

프로덕션 사용자 관리

인증: apiserver를 이용하여 사용자 인증 가능 인가: RBAC(역할 기반 접근 제어), ABAC(속성 기반 접근 제어) 둘 중 하나 선택

컨테이너 런타임

파드가 노드에서 실행될 수 있도록 클러스터의 각 노드에 컨테이너 런타임을 설치 kubelet과 컨테이너 런타임이 cgroup 드라이버(cgroupfs, systemd)를 사용해야 한다 containerd CRI-O 도커 엔진 미란티스 컨테이너 런타임

설치 방법

kubeadm으로 클러스터 구성하기

필수 포트 확인 컨테이너 런타임 설치 kubeadm, kubelet 및 kubectl 설치 cgroup 드라이버 구성 kubeadm API로 컴포넌트 사용자 정의하기 ClusterConfiguration의 플래그로 컨트롤 플레인 사용자 정의하기

kOps로 쿠버네티스 설치하기

클러스터 구축(AWS에 클러스터 생성)

Kubespray로 쿠버네티스 설치하기

클러스터 생성하기 클러스터 스케일링하기 클러스터 업그레이드 하기

개념

쿠버네티스란 무엇인가?

쿠버네티스는 컨테이너화된 워크로드와 서비스를 관리하기 위한 이식성이 있고, 확장가능한 오픈소스 플랫폼 쿠버네티스란 명칭은 키잡이(helmsman)나 파일럿을 뜻하는 그리스어에서 유래 전통적인 배포 시대: 한 물리 서버에서 여러 애플리케이션의 리소스 한계를 정의할 방법이 없었기에, 리소스 할당의 문제가 발생 가상화된 배포 시대: 단일 물리 서버의 CPU에서 여러 가상 시스템 (VM)을 실행, 가상화를 통해 일련의 물리 리소스를 폐기 가능한(disposable) 가상 머신으로 구성된 클러스터로 만들 수 있음 컨테이너 개발 시대: 컨테이너는 VM과 유사하지만 격리 속성을 완화하여 애플리케이션 간에 운영체제(OS)를 공유 기민한 애플리케이션 생성과 배포 지속적인 개발, 통합 및 배포 가시성(observability) 개발, 테스팅 및 운영 환경에 걸친 일관성 클라우드 및 OS 배포판 간 이식성 애플리케이션 중심 관리 느슨하게 커플되고, 분산되고, 유연하며, 자유로운 마이크로서비스

클러스터 아키텍처

노드

쿠버네티스는 컨테이너를 파드내에 배치하고 노드 에서 실행함으로 워크로드를 구동한다.

관리

API 서버에 노드를 추가하는 두가지 주요 방법이 있다. 1.노드의 kubelet으로 컨트롤 플레인에 자체 등록 2.사용자(또는 다른 사용자)가 노드 오브젝트를 수동으로 추가

노드 이름 고유성

이름은 노드를 식별한다. 두 노드는 동시에 같은 이름을 가질 수 없다. 쿠버네티스는 또한 같은 이름의 리소스가 동일한 객체라고 가정한다. 수동 노드 관리 kubectl을 사용해서 노드 오브젝트를 생성하고 수정할 수 있다.

노드 상태

노드의 상태는 다음의 정보를 포함한다. 주소 컨디션 용량과 할당가능 정보

하트비트

쿠버네티스 노드가 보내는 하트비트는 클러스터가 개별 노드가 가용한지를 판단할 수 있도록 도움을 주고, 장애가 발견된 경우 조치를 할 수 있게한다. 노드에는 두 가지 형태의 하트비트가 있다. 노드의 .status에 대한 업데이트 kube-node-lease 네임스페이스 내의 리스(Lease) 오브젝트. 각 노드는 연관된 리스 오브젝트를 갖는다.

컨트롤 플레인-노드 간 통신

2. Server = EC2 (Elastic Compute Cloud) 가상서버

3. Firewall = Secirity group 인터넷에서 서버로의 접속 차단, 허용

4. L4 = ELB (Elastic Load balancer) 서버 이중화 장비

5. DNS = ROUTE 53 도메인을 관리하는 서비스 글로벌 이중화 서비스가 되도록 GSLB기능도 제공

6. DB = RDS (관계형 데이터 베이스 서비스 Mysql, Oracle)와 NoSQL

7. Storage = S3 (Simple Storage Service) = 오브젝트 스토리지 동영상, 이미지, MP3와 같은 콘텐츠 저장 서비스

8. CDN (Contents Delivery Network) = CloudFront, 파일/이미지 서비스 사용자가 컨텐츠를 빠르게 접속할 수 있도록 해주는 서비스

9. EBS (Elastic Block Store) = 저장 장치, 하드 디스크 보통 DB디스크로 사용

10. AMI (Amazon Machine Image) = OS, 리눅스와 윈도 운영체제의 서버 이미지

11. Public IP → 변경되는 공인 IP 외부에서 접속 가능하나 AWS 인스턴스 시작할 때 임의 IP로 할당. 변경이 되는 IP 인터넷 서비스 목적이라면 변경이 되지 않는 EIP를 할당받아 사용

12. Elastic IP (EIP) = Public IP, 한번 할당되면 변하지 않는 공인 IP 고정 공인 IP 인터넷 서비스할 때 EIP를 사용 DNS에 매칭

13. Router = 인터넷 게이트웨이(IGW) 인터넷으로 나가기 위한 통로 VPC는 폐쇄된 네트워크인데 외부와 통신하기 위해 인터넷 게이트웨이(IGW)를 통해 통신

14. 전용선 = 디렉트 커넥트

15. 리즌 = *나라 * Region, 서울리전, 도쿄리전, 일반적으로 나라라고 보면 됨.

16. 가용영역 =** IDC** Availability Zone, 서울IDC, 부산 IDC

※ VPC 내부서비스와 외부 서비스 VPC 내부 위치 서비스 : EC2 VPC 외부 위치 서비스 : S3, DynamoDB

국가에 속한 서비스와 전체적으로 적용되는 Global 서비스 구분

Global 서비스(리즌에 속하지 않는 서비스)

= IAM(계정관리), CloudFront(CDN), Route 53(DNS)

VPN (Virtual Private Network) 서비스의 약자로, public(인터넷) 망을 통해서 회사의 private network 망에 연결하게 해주는 서비스 VPN은 실제 사설망이 아닌 가상의 사설망 회사의 네트워크 구성에서 직원 간 네트워크를 분리하고 싶다면 가상의 망 VPN을 사용하면 됨

VPC란?

VPC는 Virtual Private Cloud의 약자로 아마존 클라우드 내에서 private ip를 사용하는 일종의 가상 private network 망을 만들어줄 수 있게 해주는 서비스 하나의 VPC는 하나의 Region내에서만 생성이 가능 즉 VPC를 두개 이상의 region에 걸쳐서 사용이 불가능 VPC가 없다면 인스턴스들이 거미줄처럼 연결되어 복잡한 형태로 되지만 만약 VPC가 적용되면 VPC별 네트워크 구성할 수 있고 설정을 줄 수 있다. VPC 구축을 위해 사설아이피대역에 맞추어 구축해야 함 VPC에서 사용하는 사설 아이피 대역

• 10.0.0.0 ~ 10.255.255.255(10/8 prefix)

• 172.16.0.0 ~ 172.31.255.255(182.16/12 prefix)

• 192.168.0.0 ~ 192.168.255.255(192.168/16 prefix)

Subnet이란?

하나의 region 내에서 여러개의 AZ에 걸쳐서 생성이 가능 VPC안에 여러개의 subnet을 생성할 수 있는데, 하나의 subnet은 VPC안에서 하나의 AZ에만 생성이 가능 서브넷은 VPC를 잘게 쪼개는 과정 VPC 안에 있는 VPC보다 더 작은 단위이므로 아이피 범위가 더 작게됨

Route Table이란?

각 subnet에는 default로 subnet과 밖을 연결해주는 router가 생성되고, 이 router는 route table을 가짐. 대상 ip address에 routing 경로를 정의하는 것으로 subnet에서 밖으로 나가는 outbound traffic에 대한 routing 경로를 의미 이 route table은 AWS 콘솔에서 설정이 가능하고, routing 경로는 target의 타입에 따라서, 크게 세가지로 분리 가능

• Local : VPC 내의 다른 subnet으로 traffic을 routing

• Internet gateway : internet gateway를 통해서, 외부 인터넷으로 traffic을 routing

• Virtual private gateway : 관리자가 임의로 정의한 destination으로 traffic을 routing

네트워크 요청이 발생하면 데이터가 라우터로 감 라우터란, 목적지이고 라우팅데이블이란 목적지에 대한 이정표 인터넷게이트웨이는 VPC와 인터넷을 연결해주는 하나의 관문

Security Group이란?

Security Group은 VPC 안에서 일종의 방화벽 처럼 사용 VPC 가 아니더라도 Security Group은 AWS에서 필수적으로 사용되는데, Security 그룹은 inboud 또는 outbound traffic에 대해서 port 별로 접근을 제어할 수 있는 기능을 제공 마치 방화벽과 같은 기능을 하는 서비스

NAT 게이트웨이는 프라이빗 서브넷이 인터넷과 통신하기 위한 아웃바운드 인스턴스 퍼블릭 서브넷사 동작하는 NAT 게이트웨이는 프라이빗 서브넷에 외부로 요청하는 아웃바운드 트래픽을 받아 인터넷게이트웨이와 연결

NAT(Network Address Translation)란?

NAT 게이트웨이는 NAT(Network Address Translation, 네트워크 주소 변환) 서비스 프라이빗 서브넷의 인스턴스가 VPC 외부의 서비스에 연결할 수 있지만 외부 서비스에서 이러한 인스턴스와의 연결을 시작할 수 없도록 NAT 게이트웨이를 사용

즉, 외부 서비스에서 프라이빗 서브넷의 인스턴스로 접근할 수 없게 하되, 프라이빗 서브넷의 인스턴스에서는 외부 서비스로 접근할 수 있게 해주는 서비스

CIDR(사이더)란?

CIDR(Classless Inter-Domain Routing)는 클래스 없는 도메인 간 라우팅 기법으로 1993부터 도입되기 시작한 IP 주소 할당법이다. 사이더는 기존의 IP 주소 할당 방식이었던 네트워크 클래스를 대체하였고 사이더를 사용함으로써 IP주소의 영역을 여러 네트워크로 나눌 때 기존방식에 비해 유연성이 증가하게 되었다. 사이더의 표기법은 서브넷 마스크의 표기법과 동일하다.

배스천 호스트(Bastion Host)란 침입 차단 소프트웨어가 설치되어 내부와 외부 네트워크 사이에서 일종의 게이트 역할을 수행하는 호스트

배스천 호스트는 내부 네트웍과 외부 네트웍 사이에 위치하는 게이트웨이이다. 보안대책의 일환으로 사용되는 배스천 호스트는, 내부 네트웍을 겨냥한 공격에 대해 방어하도록 설계되었다. 네트웍의 복잡도와 구성에 따라 다르지만, 단일 배스천 호스트 그 자체로서 방어를 할 수도 있으며, 또는 다른 방호 계층과 함께 대형 보안 시스템의 일부가 되기도 한다. 배스천 호스트는 접근 제어 기능과 더불어 게이트웨이로서 가상 서버(Proxy Server)의 설치, 인증, 로그 등을 담당한다. 그만큼 위험에 노출되는 경우가 많기 때문에, 배스천 호스트는 네트워크 보안상 가장 중요한 방화벽 호스트이다. 특히 내부 네트워크 전체의 보안을 담당하기 때문에 관리자의 감시 및 정기적인 점검이 뒷받침되어야 한다. IT 보안 기업에서 제공하는 방화벽 솔루션은 이러한 배스천 호스트를 제공하는 것이 대부분이다.

많은 가게에서 이용하는 Point of Sale(POS) 시스템 운영을 예시로, 만약 배스천 호스트가 없는 경우 외부 네트워크에서 공격을 받아 패스워드가 탈취 당한다면 내부 네트워크인 POS Server에 접근이 가능해진다. 반면 배스천 호스트를 운영하고 있다면 외부 네트워크의 패스워드가 탈취 당하더라도 POS Server까지는 접근할 수 없다.

배스천 호스트 생성 AWS setting

VPC 서브넷 생성 (public 2개, private 2개) 라우팅 테이블 생성 (public 1개, private 2개) 인터넷 게이트웨이 생성

보안그룹
public 인바운드 규칙 생성 private 인바운드 규칙 생성(ssh > bastion private ip 지정)

인스턴스 bastion 서버 생성(EIP 활성화) private 서버 생성

public EC2(bastion) 접속 후 private EC2 접속 키페어 bastion 서버 복사 (scp [키페어] [계정]@[ip]:[복사할경로]) ssh 키페어 [계정]@private ip 접속

Bastion Host Best Practice

기본적으로, Bastion Host와 Private 인스턴스는 SSH 접근 인증에 개인 키를 사용한다.

Bastion Host 에서 다른 인스턴스로 연결하는 경우에도 개인 키를 필요로 하는데, 여기에는 크게 2 가지 방법이 있다.

Bastion Host에 사용자 Local PC의 개인키를 복사하는 것 Bastion Host에서 SSH agent forwarding 을 사용하는 것

Advantages & Disadvantages of Bastion Host

장점

단일 로그인 포인트를 설정하고 관리하기 때문에 방화벽 설계를 단순화 할 수 있다. 네트워크 사용에 관련한 로그를 한 곳에서 관리할 수 있다. 중소규모의 팀에서 매우 유용하게 사용할 수 있다.

단점

이 방법은 오직 SSH 프로토콜만을 이용하기 때문에 HTTP와 같은 어플리케이션 서비스에 사용할 수 없다.

