BLOG main image
Their Finest Hour! Since1999..

카테고리

분류 전체보기 (934)
My Page (47)
Linux/Unix (604)
::FAQ (279)
::Fundamentals (285)
::Shell Script (2)
::Apache (22)
::Tomcat (0)
::Sendmail (9)
::Qmail (0)
::DNS -Bind (4)
::AnNyung Linux (3)
Windows (219)
Database (61)
Programming (1)
Network (0)
ScreenShot (1)
Tip (1)

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백


1. 정규식에 대한 이해

grep,awk,sed,vi,perl등과 같은 명령어들을 패터처리 언어에서 사용하는 패턴에 대한 특정 규칙을 정규식(Regular Expression)이라고 부른다. 다시 말해서 패턴이란 "규칙적으로 기술된 문자열" 이라고 설명 할 수 있고 이런 규칙들을 표현하는 형식중의 한 방법이 정규식이다.

다음은 샘플 데이터 파일과 egrep 명령을 이용하여 정규식을 하나씩 설명하겠다.



<샘플 파일>
$ cat sampfile
This is sample data file
Hello This is Kim.
I'm so happy
Test100
test200
Are you unhappy ?



1) " ^ " : 행의 시작과 부합

$ grep "^H" sampfile
Hello This is Kim.



2) " $ " : 행의 끝과 부합

$ grep "happy$" sampfile
I'm so happy



3) " * " : 임의의 0개 이상의 문자와 부합

$ egrep "e*" sampfile
This is sample data file
Hello This is Kim.
I'm so happy
Test100
test200
Are you unhappy ?
$ egrep "ee*" samplefile
This is sample data file
Hello This is Kim.
Test100
test200
Are you unhappy ?
$ egrep "ppp*" sampfile
I'm so happy
Are you unhappy ?



4) " ? " : 임의의 0 또는 1개의 문자와 부합

$ egrep "pp?" sampfile
This is sample data file
I'm so happy
Are you unhappy ?



5) " + " : 임의의 1개 이상 문자와 부합

$ egrep "pp+" sampfile
I'm so happy
Are you unhappy ?



6) " . " : 임의의 한문자와 부합

$ egrep "y.." sampfile
Are you unhappy ?



7) " \< " : 단어의 시작과 부합

" \> " : 단어의 끝과 부합
$ egrep "happy" samplfile
I'm so happy
Are you unhappy ?
$ egrep "\" sampfile
I'm so happy
$ egrep "happy\>" sampfile
I'm so happy
Are you unhappy ?





8) " [문자들] " : 문자들에 포함되는 하나의 문자와 부합

" ^[문자들] " : 문자들에 포함되는 문자들을 제외한 하나의 문자와 부합
$ egrep "^[A-Z]" sampfile
test200
$ egrep "^[^A-Z]" sampfile
This is sample data file
Hello This is Kim.
I'm so happy
Test100
Are you unhappy ?
$ egrep "[0-9]$" sampfile
Test100
test200



9) 정규식과 부합하는 문자의 반복횟수

\{숫자\} : 정확히 지정된 숫자만큼 반복
\{최소값,최대값\}: 최소값부터 최대값까지 횟수 만큼 반복
ex) a\{1\} a가 정확히 한번 team , happy, goal
a\{1,\} a가 한번이상 반복 team. aang, aaaang
a\{2,5\} a가 2번이상 5번 이하 반복 aa, aaa, aaaa, aaaaa



10) " \( 패턴 \) " : 내부 표현식을 만든다.

패턴을 하나의 문자 처럼 사용한다.
" \숫자 " : 숫자번째 내부 표현식에 부합된 문자열을 다시 참조한다.
$ egrep '\([A-Za-z0-9].*\)\(:.*\)\{4\}:/export/home/\1:' /etc/passwd
결과> /etc/passwd 파일안에서 사용자의 login명과 기본 디렉토리명이 같은 사용자를 검색하여 출력한다.



11) " \ " : 정규식의 메타 문자가 아닌 문자 자체로 해석

$ egrep "\.$" sampfile
Hello This is Kim.



2. awk

awk 은 설계자인 Aho, Weingrger, Kernighan의 첫글자로 명명되어진 패턴검색과 처리 기능을 가진 인터프리티드 프로그래밍 언어로서 필터링, 치환, 간단한 리포팅 작업을 제어할수 있다.



1) "awk" 형식

awk 프로그램은 세부분으로 구성되어 진다.

BEGIN Section : 파일을 읽기전에 실행
Pattern Statment Section : 파일의 각 레코드 라인을 읽어들일 때 마다 실행
END Section : 파일을 다 읽어들인 뒤 실행

BEGIN { statements ….}
/pattern expression / { statements .... }
END { statements… }


여러개의 statement를 한 라인에 쓸때는 statement ; statement 의 형식으로 기술한다.



