작심삼일

서비스 운영을 할 때, 기본중의 기본이 "root 계정을 사용하지 않는 것" 이라고 생각한다. root를 사용하게 되면 취약점을 통해서 root권한으로 시스템 자체를 장악할 수 있기 때문이다. 그리고 지금까지 운영을 해본 결과로 root 계정 없이도 서비스 운영 잘 할 수 있다. 3가지 방법 보통 서비스에서 well-known 포트를 이용하려는 목적으로 root가 필요한 것 같다. 그에 따른 대책으로 3가지 방법을 찾아보았다. 1. port-forwarding(포트 포워딩) 서버로 받는 것은 well-known 포트로 받고, 서버 내부적으로 일반 포트로 포워딩을 하는 방법. 예를 들어서, 아파치에서 80, 443 포트를 사용해야 하는데 root 권한이 없어서 실행시키지 못한다. 그렇다면, 방화벽에서 80..

Centos7로 넘어오면서 기본 방화벽이 변경 됐다. (IPTABLE => firewalld) 그래서 firewalld의 사용법만 간단히 적어본다. 기본 설정 firewalld가 동작하는 동안에는 모든 아이피 포트는 닫혀있다. 포트 오픈 하기 firewall-cmd --permanent --zone=public --add-port=80/tcp 포트 포워딩 하기 iptable에서 포트포워딩 지원이 안되는 것 같다. firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:toport=8080 특정 아이피 허용하기 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" sour..