SFTP Server 설정

/etc/ssh/sshd_config 설정

vi /etc/ssh/sshd_config

#PasswordAuthentication no -> 주석처리
PasswordAuthentication yes -> 주석제거
쉘 접근 불가능한 계정 생성

useradd -s /sbin/nologin test01

암호설정

passwd test01

Chroot 설정

vi /etc/ssh/sshd_config

#Subsystem sftp /usr/libexec/openssh/sftp-serve -> 주석 처리
Subsystem sftp internal-sftp
Match Group sftpuser01
ChrootDirectory /%u
ForceCommand internal-sftp

sftp /home/sftuser02/upload 해당 경로에 업/다운로드 되도록 설정

사용자 그룹이 sftpusers 인 경우 chroot 적용

vi /etc/ssh/sshd_config #Subsystem sftp /usr/libexec/openssh/sftp-server Subsystem sftp internal-sftp -f local2 -l INFO
/* 일반 유저의 sftp logging 설정. local2를 설정한 이유는 secure 파일에 저장하기 위함. */ Match Group sftpusers SFTP 사용자와 일치하는 그룹 ChrootDirectory %h ChrootDirectory 지시어는 SFTP 사용자(chroot 감옥)의 루트 디렉터리를 지정하는 데 사용 ChrootDirectory를 이용해서 쉘접속에서 접근할 수 있는 최상위 디렉토리를 제한하는 것은 불가능
ChrootDirectory 구문에서 계정의 홈디렉토리 경로는 %h로 대체

경로 지정

%h - 홈 디렉토리 %u - 인증된 사용자의 사용자 이름 지정 %% - % 기호를 이스케이프 처리

Match

User - 사용자 계정 Group - 사용자 그룹 LocalPort - 접근 포트

X11Forwarding no X11 전달이 허용되는지 여부를 지정 X11 전달이 활성화되면 sshd 프록시 디스플레이가 와일드 카드 주소를 수신하도록 구성된 경우 서버 및 클라이언트 디스플레이에 대한 추가 노출이 있을 수 있다 AllowTcpForwarding no TCP 전달이 허용되는지 여부를 지정 TCP 전달을 비활성화해도 사용자는 항상 자신의 전달자를 설치할 수 있으므로 셸 액세스가 거부되지 않는 한 보안이 향상되지 않는다

ForceCommand internal-sftp -l INFO
/* chroot에서 사용할 ForceCommand에서는 -f 옵션이 적용되지 않음. 디폴트로 secure 파일에 저장 됨. */

systemctl restart sshd

chroot를 적용하려면 chroot가 적용된 디렉터리의 소유자는 root가 되야만 하고, 가상의 root 디렉터리가 되는 /home/test/daegam 의 퍼미션은 755로만 설정이 되야한다. 그 외의 설정은 접속이 되지 않는 상황이 된다.

vsFTP

vsFTP Server 설정

vsFTP 설치

yum -y install vsftpd

vsFTP 설정

vi /etc/vsftpd/vsftpd.conf

anonymous_enable=YES # anonymous_enable=NO 로 바꿈
chroot_local_user=YES # 주석 제거

pasv_enable=YES
pasv_min_port=50001
pasv_max_port=50005
allow_writeable_chroot=YES
FTP 계정생성 및 홈디렉토리 지정하여 생성

useradd -s /sbin/nologin -d /ftp/upload -m admin01

암호설정

passwd admin01

FTP 디렉토리 소유자 변경

chown admin01:admin01 /ftp/upload

권한부여

chmod 700 /ftp/upload

nologin 유저 FTP접속을 위해 유효한 shell로 등록

echo "/sbin/nologin" >> /etc/shells

데몬시작

systemctl start vsftpd

데몬 활성화

systemctl enable vsftpd

vsFTP Client 설정

FTP 클라이언트 설치

yum install ftp -y

FTP 접속

ftp Server

파일 다운로드

get Filename

파일업로드

put Filename Filename

파일이름을 정의하지 않고 절대경로로 입력하면 오류

dir 경로로 업로드 설정

FTP 설정

vsFTP

sFTP

vsftp에서 500 OOPS: cannot change directory 오류가 나올 때

vim /etc/vsftpd/chroot_list

admin01

vsftpd 실행 오류 발생 시

service vsftpd start

허가권 (permisstion)

r (읽기, 4): 디렉터리 목록 확인 권한 w (쓰기, 2): 디렉터리 안에서 파일을 생성, 삭제할 수 있는 권한 x (실행, 1): 디렉터리의 경로 변경, 디렉터리 안에 있는 항목을 읽을 수 있는 권한

0 : 접근 권한 없음 (---)

1 : 실행 가능 (--x)

2 : 쓰기 가능 (-w-)

3 : 쓰기,실행 가능 (-wx)

4 : 읽기 가능 (r--)

5 : 읽기,실행 가능 (r-x)

6 : 읽기,쓰기 가능 (rw-)

7 : 모든 접근 가능 (rwx)

허가권(permission) 관리 명령어

chmod 파일의 허가권 변경 unmask 개체가 생성될 때 부여되는 기본 permission 설정 setuid 일시적으로 소유자의 권한으로 파일을 실행함 setgid 일시적으로 소속그룹의 권한으로 파일을 실행함 sticky bit 모든 권한 할당(단, 삭제는 소유주만 가능함)

소유권 (ownership)

가장 맨 앞: d로 시작하면 디렉토리, 하이픈 시작하면 파일 첫번째: 소유자 또는 사용자 두번째: 그룹 세번째: 소유자와 그룹에 해당이 안되는 사용자

소유권(ownership) 관리 명령어

chown 파일의 소유권 변경 chgrp 파일의 소속그룹 소유권 변경

※상대 경로와 절대 경로

리눅스에서 디렉터리와 파일들의 관계를 형상화하면 트리(tree) 구조 형태를 띄고 있음 모든 디렉터리 경로는 /(루트) 로 부터 시작하여 / 하위에 위치

절대경로

절대 경로란 특정한 파일의 경로를 표현할 때 / (루트 디렉터리) 부터 시작하는 경로

상대경로

상대 경로란 특정한 파일의 경로를 표현할 때 현재 사용자가 접근해 있는 현재 경로를 기준으로 시작하는 경로

리눅스 경로 표기

. : 현재 접근해 있는 디렉터리를 의미 .. : 부모(상위) 디렉터리를 의미 ~ : 현재 리눅스에 접속해 있는 계정의 홈 디렉터리를 의미

리눅스 경로 표기 예시

./ee.jpg : 현재 경로의 ee.jpg 파일. 절대경로로 표기하면 /opt/aaa/window/window/ee.jpg ../../bbb : 상위 디렉터리의 상위 디렉터리에 있는 bbb 디렉터리 /opt/bbb ~ : ~가 의미하는것은 현재 계정의 홈 디렉터리 이므로 접속한 계정에 따라 경로가 달라짐. root 계정인 경우 /root를 의미

특수 권한

• 일반적인 권한과는 조금 다른 특수한 권한

  SetUID:other가 파일을 실행할 때 소유자의 권한으로 접근할 수 있게 해주는 권한 (실행이 x가 아닌 s로 나타남)

  • chmod 4xxx [파일이름] 또는 chmod u+s [파일이름]

  SetGID: other가 파일을 실행할 때 관리 그룹의 권한으로 접근할 수 있게 해주는 권한 (실행이 x가 아닌 s로 나타남)

  • chmod 2xxx [파일이름] 또는 chmod g+s [파일이름]

  StickyBit: 디렉토리를 마치 자유게시판처럼 사용할 수 있게 해주는 권한일반적으로 /tmp 디렉토리에 부여 (실행이 x가 아닌 t로 나타남)

  • chmod 1xxxx [파일이름] 또는 chmod o+t [파일이름] 스티키 비트(1000)가 설정된 디렉터리는 누구나 파일을 만들수 있지만 자신의 소유가 아닌 파일은 삭제할 수 없습니다. 즉 일종의 공유 디렉터리라고 볼수 있는데 sticky bit 가 붙은 가장 유명한 사례는 유닉스의 임시 파일을 쓰는 디렉터리인 /tmp 입니다.

디렉터리에 스티키 비트를 붙일 때 누구나 읽고, 쓰고, 실행할 수 있도록 777 권한을 줘야 함

실습

SetUID, SetGID 권한 변경 명령 chmod 4777 test test : -rwsrwxrwx.

chmod 2777 test test : -rwxrwsrwx.

chmod 1777 test test : -rwxrwxrwt

find / -perm -4000 > /jhj/setuid_file_list (4000이 포함된 파일을 찾기 위해 앞에 - 붙이기)

Sticky Bit 실습

chmod 777 dir1, chmod 1777 dir2 두 디렉토리의 차이점

1. dir1에서는 사용자끼리 소유물의 권리가 없음

2. dir2에서는 사용자끼리 소유물의 권리가 있음

   x 권한이 있으면 s(소문자) //rws rwx rwx x 권한이 없으면 S(대문자) //rwS rwx rwx

   절대경로 ex) www/css/style.css 상대경로 ex) ../css/style.css ./* :현재경로 이후의 모든 디렉토리, 파일들 ../* :상위경로 이후의 모든 디렉토리, 파일들

※umask

umask 000 새 폴더: 777 새 파일: 666

umask 001 새 폴더: 776 새 파일: 666

umask 022 새 폴더: 755 새 파일: 644

chown -R 옵션

-R: 경로와 그 하위 파일들을 모두 변경한다.

~/../BAE BAE 상대경로

cd ~ home cd - 이전 경로로 이동

cd / 최상위 디렉토리로 이동

rwsrwxrwx rwSrwxrwx

rwsrwxrwx == 4777 x 권한이 있으면 s(소문자) rwSrwxrwx == 4677 x 권한이 없으면 S(대문자)

vi /etc/ssh/sshd_config

BastionHost Config

• root login 설정(sshd)

  PermitRootLogin yes
  #PermitRootLogin no
  

#생략

PasswordAuthentication yes #PasswordAuthentication no

ChallengeResponseAuthentication yes #ChallengeResponseAuthentication no

### sshd_config 파일 주요 설정

port 22

- ssh가 사용할 기본 포트 지정

Allowusers user1 root

- 로그인 허락할 계정을 기록

- user1과 root 두 계정에게만 로그인 허용

Protocol 2

- openssh는 프로토콜 버전을 원하는 대로 선택

ListenAddress 0.0.0.0

- sshd 데몬이 통신가능한 주소

- 0.0.0.0은 모든 네트워크

HostKey for protocol version 1
HostKey /etc/ssh/ssh_host-key 

KeyRegenerationInterval 3600 -->protocol 1 사용안함

- 서버의 키는 한번 접속 이뤄진 뒤 자동적으로 다시 만듦
다시 만드는 목적은 나중에 호스트의 세션에 있는 키를 캡처해서
암호를 해독하거나 훔친 키를 사용하지 못하도록 하기 위함

- 값이 0이면 키는 다시 만들어지지 않는다. 기본값은 3600최다.

ServerKeyBits 1024

- 서버 키에서 어느정도의 비트수를 사용할지 정의

- 최소값은 512, 디폴트 값 768

#Autentication:
LoginGraceTime 600

- 유저의 로그인이 성공적으로 이루어지지 않았을 때 이 시간 후에
서버가 연결을 끊는 시간이다.

- 값이 0이면 제한 시간이 없다. 기본값 600초

- PermitEmptyPasswords no

패스워드 인증을 할 때 서버가 비어있는 패스워드를 인정하는 것

- PermitRootLogin  yes

root 로그인 허용여부를 결정하는 것

- PasswordAuthentication  yes

패스워드 인증을 허용

- ChallengeResponseAuthentication  yes

Challenge-Response 인증을 허용할지 여부 설정

no인 경우 mfa 인증 불가 


### sudo설정

sudo 권한 부여
Allow root to run any commands anywhere

패스워드가 없이 sudo 권한 부여
 Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d

특정명령어 enable
(example 1)
someuser ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom

(example 2)
someuser (host)=(runUser:[runGroup]) option:

someuser는 (host)에서 (command)를 [runGroup]의 runUser의 권한으로 시행 가능함

### 로그 설정
SSH LogLevel설정

vi /etc/ssh/sshd_config

LogLevel DEBUG3

sshd 재시작

systemctl restart sshd

SCP Log 출력

tail - 1000f /var/log/secure | egrep “accepted|scp|Connection”

로그 파일 생성

vi /etc/logrotate.d/secure

#추가 /var/log/secure { weekly #주단위 rotate 260 #260주로 적재 compress #압축활성화 missingok #로그파일이 없어도 에러처리X create 600 root root #권한설정 dateext #YYYYMMDD확장자 추가 sharedscripts #pre/postrotate한번만실행 postrotate #순환작업 후 실행할 작업 설정 /bin/kill -HUP cat /var/run/syslogd.pid 2> /dev/null 2> /dev/null || true endscript }

prerotate / endscript:  순환작업 전 실행할 작업 설정
postrotate / endscript: 순환작업 후 실행할 작업 설정

ostrotate #순환작업 후 실행할 작업 설정
     /bin/kill -HUP cat /var/run/syslogd.pid 2> /dev/null 2> /dev/null || true
     # SIGHUP 을 syslogd 로 보내 모든 오류 메시지를 버리고 성공하면 true를 반환
endscript

![](https://velog.velcdn.com/images/soobeen-jeong/post/ce482761-319f-4d8e-9085-e7dfc142da43/image.png)

### crontab 추가
crontab -e
*　　　      *　　　　    *　　　　　　 *　　　　　　  *          <username> command(s)
분(0-59)　　시간(0-23)　　일(1-31)　　월(1-12)　　　요일(0-7)

crontab -e

* 0 * * *       /usr/sbin/logrotate /etc/logrotate.conf


### 로그주기설정
vi /etc/logrotate.conf

monthly #monthly로 수정

/var/log/*{ missingok monthly create 0600 root utmp rotate 12 }

systemctl restart rsyslog

### selinux 해제

vi /etc/selinux/config

#SELINUX=enforcing SELINUX=disabled

reboot (or # setenforce 0)

### Google Authenticator 설치
yum -y install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

yum -y install google-authenticator
![](https://velog.velcdn.com/images/soobeen-jeong/post/ab5f7e06-462b-4de0-964a-3c0cb7c7a476/image.png)