2) awk 명령어 실행 방법



"awk" 프로그램을 명령어 상에서 입력하는 경우
$ awk '{print $0 }' datafile ....
단일인용문( ' ' ) 안에 프로그램을 기술한다. 데이터 파일을 정의하지 않으면 표준 입력으로부터 데이터를 입력 받는다.

awk 프로그램을 파일로 작성하는 경우는
$ awk -f awk-program-filename data-filenames

ex)
$ awk ' BEGIN { print "awk 프로그램 실행 연습입니다" } '
$
$ awk '{ print $1, $2 } ' data1
100 200
300 400
500 600
$
$ cat ex01
# This is sample file
BEGIN {
print "Hello, I'm Kim "
exit }
$
$ awk -f ex01
Hello, I'm Kim

$



3) 레코드

레코드는 입력된 파일의 한 줄을 말한다. 라인 전체의 내용은 $0 변수명으로 사용되며, 입력된 레코드 번호는 NR 이라는 변수로 표시 된다.

4) 필드

입력된 레코드에서 스페이스 또는 탭으로 구분되는 문자들을 말한다. 각각의 필드는 $1,$2,$3,....$n 으로 필드위치에 따라 변수명으로 표기되며 현재 필드값은 NF 변수로 표시된다.

5) 변수

위치변수 는 필드 또는 레코드를 나타낸다.
$0 : 현재 입력된 레코드를 나타내는 변수
$1 : 현재 입력된 레코드의 첫 번째 필드를 나타내는 변수
$n : 현재 입력된 레코드의 n번째 필드를 나타내는 변수

재정의 변수는 입력된 레코드의 구성과 크기에 대한 정보를 제공한다.
NR : 레코드 수
NF : 필드 수
FS : 필드 구분 문자
RR : 레코드 구분 문자
OFS : 출력 필드 구분 문자
ORS : 출력 레코드 구분 문자
FILENAME : 현재 입력된 파일 이름
OFMT : 출력 인쇄 형식

사용자 정의 변수는 프로그램의 어느 곳에서도 사용자가 정의하여 사용 할 수 있으며, 숫자 또는 문자열 값을 가진다. 초기화 하지 않으면 자동적으로 null(0) 문자를 가진다.

ex)
$ cat data1
100 200
300 400
500 600
$ cat ex02
BEGIN { OFS="------" }
{ print $1,$2 }
$
$ awk -f ex02 data1
100------200
300------400
500------600
$
$ cat ex03
{ x = $1 + $2
y = y + x }
END { print y }
$
$ awk -f ex03 data1
1600
$



6) 패턴 과 연산자



패턴의 형식은 egrep과 유사한 형식을 가진다. 정규식을 사용하여 패턴을 구성할 수 있으며 패턴은 "/ /" 형식으로 지정한다.
"/ /,/ /" 형식을 사용하여 패턴으로 범위를 지정할 수 있다.

ex)

$ cat ex04
$2 ~ /^[0-9]+$/ { print $2 }
-> 두 번째 필드가 숫자로만 구성되어 있으면 두 번째 필드값을 출력
$ awk -f ex04 data1
200
400
600
$
$ cat ex05
$0 ~ /[Ee]nd/ { print "end of", FILENAME }
$
-> 읽어 들인 레코드의 값이 End 또는 end이면 "end of data1" 과 같은 형식으로 출력
$ cat ex05_1
/Begin/,/End/ { total += $1 }
END { print "Total = " total }

연산자는 관계연산자, 패턴 연산자, 산술연산자, 지정 연산자, 복합지정연산자, 증감연산자 가 있다.
관계연산자는 숫자 또는 스트링 값을 비교할 때 사용한다.

== 같다
!= 같지 않다
> 크다
< 작다
>= 크거나 같다
<= 작거나 같다

ex)

NF != 5 { print "필드수가 5개가 아님"}
$1 >= 10000 { print "첫번째 필드값이 10000 보다 크거나 같다" }
$1 >= "s" { print " 첫 번째 필드가 s 보다 뒷문자(tuvw..)이다"}
$1 < $2 { print "두번째 필드 값이 첫 번째 필드 값보다 크다"}



패턴연산자는 스트링 패턴과의 일치 여부를 비교할 때 주로 사용 된다.

