완벽한 서버 - CentOS 5.6 x86_64 [ISPConfig 3] - 페이지 5

15 Apache2 설치 mod_php, mod_fcgi/PHP5 및 suPHP 사용

ISPConfig 3를 사용하면 웹사이트별로 mod_php, mod_fcgi/PHP5, cgi/PHP5 및 suPHP를 사용할 수 있습니다.

mod_fcgid는 공식 CentOS 저장소에서 사용할 수 없지만, centos.karan.org 테스트 저장소에 CentOS 5.x용 패키지가 있습니다. 다음과 같이 저장소를 활성화합니다:

cd /etc/yum.repos.d/
wget http://centos.karan.org/kbsingh-CentOS-Extras.repo

다음으로 /etc/yum.repos.d/kbsingh-CentOS-Extras.repo를 엽니다…

vi /etc/yum.repos.d/kbsingh-CentOS-Extras.repo

… 그리고 [kbs-CentOS-Testing] 섹션에서 gpgcheck를 0으로, enabled를 1로 설정합니다:

| [...] # pkgs in the -Testing repo are not gpg signed [kbs-CentOS-Testing] name=CentOS.Karan.Org-EL$releasever - Testing gpgcheck=0 gpgkey=http://centos.karan.org/RPM-GPG-KEY-karan.org.txt enabled=1 baseurl=http://centos.karan.org/el$releasever/extras/testing/$basearch/RPMS/ |

그 후 mod_php5, mod_fcgid 및 PHP5와 함께 Apache2를 설치할 수 있습니다:

yum install php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-eaccelerator php-mbstring php-mcrypt php-mhash php-mssql php-snmp php-soap php-tidy curl curl-devel perl-libwww-perl ImageMagick libxml2 libxml2-devel mod_fcgid php-cli httpd-devel

다음으로 /etc/php.ini를 엽니다…

vi /etc/php.ini

… 그리고 오류 보고를 변경하고(더 이상 알림이 표시되지 않도록) 파일 끝에 cgi.fix_pathinfo = 1을 추가합니다:

| [...] ;error_reporting = E_ALL error_reporting = E_ALL & ~E_NOTICE [...] cgi.fix_pathinfo = 1 |

다음으로 suPHP를 설치합니다:

cd /tmp
wget http://suphp.org/download/suphp-0.7.1.tar.gz
tar xvfz suphp-0.7.1.tar.gz
cd suphp-0.7.1/
./configure –prefix=/usr –sysconfdir=/etc –with-apr=/usr/bin/apr-1-config –with-apxs=/usr/sbin/apxs –with-apache-user=apache –with-setid-mode=owner –with-php=/usr/bin/php-cgi –with-logfile=/var/log/httpd/suphp_log –enable-SUPHP_USE_USERGROUP=yes
make
make install

그런 다음 Apache 구성에 suPHP 모듈을 추가합니다…

vi /etc/httpd/conf.d/suphp.conf

| LoadModule suphp_module modules/mod_suphp.so |

… 그리고 /etc/suphp.conf 파일을 다음과 같이 생성합니다:

vi /etc/suphp.conf

| [global] ;Path to logfile logfile=/var/log/httpd/suphp.log ;Loglevel loglevel=info ;User Apache is running as webserver_user=apache ;Path all scripts have to be in docroot=/ ;Path to chroot() to before executing script ;chroot=/mychroot ; Security options allow_file_group_writeable=true allow_file_others_writeable=false allow_directory_group_writeable=true allow_directory_others_writeable=false ;Check wheter script is within DOCUMENT_ROOT check_vhost_docroot=true ;Send minor error messages to browser errors_to_browser=false ;PATH environment variable env_path=/bin:/usr/bin ;Umask to set, specify in octal notation umask=0077 ; Minimum UID min_uid=100 ; Minimum GID min_gid=100 [handlers] ;Handler for php-scripts x-httpd-suphp="php:/usr/bin/php-cgi" ;Handler for CGI-scripts x-suphp-cgi="execute:!self" |

마지막으로 Apache를 재시작합니다:

/etc/init.d/httpd restart

15.1 루비

버전 3.0.3부터 ISPConfig 3는 루비에 대한 기본 지원을 제공합니다. CGI/FastCGI를 사용하는 대신 ISPConfig는 서버의 Apache에서 mod_ruby가 사용 가능해야 합니다.

CentOS 5.6에는 mod_ruby 패키지가 없으므로 직접 컴파일해야 합니다. 먼저 몇 가지 필수 패키지를 설치합니다:

yum install httpd-devel ruby ruby-devel

다음으로 mod_ruby를 다음과 같이 다운로드하고 설치합니다:

cd /tmp
wget http://modruby.net/archive/mod_ruby-1.3.0.tar.gz
tar zxvf mod_ruby-1.3.0.tar.gz
cd mod_ruby-1.3.0/
./configure.rb –with-apr-includes=/usr/include/apr-1
make
make install

마지막으로 mod_ruby 모듈을 Apache 구성에 추가해야 하므로 /etc/httpd/conf.d/ruby.conf 파일을 생성합니다…

vi /etc/httpd/conf.d/ruby.conf

| LoadModule ruby_module modules/mod_ruby.so |

… 그리고 Apache를 재시작합니다:

/etc/init.d/httpd restart

15.2 WebDAV

WebDAV는 이미 활성화되어 있어야 하지만, 이를 확인하려면 /etc/httpd/conf/httpd.conf를 열고 다음 세 가지 모듈이 활성화되어 있는지 확인합니다:

vi /etc/httpd/conf/httpd.conf

| [...] LoadModule auth_digest_module modules/mod_auth_digest.so [...] LoadModule dav_module modules/mod_dav.so [...] LoadModule dav_fs_module modules/mod_dav_fs.so [...] |