### 첫 로그인 시 MFA 강제 설정 script
vi /etc/profile.d/mfa.sh

if [ ! -e ~/.google_authenticator ] && [ $USER != "root" ]; then google-authenticator --time-based --disallow-reuse --force --rate-limit=3 --rate-time=30 --window-size=3 echo echo "Save the generated emergency scratch codes and use secret key or scan the QR code to register your device for multifactor authentication." echo echo "Login again using your ssh key pair and the generated One-Time Password on your registered device." echo logout fi

```

Error 해결

root 계정으로 접속 service sshd rstart (sshd[ssh 데몬] 재시작) 명령어 입력 시 ADVERTISEMENT Unable to register authentication agent: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed 해당 에러가 발생하는 문제가 발생. 또한 polkit 데몬이 작동하지 않음.

문제 원인: 데몬 서비스가 동작하지 않았으나 실제 원인은 root 디렉토리의 권한을 바꾸면서 발생.(권한 문제)

해결 조치: root 디렉토리의 권한이 744로 되어 있는 상태를 555 상태로 변경함 접근권한 / 퍼미션 744 - 소유자에게 모든 접근 가능, 그룹에게 읽기 가능, 기타에게 읽기 가능 555 - 소유자, 그룹, 기타에게 읽기, 실행 가능

EC2 수명 주기라 함은 AMI로부터 실행이 되고나서 종료될 때까지 EC2가 거치는 과정을 말함

EC2 사이클 상태

1) pending state

제일 처음 ami 실행되면 준비상태 ec2를 가동하기 위해 가상머신,eni,ebs 등이 준비되는 과정

2) running state

실제 ec2를 사용할 수 있는 상태

running 상태에서 할 수 있는 3가지

• 중지 인스턴스를 잠깐 멈춤 인스턴스 요금 미청구 단, EBS 요금, 다른 구성요소(Elastic IP)은 청구 중지 후 재시작 시 퍼블릭 ip 변경 EBS를 사용하는 인스턴스만 중지 가능
• 재부팅 인스턴스를 다시시작 하는 것 중지하고 다시시작과는 달리, 재부팅 시 퍼블릭ip 변동X
• 최대 절전모드 메모리 내용을 보존해서 재시작시 중단지점에서 시작할 수 있는 정지모드 컴퓨터/노트북 최대 절전 모드와 같은 원리

  3) shutting-down state

  인스턴스 종료 중 설정에 따라 EBS도 같이 종료 시킬 수 있고 EBS는 남기고 인스턴스만 종료할 수 있다.

  4) terminated state

  완전히 종료, 인스턴스가 영구적 삭제

EC2 상태별로 인스턴스 요금

요약하자면, 인스턴스 미사용시 중지시켜두기만 해도 많은 비용 절감 가능 다만, 인스턴스를 stopped 해도, EBS나 탄력적 IP를 연결했을 겨우 별도로 청구되니 유의해야 함

이를 이용해서 인스턴스 자동 정지/시작 기능을 이용해, 예를 들어 9시에 aws 서비스를 탑재한 인스턴스를 시작하고 18시에 다시 중지 시켜놓는 식으로 구성 가능

클라우드 컴퓨팅(Cloud Computing) 클라우드 컴퓨팅이란, 인터넷이라는 통신 서비스를 활용한 컴퓨팅 서비스 종류의 하나로 개인용 컴퓨터가 아닌, 인터넷을 통해 연결된 원격 컴퓨터를 활용하는 기술을 말합니다. 쉽게 말해 '개인용 컴퓨터보다 성능이 뛰어난 컴퓨터나 저장장치 등의 컴퓨터 자원을 다른 곳에서 빌려 사용할 수 있도록 처리해주는 IT 기술이다'라고 할 수 있습니다. 이러한 클라우드 컴퓨팅 자원에 대해 언제, 어디서나, 인터넷을 사용해 손쉽게 접근이 가능하며 최소한의 노력으로 최단 시간에 컴퓨터 자원을 늘리거나 줄이는 것이 가능합닌다. 또한 Pay-Per-Use Pricing이 적용되어 사용한 만큼만 비용을 지불하면 됩니다. 집에서 사용하는 전기, 가스, 수도 요금과 같이 한달 사용량을 측량하여 사용한 만큼 비용을 지불하는 것과 같이 클라우드 서비스도 매월 자원을 사용한 만큼에 대해 비용으로 지불하게 됩니다.

클라우드 컴퓨팅 모델

Infrastructure as a Service(IaaS) IaaS로 줄여 쓰기도 하는 Infrastructure as a Service는 클라우드 IT의 기본 빌딩 블록을 포함하고 일반적으로 네트워킹 기능, 컴퓨터(가상 또는 전용 하드웨어) 및 데이터 스토리지 공간을 제공합니다. Infrastructure as a Service(IaaS)는 IT 리소스에 대해 가장 높은 수준의 유연성과 관리 제어를 제공하며 오늘날 많은 IT 부서와 개발자에게 익숙한 기존 IT 리소스와 가장 비슷합니다.

Platform as a Service(PaaS) Platform as a Service(PaaS)를 사용하면 조직은 기본 인프라(일반적으로 하드웨어와 운영 체제)를 관리할 필요가 없어 애플리케이션 개발과 관리에 집중할 수 있습니다. 즉, 애플리케이션 실행과 관련된 리소스 구매, 용량 계획, 소프트웨어 유지 관리, 패치 또는 다른 모든 획일적인 작업에 대한 부담을 덜어 더욱 효율적이 되도록 해줍니다.

Software as a Service(SaaS) Software as a Service는 서비스 제공업체에 의해 실행되고 관리되는 완전한 제품을 고객에게 제공합니다. 대부분의 경우 Software as a Service라고 하면 최종 사용자 애플리케이션을 말합니다. SaaS 오퍼링을 사용하면 서비스가 어떻게 유지 관리되는지 또는 기본 인프라가 어떻게 관리되는지 생각할 필요가 없으며 소프트웨어 이 특정 부분을 어떻게 사용할지만 생각하면 됩니다. SaaS 애플리케이션의 일반적인 예로는 이메일 제품용 추가 기능을 관리할 필요가 없고 이메일 프로그램이 실행되는 서버 및 운영 체제를 유지 관리하지 않고 이메일을 보내고 받을 수 있는 웹 기반 이메일이 있습니다.

클라우드 컴퓨팅 배포 모델

클라우드 클라우드 기반 애플리케이션은 클라우드상에 완전히 배포되며 애플리케이션의 모든 부분이 클라우드에서 실행됩니다. 클라우드의 애플리케이션은 클라우드에서 생성되었거나 클라우드 컴퓨팅의 이점을 활용하기 위해 기존 인프라에서 클라우드로 마이그레이션되었습니다. 클라우드 기반 애플리케이션은 낮은 수준의 인프라상에 구축할 수 있고 또는 주요 인프라를 관리, 설계 및 확장할 필요가 없는 높은 수준의 서비스를 사용할 수 있습니다.

하이브리드 하이브리드 배포는 클라우드 기반 리소스와 클라우드에 위치하지 않은 기존 리소스 간에 인프라와 애플리케이션을 연결하는 방법입니다. 클라우드와 기존 온프레미스 인프라 간에 가장 일반적인 하이브리드 배포 방법은 클라우드 리소스를 내부 시스템에 연결하면서 조직의 인프라를 클라우드로 확장하는 것입니다. AWS가 하이브리드 배포에 어떻게 도움을 줄 수 있는지 자세히 알아보려면 하이브리드 페이지를 방문하세요.

온프레미스 가상화 및 리소스 관리 도구를 사용하여 온프레미스에 리소스를 배포하는 것을 “프라이빗 클라우드”라고 부르기도 합니다. 온프레미스 배포는 클라우드 컴퓨팅이 가진 많은 장점을 제공하지는 않지만 전용 리소스를 제공하는 온프레미스 기능이 필요할 때가 있습니다. 대부분의 경우 온프레미스 배포 모델은 리소스 활용도를 높이기 위해 애플리케이션 관리 및 가상화 기술을 사용한다는 점에서 레거시 IT 인프라와 같습니다. 출처:https://aws.amazon.com/ko/types-of-cloud-computing/

가상화 종류

Hosted Hypervisor 가상화

기존 OS (Host OS)와 별개로 가상화 SW를 이용해서 가상 HW를 구성/제공하는 가상화 방법 Hypervisor를 지원하는 CPU 환경에서만 가능 Hypervisor 환경에서 가상 HW를 구성한 가상머신 (virtual machine) Host OS와 Guest OS 별도 설치 사용 -> 자원관리 측면에서 많은 자원소모 발생 가상머신의 크기가 SW적으로 하나의 컴퓨터에 대한 자원들을 관리하므로 용량이 큰 편 가상화 SW

VMWare VirtualBox

OS 가상화 (bare metal hypervisor)

기존 OS (호스트 OS) kernel을 수정하여 가상화 기능 제공 => KVM 가상의 HW 생성 없이 물리적인 HW를 가상화 기술을 이용하여 공유 자원관리 측면에서 bare metal 방식보다 효과적 & 크기 측면에서도 더 적은 크기로 제공 public cloud 제공업체에서 주로 활용 public cloud의 모든 서비스는 가상환경을 이용하여 제공

Application 가상화

Application 실행 환경을 가상화하여 좀 더 쉽게 app을 배포/운영 장점 ex) docker

aws 2가지 종류의 계정

1. 루트 사용자의 개념 AWS 루트 사용자는 회원가입 시 만든 계정으로서 모든 AWS 권한을 갖고 있는 사용자입니다. 이 계정은 탈취당할 시 복구가 매우 어려울 뿐만 아니라, 최근에는 해커들이 비트코인 채굴에 AWS 계정을 착취하여 사용하기 때문에 상상을 초월하는 과금폭탄을 맞을 수 있습니다. 실제로 최근 국내에서 AWS 계정이 해킹을 당하여 과금만 3억이 나온 사례도 있습니다. 따라서, 루트 사용자는 계정 설정을 변경하거나 과금 관리(i.e., Billing) 등 관리 목적으로만 사용하는 것이 바람직합니다. 이처럼 루트 사용자는 최대한 사용을 자제하고 로그인 시 Multi Factor Authentication(MFA)과 같은 OTP 사용을 권장하고 있습니다.

2. IAM 사용자의 개념 루트 사용자는 탈취 당할 시 치명적인 문제를 야기할 수 있기 때문에 AWS 관리를 제외한 서비스 관리용 계정이 필요한데, 이러한 계정이 바로 IAM 사용자입니다. IAM은 Identity and Access Management의 약자로, 특정 사용자나 그룹의 서비스 혹은 리소스에 대한 접근 권한을 관리하는 서비스입니다. 쉽게 말하자면, 누가, 언제, 어디에서, 어떤 서비스를, 어떻게 접근하고 사용할 수 있을지 관리해 주는 역할을 합니다. IAM은 지역별(region) 서비스가 아닌 글로벌 서비스라는 점이 특징입니다.

AWS 서비스 이용 방법

AWS Console 이용

일반적인 (가장 많이 사용) AWS 서비스 사용 방법 - GUI 방식 AWS 서비스 셍성, 모니터링, 삭제, 변경 등을 GUI 방식으로 운영 dashboard를 통해 개별 서비스 현황 파악 가능 시스템 운영자(관리자), application 개발자

AWS CLI (Command Line Interface, 명령 입력 방식) 이용

명령 프롬프트(터미널)에서 명령어 기반으로 AWS 서비스 사용/관리 방법 - CUI 명령을 통해 세세한 관리 수행 별도의 설치 프로그램으로 AWS CLI 설치 후 사용 시스템 운영자(관리자), application 개발자 CLI 사용을 위한 프로그램

Windows AWS 가상 컴퓨팅 사용시 : ssh client 프로그램 (putty, xshell 등) Windows에 직접 CLI 설치시: 명령 프롬프트, windows terminal, power shell 사용 Linux/MacOS - 터미널 프로그램

AWS SDK (Software Development Kit, SW 개발 환경) 이용

application program에서 API (Application Programming Interface, 함수 (function) 집합)를 이용하여 AWS 서비스 사용 별도 설치 필요 application 개발자

IaC (Infrastructure as a Code) 이용

Infra 구축을 코드를 이용하여 관리하는 방법 AWS 서비스 생성 및 운영에 대한 내용을 Code 형식을 사용하여 일괄적으로 관리하는 방법 복잡한 Infra를 일관성있게 유지하면서 관리하기 위한 목적 시스템 운영자 (관리자) 대표적인 IaC Utility AWS CloudFormation Ansible Terraform - Windows 환경에서 많이 사용 참조:https://velog.io/@peppie0192

AWS 글로벌 인프라

글로벌인프라 https://aws.amazon.com/ko/about-aws/global-infrastructure/

• 25개의 리전
• 80개의 가용영역(Availability Zone - AZ)
  • 한국은 가용영역 4곳
• 5개의 local Zone과 13개의 Wavelength Zone
• 245개의 국가와 지역에서 서비스 제공
• 각 리전은 이중화된 100G 케이블(해저 광케이블)로 연결 및 암호화
• AWS 글로벌 인프라 맵
  • https://aws.amazon.com/ko/about-aws/global-infrastructure/regions_az/
  • 해저케이블맵 https://www.submarinecablemap.com/

aws 가 이렇게 많은 리전과 가용영역을 가지는 이유?

• 거리에 따른 지연
  • 레이턴시(Latency) - 패킷을 전송하는 곳에서부터 전달받는 곳까지 이동하는 데 걸리는 시간
  • 전파 지연(propagation delay) : 송신측 → 수신측으로 이동하는데 필요한 시간, 총 이동거리 대비 신호가 이동하는 속도로 측정
  • 광신호 속도(진공- 30만km/s , 광섬유내 20만km/s)
    • 적도 둘래 : 4만km -> 약 200ms
    • 왕복을 해야하기 때문에 시간*2 해야함
• 대부분의 사람들은 시스템에서 100~200ms 정도의 지연을 감지하고 300ms 이상시 '느리다'라고 인식
• AWS 리전 간 레이턴시 확인 https://www.cloudping.co/grid
• 사용자 브라우저와 리전 간 레이턴시 확인 https://www.cloudping.info/
• 법적 규제 및 데이터 거버넌스
• 리전 내에서 사용 가능한 서비스
• 재해극복

리전(지역)

• 리전이란 AWS가 전 세계에서 데이터 센터를 클러스터링하는 물리적 위치
  • 각 AWS 리전은 지리적 영역 내에서 격리되고 물리적으로 분리된 여러 개의 AZ로 구성
  • 리전은 최소 2개의 가용 영역으로 구성되고 최대 6개의 가용 영역으로 구성된 리전도 있음
  • 리전끼리는 aws 백본 네트워크로 연결되어 있음

리전 선택시 고려사항

• 내가 필요한 서비스를 포함하는지?
• 애플리케이션 및 데이터에 해당 리전이 적합한지?
• 고객에 대한 Latency 고려
• 특정 리전에 원하는 AWS 서비스가 아직 준비되지 않은 경우가 있음. 리전별로 다른 비용 고려 같은 아시아 내라도 국가에 따라 비용이 다를 수 있음

가용영역 AZ (Availability Zone)

AZ(가용 영역)는 AWS 리전의 중복 전력, 네트워킹 및 연결이 제공되는 하나 이상의 개별 데이터 센터로 구성

• 즉 리전이 동일해도 다른 가용 영역에 AWS 서비스를 각각 배치했다면 물리적으로는 복수의 데이터센터를 사용하는 것
• 각 센터는 광통신 전용망(고속 프라이빗 네트워크)으로 연결되어 있음
  • 동일 리전 내 존재하는 복수의 AZ는 서로 물리적으로 격리되어 있지만, 좋은 품질의 네트워크 연결을 통해 논리적으로 연결되어 있다.
  • 물리적 격리란 자연재해 및 정전 등 사고에 자유롭다는 의미,
  • 고가용성(HA)를 위해 리전 내 복수의 가용 영역에 데이터와 애플리케이션을 배포하는 것이 좋다.
• AWS 한개의 센터에는 50000~80000대의 물리적 서버가 존재한다고 함
• 가용역역 자체는 장애가 날 수 있음 - 예시) 도쿄 리전 AZ 장애

가용영역과 외부(인터넷) 연결을 위한 이중화된 트랜짓 센터(엣지) 가 존재 - 트랜짓 센터는 AWS 글로벌 백본 네트워크에 연결이 되고, 엣지 POP을 통해서 CDN 등 서비스 함

AZ는 표시할 때는 리전 코드와 식별문자를 조합하여 표현한다. 리전은 국가코드, 위치에 숫자로 표기하며, AZ는 알파벳 소문자를 사용한다.

us-east-1 미국 동부(버지니아 북부) us-east-2 미국 동부(오하이오)

Elastic IP

• AWS의 Elastic IP를 사용하여 인스턴스 장애가 발생한 AZ로부터 다른 영역으로 인스턴스 주소를 신속히 변경할 수 있다.
• Elastic IP는 AWS에서 제공하는 Static ip Address service
  • ip주소는 변경되지 않은 상태에서 해당 ip로 연결하는 AZ는 문제가 발생한 곳에서 문제가 없는 곳으로 빠르게 변경 가능하다 참조:https://velog.io/@swhan9404

Amazon EC2

EC2는 풀어서 쓰면 ECC(Elastic Compute Cloud)의 약자입니다. 말그래도 가상의 컴퓨터를 이야기 합니다. 서버를 빌리고자 할 때는 디폴트로 온디맨드 형식으로 빌릴수 있으며, 가장 기본적인 t2.micro 사이즈의 컴퓨터를 선택하여 시간당 16원 정도 부과됩니다. EC2를 빌리고자 할 때는 다음 몇가지를 신경쓰면 됩니다.

EC2 사용 이점 컴퓨터의 필요한 만큼 크기 설정 가능. 컴퓨팅 리소스에 대한 포괄적인 제어권 제공. 보안 및 네트워크 구성, 스토리지 관리 효과적

EC2에서 인스턴스 유형에 사용되는 자원 CPU 메모리 스토리 네트워킹 용량 EC2에서는 위 자원의 조합으로 운영하려는 서버에 최적화된 환경을 제공함. 운영자는 이에 맞게 적합한 리소스 조합을 선택할 수 있음.

인스턴스 유형 종류

범용(General Purpose) :모든 리소스의 균형을 알맞게 유지하여 사용 가능한 유형 컴퓨팅 최적화(Compute Optimized) : 고성능 프로세서의 이점을 활용하는 유형 (일괄처리, 머신러닝 등) 메모리 최적화(Memory Optimized) : 메모리에서 대규모 데이터를 처리하는 유형 (관계형 및 NoSQL 데이터베이스, '키-값' 유형의 데이터, 비정형 데이터 처리) 가속화된 컴퓨팅(Accelerated Computing) : 그래픽 처리와 같은 하드웨어 기반 컴퓨팅 리소스에 비중을 두는 유형 스토리지 최적화(Storage Optimized) : 로컬 스토리지의 초대형 데이터 세트에 대한 순차적 읽기 및 쓰기 엑세스가 많이 필요한 작업에 적합한 유형 (대량 병렬 처리, 데이터 웨어하우스, 하둡 분산, 로그 처리 등) 우선 위와 같이 크게 5가지로 분류할 수 있는데, 각 유형마다 성능별 여러개로 분류된다.

AMI(Amazon Machine Image) - 아마존에서 제작한 기본 운영체제 이미지 -> 가상 이미지에 여러 프로그램을 설치하여 커스텀 이미지로 만들수도 있음

인스턴스 유형 - 기본은 t2.micro이나 EC2 요금표를 보고 적절히 선택, 간혹 1GB의 적은 메모리로 인해 프로그램 빌드시 느릴 수 있음

인스턴스 세부정보 VPC : 우리가 VPC를 굳이 만들지 않아도 각 리전마다 기본 VPC 및 서브넷이 설정되어 있음 퍼블릭 IP 자동 할당: 외부에서 접근할 수 있는 IP를 할당해줍니다.

스토리지(기본) , 태그 (대시보드에서 편하게 보기위해 Name을 키, 원하는 이름을 값으로 설정)

보안그룹은 NACL과는 다른 AWS 리소스에 사용되며, 상태 저장 방화벽인 것이 특징입니다.(인바운드 규칙 설정시 자동으로 아웃바운드도 같게 설정) - 보통 터미널 접속을 위한 ssh와 웹 접속을 위한 http, https 가 많이 사용되며 서버에 깔리는 애플리케이션에 따라 추가할 수 있습니다. - 다만 모든 포트를 개방한 후 특정 포트만 차단하는 블랙리스트 방식보다는 모든 포트를 차단 후 특정 포트만 열어두는 화이트리스트 방식이 안전하다

마지막으로 검토시작 버튼을 누르면 우리가 빌린 EC2에 접속할 수 있는** 키페어 쌍**을 다운받을 수 있다, 한 번 잃어버리면 다시 발급이 불가하니 유의할것

EC2 사용법

1. https://console.aws.amazon.com/ec2/ 링크 클릭하여 Amazon EC2 콘솔을 연다.

2. 콘솔의 우측 상단에 리전을 선택하고, '인스턴스 시작' 버튼을 누른다.

3. 아마존 머신 이미지(AMI)를 선택한다.

   • 아마존 리눅스 이외에 딥러닝 리눅스 환경이 있는 것도 확인할 수 있다.

4. 인스턴스 유형 선택

5. 키 페어에 대한 메시지가 나타나면 키 페어 생성하여 선택한다. (키 페어 없이 사용하는 옵션은 선택하지 말것!! 인스턴스 연결할 수 없음) 나는 기존에 있는 키페어를 선택했지만 키 페어 생성할 수 있다.

6. 네트워크 설정에서 보안 그룹을 생성할 수 있다. 물론 기존 보안 그룹을 선택 가능하다.

7. 편집에 들어가면 해당화면이 나오며 VPC와 서브넷, ip 자동할당, 인바운드 보안 규칙을 수정할 수 있다. 나는 기존의 인바운드 규칙을 선택하였다.

8. 마지막으로 스토리지 구성을 설정하고 인스턴스 시작 클릭한다. 고급 세부 정보도 있지만 필요에 의해 수정하면 된다.

9.인스턴스 상태를 실행 중 상태로 바꾼다.

EC2 instance 상태

pending EC2 instance 구동준비 상태, 요금 미청구

running EC2 instance 구동 상태, 요금 청구

stopping EC2 instance 구동중지 상태, 요금 미청구, 스토리지 비용은 청구, 메뉴 - 인스턴스 정지

shutting down EC2 instance 종료준비 상태, 요금 미청구

terminated EC2 instance 삭제, 요금 미청구, 메뉴 - 인스턴스 종료 (중지 vs 종료 헷갈리지 말 것!)

EC2 instance IP Address

퍼블릭 IPv4 주소 인터넷에서 사용가능한 IP

EC2 instance가 실행중인 상태에서만 유지 (동적 IP 주소) 기본적으로 EC2 insatnce에 부여된 퍼블릭 IPv4 주소는 동적할당된 IP 주소 -> EC2 instance가 중지되었다가 다시 실행되면 새로운 IP 주소 부여

프라이빗 IPv4 주소 서브넷에 설정한 IP주소 CIDR 범위에서 할당된 로컬 IP, VPC 내에서 통신 가능

EC2 instance 요금 계산

EC2 instance 실행 시간 EC2 instance가 중지 상태인 경우 요금 계산에서 제외

인스턴스 스토리지 볼륨(EBS) 사용량 EC2 instance가 중지 상태인 경우라도 사용요금 부과

네트워크 사용량 패킷 전송(송신)에 대한 비용

탄력적 IP (EIP)

Elastic IP, 고정 IP; 5개까지의 IP를 EIP로 할당 가능

탄력적 IP 사용 경우

EC2 instance에 고정 IP를 부여하고자 하는 경우 NAT Gateway를 사용하는 경우 반드시 EIP 사용 고정 IP 필요성이 있는 경우 사용

EIP 요금

EIP가 EC2 instance에 할당되고 실행 중일 때는 요금 미청구 EIP가 EC2 instance에 할당되고 중지일 때는 요금 청구 EIP가 첨부된 네트워크 인터페이스가 연결되어 있으면 요금 미청구 그 외는 요금 청구 (참고)

EIP 생성

EC2 메뉴 -> 탄력적 IP -> 탄력적 IP 주소 할당

네트워크 경계 그룹 - region 퍼블릭 IPv4 주소 풀 (pool) - Amazon의 IPv4 주소 풀 태그 설정

고정 IP를 사용하고자 하는 인스턴스에 EIP 연결

EC2 메뉴 -> 탄력적 IP -> 연결할 EIP 인스턴스 선택 -> 작업 메뉴 -> 탄력적 IP주소 연결

리소스 유형 : 인스턴스 인스턴스 : EIP를 연결할 인스턴스 선택

EIP 삭제

EIP에 연결된 인스턴스나 네트워크 인터페이스가 없는 경우에만 삭제 가능

EC2 메뉴 -> 탄력적 IP -> 연결할 EIP 인스턴스 선택 -> 작업 메뉴 -> 탄력적 IP 주소 연결 해제 후 다시 작업 메뉴 -> 탄력적 IP 주소 릴리즈를 선택하여 삭제

인스턴스 접속

현재 인스턴스 연결하여 접속한 상태이고 웹서버를 접속하기 위해 httpd를 설치해준다 start 명령어까지 해주면 apache2.4가 자동실행된다. public ip로 접속해야 한다. 이번엔 html 만들려고 한다. 다시 새로고침하면

스토리지

스토리지 타입

어떤 곳에 사용하는게 좋은가? Block Storage : 호스트에서 직접 파일을 액세스하고 기록하며 빠른 성능을 요하는 경우 File Storage : 여러대의 서비스들이 데이터를 공유하고 공유에서 사용해야 하는 경우 Object Storage : 대량의 데이터를 저장하고 또는 앱 컨텐츠로 사용되어야 하거나 다수의 서버에서 해당 데이터에 접근 해야 하는 경우

EBS

• Amazon Elastic Block Storage(EBS) SAN 방식
• EBS는 EC2에서 사용하도록 설계된 영구 지속 블록 스토리지 서비스( 하드 디스크 개념 )
  • EBS 볼륨을 활용하여 파일 시스템을 생성하거나 블록 디바이스 자체로 활용(볼륨구성 동적으로 변경가능)
  • 고성능 대규모 데이터 처리와 트랜잭션 집약적인 워크로드에 사용
  • 데이터베이스, 빅데이터 분석, 엔터프라이즈 애플리케이션과 같은 중요한 업무에 활용
  • 볼륨의 크기를 변경은 수동적인 작업
• 어떨 때 사용하는가?
  • 데이터를 빠르게 액세스하고, 장기적으로 지속해야하는 경우 적합
  • 단일 EC2 인스턴스의 전용 블록 스토리지

    특징

• 고가용성

99.999% 가용성 제공 데이터 손실 방지를 위해 가용 영역 내에서 자동으로 볼륨 복제

• 안정성 모든 EBS 볼륨 유형은 암호화를 지원 AES-256 및 Amazonb이 관리하는 키인프라를 사용
• 확장성 애플리케이션 중단없이 볼륨 유형 변경 가능 볼륨 크기 확장 가능
• 성능 낮은 지연 시간 제공 일정한 I/O 유지
• 백업 스냅샷을 통해 특정 시점 백업 (특정 시점 스냅샷을 S3에 저장도 가능) 가용영역이나 리전간 스냅샷 복제 가능 마지막 스냅샷 이후 변경된 블록이 저장되는 방식(증분 스냅샷)

EFS

• Elastic File Storage NAS 방식
• AWS 클라웃드 서비스와 온프레미스 리소스에서 사용할 수 있는 간단하고 확장 가능하며 탄력적인 완전 관리형 탄력적 NFS 파일 시스템 애플리케이션 중단할 필요없이 확장되므로 사용자가 용량을 프로비저닝 및 관리할 필요 없음 프로비저닝 (provisioning) : 사용자의 요구에 맞게 시스템 자원을 할당, 배치, 배포해 두었다가 필요 시 시스템을 즉시 사용할 수 있는 상태로 미리 준비해두는 것
• 최대 수천개의 EC2 인스턴스를 위한 스토리지이며 동시에 액세스 가능
• EFS 파일 시스템은 다중 가용 영역에 걸쳐 데이터와 메타데이터를 저장
• 네트워크 연결 공유 파일 스토리지 (NFSv4 프로토콜 사용)
• VPC 내에서 Ec2 인스턴스는 직접 액세스 할 수 있음
• On-promisse 서버는 Direct Connect & VPN 연결을 통해 팡리 시스템 탑재 Direct Connect는 대역폭이 높고 지연 시간이 짧은 전용 네트워크 연결
• 페타바이트 규모로 탄력적으로 자동 확장 및 축소
• Multi AZ

EBS 실습

기존 인스턴스 복제 해보자! 이미지 생성(스냅샷) > MYEC2-clone 생성된 이미지 확인 스냅샷으로 인스턴스 생성 스냅샷으로 만든 인스턴스 연결 후 httpd start 시켜주면 이전과 똑같이 화면 출력되는 것을 확인할 수 있다.

Apache 설치

sudo apt install apache2

아파치 활성화

systemctl status apache2

ps -ef | grep apache2

아파치 웹 서버 접속 방법

http://ip주소

웹 서버 연결 확인

<html>
<head>
<title>
html test
</title>
</head>
<body>
My First Web Page!!!
</body>
</html>

일반 사용자 계정을 위한 웹 설정

UserDir 앞에 #을 추가한다.

mods-available 디렉터리의 userdir.conf 파일과 userdir.load 파일을 /etc/apache2/modsenabled 디렉터리에서 심볼릭 링크로 연결

sudo ln -s /etc/apache2/mods-available/userdir.conf /etc/apache2/userdir.conf

sudo ln -s /etc/apache2/mods-available/userdir.load /etc/apache2/userdir.load

설정 파일 변경됬으므로 apache2 서비스 다시 동작

sudo systemctl stop apache2

sudo systemctl start apache2

사용자의 홈 디렉터리에 public_html 디렉터리 생성

mkdir public_html

디렉터리의 접근 권한 조정

chmod 701 .

chmod 701 public_html

일반 사용자 계정에서 웹 페이지 작성하기

public_html 디렉터리 아래에 index.html 파일을 생성

웹 브라우저에서 다음과 같이 입력 http://ip주소/~user

성공!!

호스팅 설정

soobeen.com이라는 도메인 이름으로 디렉토리 설정

sudo mkdir -p /var/www/soobeen.com/public_html

log들이 저장도리 디렉토리를 생성

sudo mkdir /var/www/soobeen.com/logs

디렉토리 권한 변경

sudo chmod 755 /var/www/
sudo chmod 755 /var/www/soobeen.com
sudo chmod 755 /var/www/soobeen.com/public_html
sudo chmod 755 /var/www/soobeen.com/logs

php 파일 생성

VirtualHost 파일 생성

sudo cp /etc/apache2/sites-available/000-default.conf/etc/apache2/sites-available/bind9.conf

sudo vi /etc/apache2/sites-available/bind9.conf

VirtualHost 활성화

 cd /etc/apache2/sites-available/

sudo a2ensite bind9.conf

sudo service apache2 restart

DNS 서버 설저에서 bind9.kr의 IP 세팅을 변경

sudo vi /etc/bind/db.bind9.zone

변경 후 nameserver 재시작

systemctl restart resolvconf

80번 포트 방화벽 허용

ufw allow 80

호스팅 서버로 php 페이지 연결 완성

• 추가로 나의 포트폴리오 웹사이트를 아파치 서버를 이용하여 내 아이피 주소로 연결해 보았다. 물론 파일들은 ftp 파일질라를 이용하였다. apache 서버로 html 페이지 연결 완성

네트워크에서 데이터를 주는 컴퓨터를 '서버(Server)' 데이터를 요청하고 받는 컴퓨터를 *'클라이언트(Client)' *