/etc/httpd/conf/httpd.conf를 수정해야 하는 경우, Apache를 재시작하는 것을 잊지 마세요:

/etc/init.d/httpd restart 

16 PureFTPd 설치

PureFTPd는 다음 명령으로 설치할 수 있습니다:

yum install pure-ftpd

그런 다음 시스템 시작 링크를 생성하고 PureFTPd를 시작합니다:

chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start

이제 PureFTPd를 구성하여 FTP 및 TLS 세션을 허용합니다. FTP는 모든 비밀번호와 모든 데이터가 일반 텍스트로 전송되기 때문에 매우 안전하지 않은 프로토콜입니다. TLS를 사용하면 전체 통신을 암호화할 수 있어 FTP를 훨씬 더 안전하게 만들 수 있습니다.

OpenSSL은 TLS에 필요합니다. OpenSSL을 설치하려면 다음과 같이 실행합니다:

yum install openssl

/etc/pure-ftpd/pure-ftpd.conf를 엽니다…

vi /etc/pure-ftpd/pure-ftpd.conf

FTP 및 TLS 세션을 허용하려면 TLS를 1로 설정합니다:

| [...] # This option can accept three values : # 0 : disable SSL/TLS encryption layer (default). # 1 : accept both traditional and encrypted sessions. # 2 : refuse connections that don't use SSL/TLS security mechanisms, # including anonymous sessions. # Do _not_ uncomment this blindly. Be sure that : # 1) Your server has been compiled with SSL/TLS support (--with-tls), # 2) A valid certificate is in place, # 3) Only compatible clients will log in. TLS 1 [...] |

TLS를 사용하려면 SSL 인증서를 생성해야 합니다. /etc/ssl/private/에 생성하므로 먼저 해당 디렉토리를 생성합니다:

mkdir -p /etc/ssl/private/

그 후 다음과 같이 SSL 인증서를 생성할 수 있습니다:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

국가 이름 (2자리 코드) [GB]: <– 국가 이름을 입력하세요 (예: “DE”).
주 또는 지방 이름 (전체 이름) [Berkshire]: <– 주 또는 지방 이름을 입력하세요.
지역 이름 (예: 도시) [Newbury]: <– 도시를 입력하세요.
조직 이름 (예: 회사) [My Company Ltd]: <– 조직 이름을 입력하세요 (예: 회사 이름).
조직 단위 이름 (예: 섹션) []: <– 조직 단위 이름을 입력하세요 (예: “IT 부서”).
공통 이름 (예: 이름 또는 서버의 호스트 이름) []: <– 시스템의 완전한 도메인 이름을 입력하세요 (예: “server1.example.com”).
이메일 주소 []: <– 이메일 주소를 입력하세요.

SSL 인증서의 권한을 변경합니다:

chmod 600 /etc/ssl/private/pure-ftpd.pem

마지막으로 PureFTPd를 재시작합니다:

 /etc/init.d/pure-ftpd restart

그게 전부입니다. 이제 FTP 클라이언트를 사용하여 연결을 시도할 수 있습니다. 그러나 FTP 클라이언트를 TLS를 사용하도록 구성해야 합니다.

17 chrooted DNS 서버 (BIND9) 설치

chrooted BIND9를 설치하려면 다음과 같이 합니다:

yum install bind-chroot

그런 다음 다음을 수행합니다:

chmod 755 /var/named/
chmod 775 /var/named/chroot/
chmod 775 /var/named/chroot/var/
chmod 775 /var/named/chroot/var/named/
chmod 775 /var/named/chroot/var/run/
chmod 777 /var/named/chroot/var/run/named/
cd /var/named/chroot/var/named/
ln -s ../../ chroot
touch /var/named/chroot/var/named/named.local
cp /usr/share/doc/bind-9.3.6/sample/var/named/named.root /var/named/chroot/var/named/named.root
touch /var/named/chroot/etc/named.conf.local
vi /var/named/chroot/etc/named.conf

| // named.conf // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. options { listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; directory "/var/named/chroot/var/named"; dump-file "/var/named/chroot/var/named/data/cache_dump.db"; statistics-file "/var/named/chroot/var/named/data/named_stats.txt"; memstatistics-file "/var/named/chroot/var/named/data/named_mem_stats.txt"; allow-query { any; }; recursion no; allow-recursion { none; }; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.root"; }; include "/var/named/chroot/var/named/named.local"; |

chkconfig –levels 235 named on
/etc/init.d/named start

BIND는 /var/named/chroot/var/named/ 아래의 chroot 감옥에서 실행됩니다. ISPConfig를 사용하여 BIND를 구성할 것입니다 (영역 등).

18 Vlogger 및 Webalizer 설치

Vlogger 및 webalizer는 다음과 같이 설치할 수 있습니다:

yum install webalizer perl-DateTime-Format-HTTP perl-DateTime-Format-Builder

cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger*

19 Jailkit 설치

Jailkit은 SSH 사용자를 chroot하려는 경우에만 필요합니다. 다음과 같이 설치할 수 있습니다 (중요: Jailkit은 ISPConfig 이전에 설치해야 하며, 이후에 설치할 수 없습니다!):

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.13.tar.gz
tar xvfz jailkit-2.13.tar.gz
cd jailkit-2.13
./configure
make
make install
cd ..
rm -rf jailkit-2.13*

20 fail2ban 설치

이것은 선택 사항이지만 권장됩니다. ISPConfig 모니터가 로그를 표시하려고 시도하기 때문입니다:

yum install fail2ban

chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start

21 rkhunter 설치

rkhunter는 다음과 같이 설치할 수 있습니다:

yum install rkhunter