컴퓨터가 데이터를 주고받는 목적은 특정한 기능, 즉 서비스*를 제공하고 사용하기 위한 것입니다. 네트워크로 연결된 컴퓨터 중 서비스를 제공하는 쪽을 서버라 부르고 그 서비스를 요청하고 받는 쪽을 클라이언트라고 부른다.

서버 클라이언트 구조는 전 세계의 네트워크가 연결된 인터넷의 기반이 되었고, 이를 활용한 대표적인 서비스가 웹 서비스

telnet 사용

putty telnet 사용

ssh 사용

ssh 설치

sudo apt install ssh

putty ssh 사용

파일 송수신

ftp 서버 설치

sudo apt install vsftpd

FTP 설정 파일: /etc/vsftpd.conf 파일

vsftpd.conf 옵션

• anonymous_enable: anonymous(익명) 사용자의 접속을 허가할지 설정

• local_enable: 로컬 사용자의 접속 허가 여부를 설정
• write_enable: 로컬 사용자가 저장, 삭제, 디렉터리 생성 등의 명령을 실행하게 할 것인지 설정 (anonymous 사용자는 해당 없음)
• anon_upload_enable: anonymous 사용자의 파일 업로드 허가 여부를 설정
• anon_mkdir_write_eanble: anonymous 사용자의 디렉터리 생성 허가 여부를 설정
• dirlist_enable: 접속한 디렉터리의 파일 리스트를 보여줄지 설정
• download_enable: 다운로드의 허가 여부를 설정
• listen_port: FTP 서비스의 포트 번호를 설정(기본: 21번)
• deny_file: 업로드를 금지할 파일을 지정(예: deny_file={.mpg,.mpeg,*.avi})
• hide_file: 보여주지 않을 파일을 지정(예: hide_file={.gif,.jpg,*.png})
• max_clients: FTP 서버의 동시 최대 접속자 수를 지정

  • max_per_ip: 1개 PC가 동시에 접속할 수 있는 접속자 수를 지정

FTP 서버 설정하고 동작시키기: /etc/vsftpd.conf 파일 systemd 데몬으로 관리

sudo systemctl stop vsftpd
sudo systemctl start vsftpd

telnet 0 21

윈도우에서 FTP 서버 연결(FileZila)

22번 포트로 연결하여 보안 접속한 경우

DHCP 서버

DHCP (Dynamic Host Configuration Protocol)

자신의 NW 안의 클라이언트 컴퓨터가 부팅될 때 자동으로 IP주소, 서브넷 마스크, 게이트웨이 주소, DNS 서버 주소를 할당 장점: 관리 및 이용 편리, 한정된 IP주소로 더 많은 IP주소가 있는 것처럼 활용 가능

네임 서버

네임 서버 = DNS(Domain Name System) 서버 도메인 이름을 IP 주소로 변환시켜 주는 역할 = 이름 해석(Name Resolution) 예) www.nate.com → 120.50.131.112

①가장 초기의 네트워크 접속 방법 컴퓨터가 몇 대 안 됨 사용자가 모두 외워서 직접 IP주소로 접근함

② hosts 파일을 이용하여 네트워크 접속 인터넷에 연결된 컴퓨터가 수십 ~ 수백대로 늘어남 ‘hosts’ 파일에 URL과 IP주소를 기록해 놓는 방식 사용 예) 102.54.94.97 rhino.acme.com 38.25.63.10 x.acme.com 127.0.0.1 localhost ::1 localhost Windows C:\Windows\system32\drivers\etc\hosts 리눅스 /etc/hosts

③ 네임 서버를 이용하여 네트워크 접속 기하급수적으로 늘어나는 네트워크 상의 컴퓨터에 대한 모든 IP 정보를 파일 하나에 기록하는 것은 무리 이름 해석(Name Resolution)을 전문적으로 해 주는 서버 컴퓨터가 필요 해짐 (=DNS 서버 = 네임 서버) 전화 안내 서비스인 114와 같은 역할 네임 서버는 인터넷에서 변화하는 모든 컴퓨터의 URL과 IP 정보를 거의 실시간으로 제공하므로, 사용자는 더 이상 URL에 해당하는 IP주소를 신경 쓸 필요가 없어짐. URL만 알고 있으면 어디서든지 해당하는 컴퓨터에 접속

캐싱 전용 네임 서버 PC에서 URL로 IP주소를 얻고자 할 때, 해당하는 URL의 IP주소를 알려주는 네임 서버를 말함

마스터 네임 서버 도메인에 속해 있는 컴퓨터들의 이름을 관리하고, 외부에 해당 컴퓨터의 IP주소를 알려주는 역할

라운드 로빈(Round Robin) 방식의 네임 서버 여러 대의 웹 서버를 운영해서, 웹 클라이언트가 서비스를 요청할 경우에 교대로 서비스를 실시하도록 하는 방식

DNS 구현

DNS 실습용 네트워크 구성

실습용 도메인과 대응 IP 도메인 대응되는 값 bind9.kr 1.1.1.1 dns.bind9.kr 2.2.2.2 kt.bind9.kr 3.3.3.3 ns.bind9.kr 4.4.4.4 www.bind9.kr dns.bind9.kr

BIND9 설치

 sudo apt-get install bind9

서버를 네임서버로 인식시키기 /etc/resolv.conf 에 nameserver 값에 127.0.0.53 추가하여 네임서버가 자기 자신이 되도록 인식

sudo vi named.conf.default-zones 파일에 zone 도메인 정보 추가

sudo cp db.local db.bind9.zone 기존 파일의 틀 이용하기위해 복사

sudo db.bind9.zone

www.soobeen.com 도메인 생성

bind9 DNS 서버 설정

sudo vi /etc/bind/named.conf.options

방화벽 설정

• TCP 및 UDP 53 포트 개방
• ufw allow 53/tcp
• ufw allow 53/udp • ufw 활성화 -> 비활성화 되어 있다면 활성화 시킬 때
• sudo ufw enable • ufw 상태 정보 조회
• sudo ufw status

DNS Server 로컬 테스트

nameserver DNS server IP   ex.192.168.160.130

네트워크 설정 재시작

sudo systemctl restart NetworkManager
또는
sudo nmcli networking off
sudo nmcli networking on

nslookup 으로 확인

[server side]

• 우선 DHCP 실습을 통해 서버 side에 고정 IP를 갖춘걸 전제
• bind9 설치 : sudo apt-get install bind9
• /etc/resolv.conf의 nameserver 값에 고정IP 추가
• /etc/hostname에 ns.bind9.kr 등록
• cd /etc/bind -> vi named.conf.default-zones 파일에 bind9.kr 관련 도메인 정보 추가
• vi /etc/bind/named.conf.options에 특정 설정 적용 후 bind9 재시작
• cp db.local db.bind9.zone -> vi db.bind9.zone로 *.bind9.kr의 기타 DNS 설정
• 방화벽 설정 -> TCP/UPD 53 포트 개방 : ufw allow 53/tcp, ufw allow 53/udp
• ufw 활성화 : sudo ufw enable
• ufw 상태정보 조회 : sudo ufw status
• sudo apt-get install resolvconf -> sudo vi /etc/resolvconf/resolv.conf.d/head로 서버IP 추가 및 확인
• nslookup [도메인명] 으로 확인

[client side]

• sudo apt-get install resolvconf
• sudo vi /etc/resolvconf/resolv.conf.d/head 에서 서버IP 추가
• 방화벽 설정 -> TCP/UPD 53 포트 개방 : ufw allow 53/tcp, ufw allow 53/udp
• ufw 활성화 : sudo ufw enable
• reboot
• cat /etc/resolv.conf에서 서버 등록 확인
• nslookup [도메인명] 으로 확인 ex) nslookup www.naver.com 등

SQL 기초

MySQL 샘플 데이터 설치

‘testdb’ 데이터베이스를 생성하는 간략한 예제

mysql> show databases;
mysql> create database testdb;
mysql> use testdb;
mysql> CREATE TABLE test
(id smallint unsigned not null auto_increment, 
name varchar(20) not null);
mysql> show tables;
mysql> INSERT INTO tablename(id, name) VALUES (1, 'Sample data' );
mysql> SELECT * FROM test;

SQL

용도 - 데이터베이스에서 데이터를 추출하여 문제 해결 입출력 - 입력은 테이블, 출력도 테이블 번역 - DBMS 사용 예 - SELECT * FROM Book;

SQL 기능에 따른 분류

• 데이터 정의어(DDL) 테이블이나 관계의 구조를 생성하는 데 사용하며 CREATE, ALTER, DROP 문 등이 있음
• 데이터 조작어(DML) 테이블에 데이터를 검색, 삽입, 수정, 삭제하는 데 사용하며 SELECT, INSERT, DELETE, UPDATE 문 등이 있음. 여기서 SELECT 문은 특별히 질의어(query)라고 함
• 데이터 제어어(DCL) 데이터의 사용 권한을 관리하는 데 사용하며 GRANT, REVOKE 문 등이 있음

관계 데이터 모델

릴레이션

릴레이션(relation) : 행과 열로 구성된 테이블

릴레이션 스키마

• 스키마의 요소 • 속성(attribute) : 릴레이션 스키마의 열 • 도메인(domain) : 속성이 가질 수 있는 값의 집합 • 차수(degree) : 속성의 개수
• 스키마의 표현 • 릴레이션 이름(속성1 : 도메인1, 속성2 : 도메인2, 속성3 : 도메인3 …) EX) 도서(도서번호, 도서이름, 출판사, 가격)

릴레이션 인스턴스

인스턴스 요소 • 투플(tuple) : 릴레이션의 행 • 카디날리티(cardinality) : 투플의 수

릴레이션의 특징

➊ 속성은 단일 값을 가진다 각 속성의 값은 도메인에 정의된 값만을 가지며 그 값은 모두 단일 값이어야 함 ➋ 속성은 서로 다른 이름을 가진다 속성은 한 릴레이션에서 서로 다른 이름을 가져야만 함 ➌ 한 속성의 값은 모두 같은 도메인 값을 가진다 한 속성에 속한 열은 모두 그 속성에서 정의한 도메인 값만 가질 수 있음 ➍ 속성의 순서는 상관없다 속성의 순서가 달라도 릴레이션 스키마는 같음 예) 릴레이션 스키마에서 (이름, 주소) 순으로 속성을 표시하거나 (주소, 이름) 순으로 표시하여도 상관없음 ➎ 릴레이션 내의 중복된 투플은 허용하지 않는다 하나의 릴레이션 인스턴스 내에서는 서로 중복된 값을 가질 수 없음, 즉 모든 투플은 서로 값이 달라야 함 ➏ 투플의 순서는 상관없다 투플의 순서가 달라도 같은 릴레이션임. 관계 데이터 모델의 투플은 실제적인 값을 가지고 있으며 이 값은 시간이 지남에 따라 데이터의 삭제, 수정, 삽입에 따라 순서가 바뀔 수 있음

기본키

여러 후보키 중 하나를 선정하여 대표로 삼는 키

• 후보키가 하나뿐이라면 그 후보키를 기본키로 사용하면 되고, 여러 개라면 릴레이션의 특성을 반영하여 하나를 선택하면 됨
• 기본키 선정 시 고려사항 릴레이션 내 투플을 식별할 수 있는 고유한 값을 가져야 함. NULL 값은 허용하지 않음. 키 값의 변동이 일어나지 않아야 함. 최대한 적은 수의 속성을 가진 것이라야 함. 향후 키를 사용하는 데 있어서 문제 발생 소지가 없어야 함.
• 릴레이션 스키마를 표현할 때 기본키는 밑줄을 그어 표시함 릴레이션 이름(속성1, 속성2, …. 속성N) EX) 고객(고객번호, 이름, 주민번호, 주소, 핸드폰) 도서(도서번호, 도서이름, 출판사, 가격)

외래키

• 다른 릴레이션의 기본키를 참조하는 속성을 말함
• 다른 릴레이션의 기본키를 참조하여 관계 데이터 모델의 특징인 릴레이션 간의 관계(relationship)를 표현함
• 외래키의 특징 관계 데이터 모델의 릴레이션 간의 관계를 표현함 다른 릴레이션의 기본키를 참조하는 속성임 참조하고(외래키) 참조되는(기본키) 양쪽 릴레이션의 도메인은 서로 같아야 함 참조되는(기본키) 값이 변경되면 참조하는(외래키) 값도 변경됨 NULL 값과 중복 값 등이 허용됨 자기 자신의 기본키를 참조하는 외래키도 가능함 외래키가 기본키의 일부가 될 수 있음

데이터베이스 관련 SQL

데이터베이스 목록 확인: 기존 데이터베이스 목록을 출력

show databases;

데이터베이스 생성: 새로운 데이터베이스를 생성

create database 데이터베이스명;

데이터베이스 삭제: 지정한 데이터베이스를 삭제

drop database 데이터베이스명;

사용할 데이터베이스 지정: 여러 데이터베이스 중에서 작업할 데이터베이스를 선택

use 데이터베이스명;

DB 서버

Maria DB 설치

sudo apt install mariadb-server

mariadb 접속

테이블 확인

테이블 기본 키 추가

테이블 레코드 입력

tessttable 테이블의 전체 레코드를 출력

NFS 서버

Network File System, 네트워크를 통해 다른 시스템의 디스크를 연결하여 사용

NFS 서버가 설치되어야 하고, NFS 서버 측에서 디스크 공유 (Ubuntu 20에서부터 NFS 버전 3과 4를 지원)

실습

서버 sudo apt install nfs-kernel-server nfs-server 활성화: systemctl enable --now nfs-server 공유 디렉토리 생성: sudo mkdir /home/share -> sudo chmod 707 /home/share sudo vi /etc/exports -> /home/share *(rw,sync,no_subtree_check,no_root_squash,insecure) 추가 sudo exportfs -a로 공유한 것이 제대로 적용되었는지 확인 방화벽 설정 ex) sudo ufw allow 2049 NFS 서버 재시작: sudo systemctl restart nfs-kernel-server

클라이언트 sudo apt install nfs-common sudo mkdir /mnt로 마운트할 디렉토리 생성 sudo ufw allow 2049 mount로 NFS 공유 디렉토리 연결 : sudo mount nfs 192.168.139.3:/home/share /mnt

at 예약한 명령을 정해진 시간에실행 atq 현재 사용자의 등록된 작업 목록 출력 atrm 지정된 작업 번호 작업을 삭제

crontab(스케줄링 배치)

정해진 시간에 반복 실행 crond (daemon process)에 의해 crontab 파일 내용을 참조하여 자동으로 정해진 작업 수행

crontab 파일 위치 : /var/spool/cron

crontab [옵션] <파일명> crontab 파일 편집 명령 crontab 파일 초기 내용은 주석(comment, #으로 시작)으로만 구성 -e : crontab 파일 편집 -l : crontab 내용 출력 -r : crontab 파일 삭제

crontab -e: crontab 생성하고 편집 crontab 편집기로는 기본적으로 VISUAL 또는 EDITOR 환경 변수에 지정된 편집기를 사용

systemd 서비스

system 서비스의 역할 리눅스의 시스템과 서비스 관리자 유닉스의 init 프로세스가 하던 작업을 대신 수행 다양한 서비스 데몬을 시작하고, 프로세스들의 상태를 유지하며, 시스템의 상태를 관리

init 프로세스와 런레벨 현재 init 서비스는 systemd 서비스로 대체 man init로 확인해보면 systemd에 대한 설명이 출력

런레벨: 시스템의 상태를 구분하는 숫자/문자 자주 사용하는 런레벨 3번 : multi-user.target -> CLI booting 5번 : graphical.target -> GUI booting

systemctl

systemd 서비스를 제어 systemd -a 상태와 관계없이 유닛 전체 출력 systemd -t 유닛 종류: 지정한 종류의 유닛만 출력

유닛 서비스 시작

sudo systemctl start cron

유닛의 상태 확인

systemctl status cron.service

유닛 서비스 정지

sudo systemctl stop cron

현재 target과 런레벨 확인

systemctl get-default

기본 target 지정

systemctl set-default <name of target>.target

데몬 프로세스

데몬 리눅스의 백그라운드에서 동작하며 특정한 서비스를 제공하는 프로세스

데몬의 동작방식 독자형 데몬 슈퍼데몬

pstree 명령 : 프로세스 계층 구조 확인

Linux 주요 데몬 sshd : 원격 접속 서비스 제공 httpd : 웹서비스 제공 ftpd : FTP 서비스 제공 nfs : 네트워크 파일 시스템 crond : 주기적으로 예약된 명령 실행 서비스 lpd : 프린트 서비스 ntpd : 시간 동기화 서비스

부트 로더

부트 로더 커널을 메모리에 로딩하는 역할을 수행 우분투에서는 GRUB를 기본으로 지원

/boot/grub/grub.cfg 파일 • GRUB2의 기본 설정 파일로 사용자가 직접 수정 불가 • /etc/default/grub 파일과 /etc/grub.d 디렉터리 아래에 있는 스크립트를 읽어서 자동 생성

/etc/grub.d 디렉터리 • GRUB 스크립트를 가지고 있는 디렉터리 • 이 스크립트들은 GRUB의 명령이 실행될 때 순서대로 실행되어 grub.cfg 파일을 생성

복구 모드로 부팅하기

1. 복구 모드 선택
   • GRUB 메뉴 초기 화면에서 ‘Ubuntu용 고급 설정’을 선택
   • 메뉴가 출력되면 recovery mode를 선택
2. 복구 메뉴 항목에서 root 항목 선택하기
3. root 항목을 선택하면 바로 root 프롬프트가 출력됨
4. 읽기/쓰기 모드로 다시 마운트하기
5. 복구 작업 수행 후 재시작하기 : reboot -f

마운트

마운트(mount) 파일 시스템을 디렉터리 계층 구조의 특정 디렉터리와 연결하는 것 파일 시스템이 디렉터리 계층 구조와 연결되지 않으면 사용자가 해당 파일 시스템에 접근할 수 없음

파일 시스템 마운트 설정 파일: /etc/fstab 파일 시스템의 마운트 설정 정보 wjwkd 부팅시 이 파일을 읽고 파일 시스템 마운트

➊ 장치명: UUID=265c8913-ee1e-4034-885f-207969b0a23b (UUID: 파일 시스템을 유일하게 구분해주는 128bit 숫자) Universally Unique IDentifier 범용 고유 식별자 ➋ 마운트 포인트: / ➌ 파일 시스템 종류: ext4 ➍ 옵션: errors=remount-ro ➎ 덤프 관련 설정: 0 (0: dump 명령으로 덤프 안됨 1: 덤프 가능) ➏ 파일 점검 옵션: 1 (0: 부팅시 fsck명령으로 파일시스템 점검 안함, 1: 루트 파일시스템, 2: 루트 외 파일 시스템)

디스크 설치 및 관리

가상 머신에 디스크 추가

edit virtual machine settings 선택

hard disk 선택

SCSI 선택

create a new virtual disk 선택

1GB 입력

파일명 지정

디스크 추가 작업 완료

fdisk 디스크 파티션 생성, 삭제, 보기 등 파티션을 관리

sudo fdisk -l

파티션을 만든 후 파일 시스템을 생성해야함 mkfs 파일 시스템 생성 명령

sudo mkfs /dev/sdb1

mkfs 리눅스 개정판 확장 파일 시스템(ext2, ext3, ext4)을 만듦

mke2fs /dev/sdb1

LVM

Logical Volume Manager Linux 저장공간을 효율적이고 유연하게 관리하기 위한 kernel 기능

LVM vs. 기존 방식 기존 방식 : 디스크 (저장장치 storage)를 파티셔닝한 후 OS 영역에 마운트하여 read/write 수행 -> 단점; 저장공간의 크기가 고정되어 증설/축소 어려움 -> 기존 방식의 단점 보완 위해 LVM 구성

LVM은 파티션 대신에 volume이라는 단위로 디스크(저장장치) 다룸

디스크 (저장장치)의 확장/변경에 유연, 크기 변경할 때 기존 데이터 이전 필요 X LVM 장점 유연한 용량 조절 크기 조절을 위한 storage pool 편의에 따른 장치 이름 지정 disk striping, mirror volume 등 제공

LVM 구성

PV (Physical Volume) 물리적 볼륨, 실제 디스크 장치를 분할한 파티션된 상태 일정한 크기의 PE (Physical extent) 들로 구성

PE (Physical extent) PV를 구성하는 일정한 크기 블록 보통 1 PE는 4 MB에 해당 PE와 LE는 1:1 대응

VG (Volume Group) PV들이 모여서 생성되는 단위 사용자는 VG를 원하는 크기로 쪼개서 LV로 만들어 사용

LV (Logical Volume) 사용자가 최종적으로 사용하는 단위 VG에서 필요한 크기로 할당받아 LV 생성 최종적으로 mount하는 대상은 LV

LVM 생성과정

기존 파일 시스템 종류 변경 -> fdisk 명령 PV 생성 -> pvcreate VG 생성 -> vgcreate VG 활성화 -> vgchange -a y 명령 LV 생성 -> lvcreate LV에 파일 시스템 생성 -> mkfs 명령 LV 마운트 -> mount 명령 LVM 적용을 위한 패키지 설치 필요 lvm2 : LVM 패키지 설치 명령어: sudo apt-get install lvm2 출처:https://velog.io/@peppie0192/%EA%B5%AC%EB%A6%84-k8s-TIL-1-3-2

df 파일 시스템별 디스크 사용량 확인 df -h 파일 시스템 사용량을 이해하기 쉬운 단위로 표시하기: - h df -Th 파일 시스템의 종류 출력하기: -T du 디렉토리나 사용자별 디스크 사용량 확인 fsck 파일 시스템 검사

우분투/스냅 패키지 설치

dpkg 명령

Debian 계열 패키지 관리 명령 : .deb 패키지 파일 설치/삭제/업그레이드/정보제공

dpkg [옵션] < .deb 파일명 또는 패키지명 > -l : 설치된 패키지 목록 확인 -L <패키지명> : 해당 패키지로부터 설치된 모든 파일 목록 확인 -s <패키지명> : 해당 패키지 정보 확인 -I (대문자 i) < .deb 파일명> : 해당 .deb 파일 정보 확인 -i < .deb 파일명> : 패키지 설치/업그레이드, 관리자 권한 -r <패키지명> : 패키지 삭제 (설정 파일 삭제 X), 관리자 권한 -P <패키지명> : 패키지/설정 파일 삭제, 관리자 권한

apt 명령

Debian 계열 온라인 repository를 통한 패키지 관리 명령 Ubuntu 패키지 및 해당 패키지 정보를 관리하는 서버 정보는 /etc/apt/sources.list 파일에 저장 기본적으로 /etc/apt/sources.list에 등록된 서버로부터 원하는 패키지에 대한 검색/다운로드/설치 가능 만약 별도의 repository로부터 패키지를 설치하려면 해당 repository 서버 주소 등록 후 사용

apt-cache 명령 APT 캐시 (패키지 DB)에서 정보 검색; apt-cache [옵션] <서브 명령>

-f : 검색결과 전체정보 출력 서브 명령

serach 키워드 : 캐시에서 키워드 검색 show 패키지 : 패키지에 대한 정보 출력

apt-get 명령 패키지 관리 명령, 온라인 repository로부터 패키지 다운로드/설치/삭제/업그레이드 등의 관리 수행

[sudo] apt-get [옵션] <서브 명령>

-d : 패키지 다운로드

-y : 패키지 설치시 자동으로 yes 적용

서브 명령

update : repository의 새로운 패키지 정보 다운로드 upgrade : 현재 설치된 패키지 업그레이드 install <패키지> : 패키지 설치 remove <패키지> : 패키지 삭제 (설정파일 삭제 X) purge <패키지> : 패키지 및 설정파일 삭제 autoremove : 불필요한 의존성 패키지 삭제

Linux booting 후 또는 패키지 설치전에 항상 sudo apt-get update 명령을 통해 새로운 패키지 정보 확보 후 필요한 패키지 설치

ssh 데몬 설치

sudo apt-get update
sudo apt-get install [-y] openssh-server
systemctl status sshd.service -> 서비스 실행유무 확인

SSH (Secure SHell)

22번 포트 사용 네트워크를 이용하여 원격으로 접속하는 서비스 => Linux 사용시 일반적으로 SSH Client를 이용한 접속이 일반적 공개키 암호 방식으로 암호화된 데이터 송수신 원격 접속 대상(서버) Linux host에 SSH Daemon process (sshd, 부르는 용어 -> server program, daemon, service)가 동작중이어야 한다 -> client/server 구조 원격 접속 client는 SSH client 프로그램을 통해 접속 Windows : putty, xshell 등 Linux/MacOS : ssh 명령

별도의 공개키를 생성하여 client에 제공하고 접속하는 방식으로 사용가능

• public cloud에서 제공하는 가상 컴퓨팅 서비스
• IaC를 이용한 infrastructure 관리시에도 많이 사용
• ssh-keygen 명령 사용

가상 PC 환경에서의 SSH 접속환경 구축방법

• NAT 환경에 포트 포워딩 기능 사용 Virtualbox -> Linux image -> 네트워크 -> 고급 -> 포트포워딩 설정 ssh client 사용시 : host ip 127.0.0.1 (loopback) / host port : 22 NAT 네트워크 구성 : 별도 네트워크 구성시 유리 (가상 PC 네트워크 구성) 호스트 어댑터 이용 -> SSH server ip로 접속

스냅 패키지 관리

스냅 개념 Ubuntu에 새로 도입한 패키지 형식의 샌드박스 형태 패키지 (완전히 격리된 형태) 패키지를 만들 때 프로그램이 사용하는 모든 라이브러리를 패키지 안에 포함

장점 개발자가 다른 패키지나 라이브러리 의존성을 고려하지 않고 개발 기존 시스템과 격리되어 실행하는 샌드박스 형식으로 보안 강화

단점 큰 패키지 용량

snap 명령

snap이 별도로 설치되지 않은 경우 설치 후 사용 -> sudo apt-get install snap snap [옵션] 명령

install 스냅명 : 지정한 스냅 설치, 관리자 권한 list : 설치한 스냅 목록 출력 remove 스냅명 : 지정한 스냅 삭제, 관리자 권한 info 스냅명 : 지정한 스냅 상세 정보 출력 find 스냅명 : 지정한 스냅 검색

파일 아카이브

아카이브 (Archive)

• 여러 개의 지정된 파일들을 아카이브(묶음)로 만듭니다.
• 아카이브 파일에는 확장자 .tar을 붙입니다.
• 파일의 용량은 줄어들지 않습니다. (압축 X 묶음 O)
• 원본 파일은 그대로 유지됩니다.

tar (Taple ARchive) [옵션] [만들 파일 이름].tar [묶을 파일1] ... [묶을 파일 N] → [옵션]

c 아카이브 생성 x 아카이브 해제 v 진행과정 출력 f .tar 파일을 지정 r 파일 추가 t 아카이브 내용 확인 ※ vf는 고정한다고 생각하면 됩니다.

아카이브 생성하기 ( cvf )

아카이브 파일 내용 확인하기 ( tvf )

아카이브 해제하기 ( xvf )

아카이브 파일에 새로운 파일 추가하기 ( rvf )

소프트웨어 컴파일

네트워크 기초

주소

컴퓨터의 주소: MAC 주소, IP 주소, 호스트명

MAC 주소

하드웨어를 위한 주소 이더넷 주소, 하드웨어 주소, 물리 주소라고도 함 MAC 주소는 네트워크 인터페이스 카드(랜 카드)에 저장된 주소로 기본적으로 네트워크 인터 페이스 카드가 만들어질 때 부여 MAC 주소는 각 하드웨어를 구별하는 역할을 수행 MAC 주소는 : 이나 - 으로 구분되는 여섯 개의 16진수로 구성되며 총 48bit • 앞의 세 자리는 제조사 번호이고 뒤의 세 자리는 일련번호 • 제조사 번호는 국제 표준 기구 중 하나인 IEEE에서 지정

IP 주소

인터넷으로 연결된 네트워크에서 각 컴퓨터를 구분하기 위해 사용 IP 주소는 1바이트 크기의 숫자 네 개로 구성되므로 총 4바이트 TCP/IP 프로토콜의 35계층은 IP 주소를 사용 IP주소는 네트워크를 구분하는 네트워크 주소 부분과, 해당 네트워크 안에서 특정 컴퓨터를 식별하는 호스트 주소 부분 IP 주소는 총 32bit(4B) 중 몇 비트를 네트워크 부분으로 사용하고 나머지 몇 비트를 호스트 부분으로 사용하는지에 따라 A 클래스, B 클래스, C 클래스로 구분 C 클래스는 앞의 3바이트가 네트워크 부분이고 뒤의 1바이트만 호스트 부분 • 호스트 부분으로 사용할 수 있는 숫자는 0255인데, 0은 네트워크 주소를 나타내는 데 사용하고 255 는 브로드캐스트 주소로 사용하므로 1~254를 호스트 주소로 할당 IPv6(IP 버전 6)는 fe80::250:56ff:fe3e:3cfe와 같이 16진수로 표기하며 128bit 크기

넷마스크와 브로드캐스트 주소

넷마스크: IP 주소에서 네트워크 부분을 알려주는 역할 브로드캐스트 주소: 같은 네트워크에 있는 모든 컴퓨터에 메시지를 보낼 때 사용 • 호스트 부분을 모두 1로 설정 • 예: IP 주소에서 네트워크 부분이 192.168.100.0이면 브로드캐스트 주소는 192.168.100.255

호스트 이름

컴퓨터에 붙이는 이름 호스트 이름도 IP 주소처럼 네트워크 부분과 호스트 이름 두 부분으로 구성 예: www.naver.com, 호스트 부분(www), 네트워크 부분(naver.com) 포트 번호 서버에서 제공하는 각 서비스를 구분하는 번호(예: 웹 - 80) /etc/services 파일에 서비스 포트번호 저장

포트 번호

서버에서 제공하는 각 서비스를 구분하는 번호(예: 웹 - 80) /etc/services 파일에 서비스 포트번호 저장

네트워크 설정

네트워크 관리자 설치

sudo apt install network-manager

네트워크 전체 상태 살펴보기

nmcli general status

nmcli gen

네트워크 장치의 정보보기

ip addr show

기본 게이트웨이 주소 설정하기

sudo ip route add default via 192.168.1.1 dev ens33

라우팅 경로 설정하기

sudo ip route add 192.168.2.0/24 via 192.168.147.2 dev ens33

라우팅 경로 삭제하기

sudo ip route del 192.168.2.0/24

우분투에서 ifconfig 명령 사용하려면 net-tool 패키지 필요

sudo apt install net-tools

현재 설치된 네트워크 인터페이스 설정 보기

ifconfig

특정 네트워크 인터페이스 설정 보기

ifconfig ens33

라우팅 테이블 보기

route

호스트 이름 설정

호스트 이름 출력

uname -n

호스트의 모든 정보 출력

uname -a

호스트 이름 출력 및 설정

hostname

nmcli gen host

sudo hostname myubuntu

호스트 이름 검색 및 설정하기

sudo hostnamectl set-hostname myubuntu

hostnamectl

네트워크 상태 확인

ping

네트워크 장비에 신호를 보냄 옵션 -a: 통신이 되면 소리를 낸다. -q: 테스트 -c 개수: 보낼 패킷 수를 지정한다.

netstat

네트워크 상태 정보를 출력 옵션 -a: 모든 소켓 정보를 출력 -r: 라우팅 정보를 출력 -n: 호스트명 대신 IP 주소로 출력 -i: 모든 네트워크 인터페이스 정보를 출력 -s: 프로토콜별로 네트워크 통계 정보를 출력 -p: 해당 소켓과 관련된 프로세스의 이름과 PID를 출력

arp

arp 캐시 정보를 관리

리눅스 커널 - 프로세스 관리, 파일 시스템 관리, 메모리 관리 응용 프로그램 - 문서 편집기, 컴파일러, 웹 서버 출처:https://kingofbackend.tistory.com/100

Linux Kernel 구조

출처:https://mintnlatte.tistory.com/393

리눅스는 공개 소프트웨어이며 무료 사용 가능 유닉와 완벽한 호환성 유지 서버용 운영체제로 많이 사용 편리한 GUI 환경 제공

리눅스 실습 환경 구축

가상머신(VMware) 설치 방법

https://www.vmware.com/latam/products/workstation-player/workstation-player-evaluation.html 해당 사이트에 접속하여 윈도우 버전으로 다운로드 한다.

가상머신 내 우분투(Ubuntu) 설치

https://releases.ubuntu.com/focal/?_ga=2.84732825.1604966450.1665963317-2061005471.1661251289 iso 이미지를 다운받는다.

create a New virtual Machine 클릭하여 생성한다.

iso 이미지를 넣는다.

계정을 생성한다.

디스크 설정한다.

생성한 계정 비밀번호 입력한다.

깔끔하게 우분투 설치된 모습이다.

centos 설치 과정

http://mirror.kakao.com/centos/7.9.2009/isos/x86_64/ iso 이미지를 다운받는다.

iso 이미지를 넣는다.

설치되는 중이다.

네트워크 설정해야 하는데 configure 들어가서 수동으로 DNS도 설정해준다. Host name도 docker로 바꿔준다.

계정 만들어준다.

설치되어 재부팅되는 모습이다.

로그인 아이디 입력한다.

비번 입력해준다.

깔끔하게 로그인된 화면이다.

리눅스 윈도 기본 사용법

원격 접속

SSH Client 프로그램 이용

SSH (Secure SHell)

네트워크를 이용하여 원격 접속 가능케 함 특히 공개 키 암호방식으로 접속하여 보안 강화 (22번 포트 활용) SSH Client 프로그램은** CLI 방식**으로 작동

Windows : PuTTY (무료), xshell (유료) 등
Linux, MacOS : terminal 프로그램 사용

Putty

공개 키 파일 형식 ( .ppk ), 비밀 키는 리눅스가 가짐

Session 메뉴 : Hostname 또는 IP 주소와 포트 결정 후 open 버튼 선택 시 접속 (주로 이 방식)
Connection 메뉴 -> SSH 메뉴 -> Autho 항목에서 private key 파일 별도 지정 가능

원격 접속을 위해서는 Linux에 SSH Server 프로그램이 동작하고 있어야 한다.

Ubuntu 배포판: SSH 서버 프로그램 기본 설치 X -> Ubuntu 설치 후 별도 설치 필요 CentOS 배포판: SSH 서버 프로그램 기본 설치, booting 시 자동 실행

리눅스 명령 사용법

date 날짜 시간 출력

clear 화면 지움

passwd 비번 변경

man 명령어 사용법 화면에 출력

리눅스 파일과 디렉터리

Linux 기본 디렉토리 구조

각 디렉토리 목록

/ (root) : 루트 디렉토리, 최상위 디렉토리, 통상 별도파일 저장 X, 디렉토리만 생성 /bin : Linux 기본 명령어 (Built-in) 저장 /boot : Linux 부팅 관련 파일 저장 /dev : 디바이스 파일 저장 /etc : 환경설정 파일 저장 /root : root 사용자 홈 디렉토리 /home : 일반 사용자 홈 디렉토리 /lib : library 파일 및 kernel 모듈 저장 /usr : 일반 사용자 공통파일 저장, Windows OS의 Program Files 폴더 같은 개념 /mnt : 외부장치 연결 (mount) 파일 저장 /proc : Linux Kernel 작업 관리자에서 사용하는 임시파일 저장, 가상파일 시스템, Linux 동작중에만 내용 저장 /var : 시스템 운용 중 생성되는 임시데이터 저장소 /sbin : 시스템 관리자 명령 저장 /tmp : 임시파일 저장소, 가상파일 시스템 /opt : 추가 패키지 저장

디렉터리 관련 명령어, 파일 관련 명령어

pwd 현재 디렉토리 확인 cd 디렉토리 이동

ls 디렉토리 내용 확인 ls -a 숨김파일 확인하기 ls -F 파일 종류 표시 ls -l 상세 정보 출력 ls -d 디렉토리 자체 정보 확인

mkdir 디렉토리 생성 mkdir -p 중간 디렉토리를 자동으로 만들기 rmdir 디렉토리 삭제

cat 파일 내용 출력 more 파일 내용 화면단위로 출력 less 파일 내용 화면단위로 출력 tail 파일 내용 뒷부분 출력 cp 파일 복사 mv 파일명 변경 rm 파일삭제

ln 파일 링크 생성 touch 빈 파일 생성

grep 파일 내용 검색 find 파일 찾기

whereis 명령의 위치 찾기 which 명령의 위치 찾기

vi 사용법과 환경 설정

vi 사용법

vi 실행 vi (vim) : vi 실행, 편집할 파일은 별도 지정 X vi (vim) <파일명> : 지정한 파일을 vi로 읽어서 실행 vi 시작 시 명령모드로 실행

vi 종료 :q : vi 종료 명령, 현재 편집내용에 대한 저장이 필요한 경우 저장하지 않으면 종료 X :q! : vi 강제종료 명령, 현재 편집내용 저장유무 상관 X 강제종료

명령 모드 / 편집 모드 전환 명령 -> 편집 전환 편집 모드에서 사용하는 단축키 입력 편집 -> 명령 전환 Esc 키 입력 후 : (colon) 또는 / (slash) 입력 후 명령 입력 편집 모드 단축키 편집 모드에서 명령 모드 전환은 Esc 키로

편집 모드 상태에서 커서 이동 키보드 방향키 사용 키보드의 h, j, k, l 키 사용 h : 왼쪽 j : 아래쪽 k : 위쪽 l : 오른쪽

내용 입력 i 키 : 현재 커서 위치에 입력 (헷갈리면 주로 이거 위주로 쓰는걸 권장) a 키 : 현재 커서 위치 다음에 입력 o 키 : 현재 줄 다음줄에 입력 I 키 : 현재 줄 Home 위치에 입력 A 키 : 현재 줄 end 위치에 입력 O 키 : 현재 줄 이전줄에 입력 내용 수정 r 키 : 현재 커서위치 내용 한 글자만 수정 R 키 : 수정 상태 진입, Esc 키 입력 전까지 수정 상태 유지 내용 삭제 x 키 : 한 글자 삭제 <숫자> X : 숫자 개수만큼 글자 삭제 dd 키 : 줄 단위 삭제 <숫자> dd 키 : 숫자 개수만큼 줄 삭제

내용 복사 yy 키 : 줄 단위 복사 <숫자> yy 키 : 숫자만큼의 줄 복사 p 키 : 붙여넣기 v 키 : 범위 지정 y 키 : 지정 범위 내용 복사 d 키 : 지정 범위 내용 삭제

내용 이동 dd 키를 이용하여 삭제 후 원하는 위치로 커서 이동 후 p 키 입력

검색 및 바꾸기 / <검색 문자열> : 현재 커서 위치 이후로 검색 n 키 : 현재 위치에서 파일 끝 방향으로 다음 검색결과 이동 N 키 : 현재 위치에서 파일 처음 방향으로 이전 검색결과 이동 s/ <문자열 1> <문자열 2> : 현재 커서 위치에서 첫번째 찾은 문자열 1을 문자열 2로 변경 %s/ <문자열 1> <문자열 2> : 파일 전체에서 문자열 1을 문자열 2로 변경

기타 편집 키 u 키 : undo Ctrl + r 키 : redo

명령모드 단축키

편집 내용 저장 :w : 처음 vi 실행시 입력한 파일에 현재 편집내용 저장 :w <파일명> : 지정한 파일명에 현재 편집내용 저장 :wq : 처음 vi 실행시 입력한 파일에 현재 편집내용 저장 후 vi 종료 새로운 파일 로드 :e <파일명> : 파일명에 해당하는 파일 로드

외부명령 실행 :! <외부명령> : vi 실행상태에서 외부명령 실행결과 확인 ex) !ls -l :!sh : 표준 shell 실행, 표준 shell에서 exit 입력하면 다시 vi로 전환 :!bash : 표준 bash shell 실행, bash에서 exit 입력하면 다시 vi로 전환

vi 환경설정

vi 실행 환경과 관련된 여러 내용을 환경 변수에 등록하여 vi 실행시마다 환경 변수 내용을 기반으로 작동 변수 (variable) : 메모리 공간 ; 원하는 값 저장 및 변경 가능 환경변수 (environment variable) : 명령 or 응용 프로그램의 원할한 동작 수행을 위해 미리 메모리에 저장된 값

set 명령을 통한 환경 변수 확인 및 변경 :set all : 전체 환경 변수 내용 출력 :set <환경 변수>=값 : 환경 변수 내용 변경, = 기호 오른쪽 값을 = 기호 왼쪽 환경변수에 저장 ex) set tabstop=4 현재 vi 상태에서 set 명령으로 환경변수를 변경/적용하면 현재 vi에서만 환경변수 내용 적용

vi 실행환경을 사용자가 원하는 형태로 구성하기 위해 별도의 환경설정 파일을 만들어 사용자 홈 디렉토리에 저장해두면 vi 실행 시 해당 환경 변수 기반으로 동작 .vimrc : vi 환경설정 파일 .exrc : vi 환경설정 파일 (둘다 dot(.)으로 시작하니 히든파일)

실제 ~/.vimrc 실습파일에 적용한 주요 환경 변수

set number : line 번호 표시 set tabstop=4 : tab 간격을 4칸으로 set ai : auto indent (들여쓰기) set si : smart indent set hisearch : 검색시 하이라이트 set nocompatible : 방향키 이동 가능 set ruler : 상태표시줄에 커서 위치 표시 set title : 제목 표시 set mouse=a : 커서 이동을 마우스로 이동 가능하도록 설정 set bs=indent,eol,start : backspace 사용 가능 set showmatch : 매치되는 괄호 표시 출처:https://velog.io/@peppie0192/%EA%B5%AC%EB%A6%84-k8s-TIL-1-2-3#vi-%ED%8E%B8%EC%A7%91%EA%B8%B0

shell의 기능과 종류

shell의 기능

명령어 해석기 기능 프로그래밍 기능: 셸 스크립트 사용자 환경 설정 기능

shell의 종류

• 본셸(sh): 최초의 셸, 유닉스 v7에서 처음 등장, 현재는 배시셸 등 다른 셸로 대체
• C셸(csh): 캘리포니아대학교에서 빌 조이가 개발, 2BSD 유닉스에서 발표 • 앨리어스, 히스토리 기능 포함, 셸 스크립트 구문 형식이 C언어와 동일 콘셸(ksh): 1980년대 중반 AT&T 벨연구소에서 개발, SVR4 유닉스에서 발표 • 본셸과 호환성 유지, 앨리어스, 히스토리 기능 제공
• 배시셸(bash): 1988년 브레인 폭스가 개발 • 본셸과 호환성 유지, C셸/콘셸의 편리한 기능 모두 포함 • 리눅스의 기본 셸로 제공
• 대시셸(dash): 1997년 허버스 슈가 리눅스에 이식 • 본셸을 기반으로 개발, POSIX 표준 준수하며 작은 크기로 개발 • 우분투는 6.10버전부터 본셸 대신 대시셸을 사용

셀의 기본 사용법

chsh 사용자 로그인 셀을 바꿈 옵션 -s shell: 지정한 절대 경로로 변경

echo 화면 한줄 문자열 출력 printf 자료 형식화하여 화면 출력

bash shell 환경 설정

set: 셸 변수와 환경 변수 모두 출력 env: 환경 변수만 출력 변수명=문자열 export 지정한 셀 변수를 환경변수 변경 export -n 환경변수를 다시 셀 변수로 변경하기 unset 변수 해제

alias와 history

alias 앨리어스를 생성 unalias 앨리어스 삭제 history 히스토리를 출력

prompt 설정

프롬프트를 저장한 환경변수:PS1

파일 속성

파일 접근 권한

파일 접근 권한 변경 파일은 읽기, 쓰기, 실행에 대한 파일 접근 권한을 부여 파일 파일 소유자, 파일 소유자 그룹, 기타 사용자에 대해 각각의 파일 접근 권한 부여

파일 접근권한 표기 방법 문자 표기 방법 권한 부여시에는 권한 문자 표시 -> r w x 권한 미부여시에는 - 표시 주로 이 방법 사용

예시) rwxr-xr-x

소유자: 읽기/쓰기/실행 권한
그룹: 읽기/실행 권한
기타 사용자: 읽기/실행 권한

숫자 표기 방법 파일 접근 권한은 r w x 순서로 부여 => 고정순서 권한 부여 문자는 3자리로 구성 (단축해서 표기할 때 사용) 2진수 3자리는 8진수 1자리로 표현 가능

통상 Linux shell에서 파일 생성 시 기본 접근 권한 텍스트 파일 rw-rw-r-- 또는 664 : 소유자 읽기/쓰기 권한, 그룹 읽기/쓰기 권한, 기타 읽기 권한

디렉토리 파일 rwxr-xr-x 또는 755 : 소유자 읽기/쓰기/실행 권한, 그룹 읽기/실행 권한, 기타 읽기/실행 권한

파일 접근 권한은 파일 생성시 Linux shell에서 정해놓은 접근 권한에 의해 설정되지만, 필요시 원하는 접근 권한으로 변경 가능

chmod

파일 접근 권한 변경; chmod [옵션] <파일 접근 권한> <파일명>

-R : 하위 디렉토리까지 모두 접근 권한 변경 파일 접근 권한 표기 방법

기호 모드 (문자 형태) <카테고리 문자> <연산자 기호> <접근 권한 문자>

카테고리 문자 : u (user 사용자) , g (group 사용자 그룹) , o (other 기타 사용자) , a (all 모두) 연산자 문자 : + (권한 부여) , - (권한 미부여) 권한 문자 : r (읽기) , w (쓰기) , x (실행)

숫자 모드 (8진수로 표현) 파일 소유자/소유자 그룹/기타 사용자에 대한 권한을 8진수 3자리로 표현, 주로 사용하는 방식

777 : 소유자/그룹/기타 사용자 모든 권한 부여 666 : 소유자/그룹/기타 사용자 모두 읽기 및 쓰기 권한 부여 755 : 소유자는 모든 권한, 그룹/기타 사용자는 읽기 및 실행 권한 부여 644 : 소유자는 읽기와 쓰기, 그룹/기타 사용자는 읽기 권한 부여 640 : 소유자 읽기 및 쓰기, 그룹 읽기 권한 부여, 기타 사용자는 모든 권한 미부여

파일 기본 권한 제한

Linux shell 상에서 생성되는 파일에 대해 기본 권한이 설정되어 생성 필요시 파일에 부여되는 기본 권한을 제한해서 생성할 수 있도록 설정할 때가 있기도 함 Linux shell 파일 기본 접근 권한 일반 파일 : 소유자 읽기/쓰기, 그룹 및 기타 사용자 읽기 권한 디렉토리 파일 : 소유자 모든 권한, 그룹 및 기타 사용자 읽기/실행 권한 touch 명령어로 생성한 파일은 일반 파일에 텍스트 파일 생성, 기본적으로 실행 권한 부재 umask : 파일 생성시 기본 권한 제한 설정; umask [옵션][<mask 값>] -s 옵션 : mask 값 문자 출력 umask 또는 umask -s 입력시 현재 설정된 mask 값 출력 mask 값 : 파일 생성시 제한하고 싶은 권한을 표시한 값 "umask 숫자 값 입력 후 umask -s를 추가로 입력해야 설정값이 적용된다"

특수 접근 권한

접근 권한은 원래 4자리의 8진수 사용 가장 처음 자리수가 특수 접근 권한 의미 특수 접근 권한에는 1, 2, 4 부여 가능 sticky bit : 맨 앞자리가 1 SetGID : 맨 앞자리가 2 SetUID : 맨 앞자리가 4

SetUID 해당 파일이 실행되는 동안에는 실행한 사용자의 권한이 아닌 파일 소유자 권한으로 생성

SetUID 부여 방법 : chmod 4<숫자모드 3자리> <파일명> ex) chmod 4755 sample 소유자의 실행권한이 s로 변경 ex) -rwsr-xr-x

SetGID 해당 파일이 실행되는 동안 파일 소유 그룹의 권한으로 실행

SetGID 부여 방법 : chmod 2<숫자모드 3자리> <파일명> ex) chmod 2755 sample2 그룹 실행권한이 s로 변경 ex) -rwxr-sr-x

Sticky bit 디렉토리 부여

디렉토리에 sticky bit가 설정되면 이 디렉토리에는 누구나 파일 생성 가능 파일을 생성한 계정으로 파일 소유자 설정, 他 사용자가 생성한 파일은 삭제 불가 디렉토리에 대한 권한 r : 디렉토리 내용 읽기 가능 w : 디렉토리에 파일 생성 가능 x : 디렉토리에 이동 가능 부여 방법 : chmod 1<숫자모드 3자리> <디렉토리명> ex) chmod 1777 temp 기타 실행권한이 t로 변경 ex) drwxrwxrwt sticky bit가 설정된 대표적 디렉토리: /tmp

프로세스 개념

프로세스 현재 시스템에서 실행 중인 프로그램

프로세스의 부모-자식 관계

프로세스 번호 각 프로세스는 고유한 번호를 가짐:PID 1번 프로세스는 system, 2번 프로세스는 kthreadd

프로세스 종류

• 데몬 프로세스: 특정 서비스를 제공하기 위해 존재하며 리눅스 커널에 의해 실행

• 고아 프로세스: 자식 프로세스가 아직 실행 중인데 부모 프로세스가 먼저 종료되면 자식 프로 세스는 고아 프로세스가 됨
• 좀비 프로세스 • 자식 프로세스가 실행을 종료했는데도 프로세스 테이블 목록에 남아 있는 경우가 있는데 이러한 자식 프로세스를 좀비 프로세스라고 함 • 좀비 프로세스는 프로세스 목록에 defunct 프로세스라고 나오기도 함

  • 좀비 프로세스가 증가하면 프로세스 테이블의 용량이 부족해서 정상적인 프로세스가 실행되지 않을 수도 있음

프로세스 관리 명령어

ps 현재 단말기의 프로세스 목록 출력 ps -f 프로세스 상세 정보 출력 ps a 터미널에서 실행시킨 프로세스 정보 출력 ps au 터미널에서 실행시킨 프로세스 상세 정보 출력 ps -ef 전체 프로세스 목록 출력 pgrep 지정한 패턴과 일치하는 프로세스 정보를 출력 kill 프로세스 종료

시그널

*시그널 *

• 프로세스에 무언가 발생했음을 알리는 간단한 메시지
• 무엇이 발생했는지를 나타내는, 미리 정의된 상수를 사용
• 시그널은 번호로 구분되며 이름 을 가지고 있음  시그널을 받은 프로세스는 기본적으로 종료

Top

프로세스 관리 도구 현재 실행 중인 프로세스의 정보를 주기적으로 출력

화면 출력 내용 PID : Process ID USER : 사용자 PR : 우선 순위 NI : Nice 값 VIRT : 프로세스 사용 가상 메모리 크기 RES : 프로세스 사용 물리 메모리 크기 SHR : 프로세스 사용 공유 메모리 크기 %CPU : CPU 사용량 %MEM : 메모리 사용량 TIME+ : CPU 누적 이용 시작 COMMAND : 명령

top 내부 명령 Spacebar : 내용 갱신 k : 프로세스 종료 n : 출력 프로세스 개수 변경 u : 사용자에 대한 정렬 m : 사용 메모리 크기에 따라 정렬 P (대문자) : CPU 사용량에 따라 정렬 q : top 종료

포그라운드/백그라운드 프로세스

foreground 프로세스 생성

shell에서 명령 실행

background 프로세스 생성

shell에서 명령 실행시 명령 마지막에 '&' 추가 -> 지속적으로 bg에서 동작 bg 명령을 이용한 background 프로세스로 전환 Ctrl + z 키 엽력을 통한 background 전환

jobs 명령

현재 shell의 background 작업 목록 출력

작업번호 = 작업순서

' + ' : 최근 작업 ' - ' : 최근 작업 바로 전 상태 Running : 현재 실행 중 Stopping : 작업 중지 Done : 작업 정상 종료 Terminated : 작업 비정상 종료 fg / bg 전환 fg <%작업 번호> : background 작업을 foreground로 전환

bg <%작업 번호> : foreground 작업을 background로 전환

C1. 컴퓨터 네트워크

전송 제어 프로토콜 (Transmission Control Protocol: TCP) 인터넷 프로토콜 (Internet Protocol: IP 두대의 컴퓨터 연결되면 네트워크가 된다. 메시지나 파일을 주고 받을 수 있다.

여러 대의 컴퓨터가 연결되면 네트워크가 된다. 컴퓨터들이 서로 정보를 주고 받을 수 있도록 연결된 망을 컴퓨터 네트워크라고 한다. 애플리케이션 계층 HTTP - 웹 페이지 데이터를 주고받음 HTTPS - 보안을 위해 웹 페이지 데이터를 주고받는 과정을 암호화함 POP3 - 서버에 보관된 수신 메일을 꺼내옴 SMTP - 메일을 송신함 FTP - 파일을 전송함 Telnet - 컴퓨터를 원격에서 제어함 SSH - 보안을 위해 컴퓨터를 원격에서 제어하는 과정을 암호화함 SMB - 윈도우 컴퓨터와 파일을 공유함 DHCP - 컴퓨터에게 프라이빗 IP를 동적으로 할당함 DNS - 도메인 이름과 IP 어드레스를 서로 변환함 SSL - 보안을 위해 통신 과정에서 주고받는 데이터를 암호화함

트랜스포트 계층 TCP - 애플리케이션의 데이터를 송수신하되 데이터의 정확한 전달을 중시함 UDP - 애플리케이션의 데이터를 송수신하되 데이터의 전송 속도를 중시함

인터넷 계층 IP - 패킷을 목적지까지 전달함 ICMP - IP의 통신 오류를 전달함 IPsec - 패킷을 암호화하여 전달함 ARP - 네트워크 장비의 MAC 어드레스를 알아냄

네트워크 인터페이스 계층 이더넷 - 일반 금속 케이블이나 광 케이블을 통해 데이터를 전달함 PPP - 사용자 인증 후에 원격지의 장비와 통신함

C2. 네트워크 서비스와 애플리케이션 계층

애플리케이션 계층은 사용자가 직접 사용하며 체감하는 계층

사용자각 직접 사용하는 프로토콜 HTTP - 웹 페이지 데이터를 주고받음 POP, SMTP, IMAP - 메일을 송수신하고 보관 SMB, AFP - LAN 안에서 파일을 공유 FTP - 서버를 통해 파일을 주고 받음 Telnet, SSH - 원격에서 서버 제어

사용자가 간접적으로 사용하는 프로토콜 DNS - 도메인명과 IP 어드레스의 정보를 서로 변환할 때 사용 DHCP - LAN 내의 컴퓨터에게 IP 어드레스를 할당할 때 사용 SSL/TLS 통신 데이터를 암호화하여 주요 정보를 안전하게 주고받을 때 사용 NTP - 네트워크에 연결된 장비들의 시스템 시간을 동기활 때 사용 LDAP - 네트워크에 연결된 자원(사용자,장비들)의 통합 관리에 필요한 디렉토리 서비스를 제공할 때 사용

C3. 트랜스포트 계층

데이터 분류하는 트랜스포트 계층 포트 번호로 애플리케이션을 구분 데이터의 정확한 전달을 중시하는 TCP 포트 번호는 컴퓨터 내부의 수진자를 표현

주요 웰 노운 포트 20번 FTP(액티브 모드에서 데이터 커넥션, 패시브 모드에서 랜덤 포트 사용) 21번 FTP(컨트롤 커넥션) 22번 SSH(원격 제어,보안 기능 있음) 23번 Telnet(원격 제어) 25번 SMTP(이메일 전송) 80번 HTTP(웹) 110번 POP3(이메일 수신) 143번 IMAP4(이메일 수신,보관 기능 있음)

클라이언트가 사용하는 포트 번호는 그때그때 다름 클라이언트의 ip어드레스와 포트를 조합해서 기억 TCP가 정확하게 데이터를 전달하는 방법 일련번호와 최대 세그먼트 크기를 사전에 조율 1.송신 실패 여부를 판단한다. 2.연속된 데이터를 몰아서 보내면 전송 속도가 빨라진다. 3.한번에 받아 낼 수 있는 데이터 양을 조절 4.버터가 가득찬 경우 네트워크의 혼잡 상태를 확인 UDP는 다른 처리 없이 전송만 한다.

출처: 명쾌한 설명과 풍부한 그림으로 배우는 TCP/IP 쉽게, 더 쉽게

암호화 보안 프로토콜

암호화 프로토콜은 보안 연결을 제공하여 두 당사자가 사생활 보호와 데이터 무결성을 가지고 서로 통신할 수 있게 해줌

HTTPS

HTTP는 기본적으로 암호화되지 않은 데이터 송수신 => HTTPS (HTTP Secure)는 HTTP 프로토콜에 암호화 적용한 프로토콜, 기본 포트번호는 443번

HTTPS 통신 은 HTTP 통신 과 다르게 서버가 제공하는 SSL 인증서 라는 요소가 추가되었으며, 이를 통해 클라이언트는 필요한 서버의 정보를 취득하고 신뢰성을 판단합니다.

HTTPS가 사용하는 보안기능 (암호화 방식)

SSL ( Secure Sockets Layers ) : 현재 SSL 3.0까지 출시, 향후 업데이트 X TLS ( Transport Layer Security ) 현재 TLS 1.0까지 출시 SSL의 업그레이드 버전이지만 SSL 제작사와는 다른 회사에서 제작 및 관리 통상 SSL이라는 보안기능은 사실상 TLS를 의미 HTTPS-SSL, HTTPS-TLS, HTTPS-SSL/TLS 등의 여러가지 형태로 표기

SSL/TLS 인증서

클라이언트-서버 간 통신을 제3자가 보증해주는 문서 클라이언트가 서버에 접속하면 -> 서버는 클라이언트에게 인증서 전송 -> 클라이언트는 전달받은 인증서를 보고 신뢰할 수 있는 대상인지 확인 후 -> 데이터를 보내는 절차 수행

SSL(TLS) 통신과정

1. 클라이언트 → 서버로 랜덤 데이터와 사용 가능한 암호화 방식을 보낸다.
2. 서버 → 클라이언트로 랜덤 데이터, 사용할 암호화 방식과 SSL 인증서를 보낸다.
3. 클라이언트는 서버에게 받은 인증서의 CA가 자신이 들고 있는 CA 리스트에 있는지 확인하고, 있다면 CA의 공개키로 복호화한다. 이는 곧 CA 비밀키에 의해 암호화됐다는 것이므로 인증서의 신원을 보증해준다. (공개키 암호화 방식) 클라이언트는 자기가 보낸 랜덤 데이터와 서버로부터 받은 랜덤 데이터를 조합하여 임시 키 (pre master secret key)를 만든다.
4. 만들어진 임시 키를 인증서의 공개키로 암호화하여 서버에게 보낸다.
5. 서버는 자신이 들고 있던 비밀키로 임시 키를 복호화한다.
6. 이로써 클라이언트와 서버는 동일한 임시 키를 공유하게 되는데, 일련의 과정을 거쳐 master secret 값을 만들고 세션 키를 생성한다.
7. 이렇게 만들어진 세션 키로 암호화된 데이터를 주고받는다. (대칭키 암호화 방식)
8. 세션이 종료되면 클라이언트와 서버 모두 세션 키를 폐기한다.

이렇게 공개키 암호화 방식과 대칭키 암호화 방식을 조합해서 사용하는 이유는 아래와 같다.

1. 공개키 방식은 컴퓨터 파워를 많이 사용한다. 그래서 요청이 쏠리는 경우 서버는 과금을 내야 한다.
2. 대칭키 방식은 암호를 푸는 열쇠인 대칭키를 상대방에게 줘야 한다. 하지만 인터넷을 통해 키를 전송하는 것은 위험하다.

그래서 채널을 수립할 때에는 공개키 방식을 이용해 보다 안전한 채널을 수립하고, 이후 데이터를 주고받을 때 대칭키를 통해 암호화하여 주고 받는다.

Wirshark(네트워크 패킷 분석 도구)

와이어샤크는 네트워크 패킷을 캡처하고 분석하는 오픈소스 도구이다. 처음엔 ' Ethereal ' 이라는 이름으로 나왔다가 이후에 상표문제로 ' Wireshark '로 바뀌었다. 강력하고 쉬운 사용법때문에 해킹뿐만 아니라 보안 취약점 분석, 보안 컨설팅, 개인정보 영향평가 등 여러 분야에서 폭 넓게 사용된다. 사무실 내부 네트워크에서 지연 현상 발생 시 과다 트래픽 및 패킷을 유발하는 IP를 확인하는 간단한 방법을 소개합니다.

Wireshark 기본 작동 개념

같은 네트워크 구간의 Noel과 Susan은 이메일이나 메신저 등을 통해 대화를 주고받는다. 여기에서 Wireshark를 사용하는 제3자는 이 둘 사이의 네트워크로 돌아다니는 패킷( 네트워크상의 데이터 )을 수신하여 저장한다. 이때, PCAP이라는 파일 포맷으로 저장된다. PCAP 은 Packet Capture의 약자로 네트워크 트래픽을 캡처하는 API구성이다. Wireshark는 자체 프로그램으로 네트워크 트래픽을 캡처하는 것이 아니고, 운영체제에서 지원하는 캡처 라이브러리를 이용하여 수집한다. 유닉스 : libpcap 윈도우 : Winpcap

Wireshark 설치

Kali Linux 사용자의 경우 기본적으로 설치가 되어있다. window 사용자의 경우 wireshark 홈페이지에서 무료로 다운받아 사용이 가능하다. https://www.wireshark.org/

나는 macOS Arm 64-bit .dmg 다운받아 설치하였다.

와이어샤크 처음 실행하면 위와 같은 화면이 뜬다. 가운데 빨간색 박스를 보면 자동으로 와이어샤크가 이더넷 인터페이스를 찾아놨다. 따라서 해당 부분을 클릭하면 왼쪽 상단에 상어지느러미 모양이 활성화되는데 이것을 누르면 해당 이더넷 인터페이스에서 오고 가는 패킷들을 찾아준다.

이런식으로 오고가는 패킷을 실시간으로 잡아내는 것을 확인할 수 있다.

No. : 패킷을 수집한 순서 Time : 패킷이 수집된 시간 Source : 패킷을 보낸 주소 Destination : 패킷 도착 주소 Protocol : 프로토콜 정보 Length : 패킷의 길이 Info : 패킷 정보

패킷 필터링

사실 위와 같이 그냥 start버튼으로 패킷을 수집해버리면 원하는 패킷만 보고 싶은데 다른 패킷들도 다 수집해버려서 보기 어렵다. 그래서 그런 문제를 해결하기 위해 필터링을 제공한다.

두 가지의 필터링 방식이 있는데 중요한 것은 아니므로 쉽게 설명하도록 한다.

1. 애초에 패킷 수집 자체에 필터를 걸어서 필터링에 적용된 패킷만 받는 방법(성능에 영향을 끼칠 수 있음..)
2. 오가는 패킷 전체를 수집한 후, 내가 화면에서 볼 것만 필터링하는 방법(권장, 다양한 연산이 사용가능함) 1을 캡쳐필터라고하고 2를 디스플레이 필터라고 한다는 것만 알고 넘어간다.

예를들어 "ip.addr == 192.0.2.1" 이라고 적용하면 source든 destination이든 아이피가 해당 아이피인 패킷만 볼 수 있다.

• 유용한 필터링 식

eth.addr == 00:3f:1e:00:00:23 //출발지나 목적지 MAC 주소로 검색 ip.addr == 192.168.0.2 // 출발지나 목적지 IP주소로 검색 tcp.port == 3306 // TCP 출발지나 목적지 포트 번호로 검색 ip.src != 10.1.2.3 // 출발지 IP주소가 해당 IP주소가 아닌것 검색 eth.dst == 00:3f:1e:00:00:23 // 목적지 MAC주소 검색

기타 비교 연산자나 논리 표현도 가능해서 아주 다양하게 적용할 수도 있다.

필터링을 하여 아이폰 핫스팟으로 맥북 연결한 내 아이피를 들어가면 화면을 이렇게 나오는 것을 확인 할 수 있다.