~ 패턴과 일치
!~ 패턴과 같지 않다.



ex)
$1 !~ /^[0-9]+$/ { print "첫번째 필드가 숫자가 안니다" }
$2 ~ /korea/ { print "두번째 필드값이 korea 이다"}



산술연산자는 수식 계산에 사용된다
+ 더하기
- 빼기
* 곱하기
/ 나누기
% 나누어서 남은 나머지



지정 연산자는 오른쪽 값을 왼쪽 변수에 대입한다
= 지정연산
ex) a = 10



복합 지정 연산자는 산술연산자와 지정연산자를 결합해서 사용한다
+= , -=, *=, /=, %=

ex) a += 5 : a = a + 5 와 같은 문장이다.

증감 연산자는 값을 1씩 증가하거나 감소 시킬 때 사용한다

++ 1 증가
-- 1 감소

ex)
$ cat ex06
END { a = 0
print "a++ = ", a++
print "a-- = ", a--
exit
}

$ cat ex07
BEGIN { a = 0 }
$1 > 100 { a++ }
END { print "첫번째 필드의 값이 100보다 큰 경우는 ", a, "번입니다" }
$

$ awk -f ex07 data1
첫번째 필드의 값이 100보다 큰 경우는 2 번입니다



7) 출력문

print 문은 출력하고자하는 문자열은 "출력내용" 의 형식으로, 변수값은 변수명을 사용하여 출력한다.
" , " (쉼표)는 "print"문 안에서 필드를 구분한다. "" 사이의 문자열은 하나의 필드로 취급된다.
출력방향을 조정하기위해 " > " 문자와 " >> " 문자를 사용할수 있다. 출력될 파일이름은 인용부호("")안에서 사용한다.

ex)
$ cat ex08
{ print $1,$2 > "sample"}
$
$ awk -f ex08 data1
$ cat sample
100 200
300 400
500 600

"printf" 문을 사용하여 출력 양식을 지정할 수 있다.
사용형식은 printf "format",expression1, expression2,..... 이다.
format에서 변환사양은 % 기호를 붙여서 표시한다

%d 십진수
%o 8진수
%x 16진수
%s 문자열
%f 소수
%e 지수를 사용한 소수
%g %f,%e중 짧은 형태의 출력을 사용한다.

ex)
$ cat ex09
$1 ~ /^[0-9]+$/ { printf "첫번째 필드 값은 %d 입니다\n",$1 }
$
$ awk -f ex09 data1
첫번째 필드 값은 100 입니다
첫번째 필드 값은 300 입니다
첫번째 필드 값은 500 입니다
$



파이프(|)를 사용하여 " print"문의 출력을 UNIX 시스템 명령어의 입력으로 사용할 수 있다. awk 안에서 유닉스 명령과 인수를 사용하는 경우는 인용부호(" ")로 묶어서 사용한다.

$ cat ex09
END { print " Pipe Test ...Is it OK? " | "mail guest" }
$
$ awk -f ex08 data1
$ login guest
Welcome to guest account
You have mail



8) 프로그래밍 언어 구조 제어문들



" if " 문

ex)
{ if ( $1 < 100 && $2 > $3 )
{ print "첫번째 필드값이 100보다 작고 두 번째 필드값이 세 번째 필드값 보다 큽니다" }
}

ex)
{ if ( $1 > 100 || $2 >100 )
{ print "첫번째 필드값이 100보다 크거나 두 번째 필드값이 100보다 큽니다" }
}



" while " 문

{ i = 1
while ( i <= NF )
{ print "필드수가 1개보다 작거나 같습니다" }
}



" for " 문

ex)
$ cat ex10
{ for ( a = 1 ; a <= NF ; a++ ) print NR,a ,$a }
$ awk -f ex10 data1
1 1 100
1 2 200
2 1 300
2 2 400
3 1 500
3 2 600
$



" break "문은 순환문의 수행을 중지 시키고 순환문 밖의 문장을 수행한다


" continue "문은 순환문의 수행을 중지하고, 순환문의 처음 조건을 테스트한다.


" next " 문은 다음 입력 레코드를 읽어 들이고 프로그램 수행은 패턴문의 처음을 수행한다.


" exit " 문은 프로그램 실행을 종료한다



ex)
$ cat ex11
{ for ( n = 1; ; n++ )
{ if ( n <= NF ) { print NR, n, $n
continue }
break
} }
$
$ cat ex12
NF > 2 { print NR, NF; next }
$
$ cat ex13
$1 > 100 { print NR, " $2= ", $2, "$2값 오류"
exit 99 }
$



9) awk에서 많이 사용되는 함수들



" length " 함수는 주어진 문자열의 문자 개수를 반환한다. length 함수에 인수가 없으면 현재 입력 레코드의 문자수를 반환한다.

$ cat ex14
{ print NR, "입력된 문자열의 문자수는 " , length, "개입니다" }
$

$ cat ex15
{ print NR, "첫번째 필드의 문자수는 ", length($1), "개입니다" }
$



" substr " 함수는 지정한 문자열에서 원하는 개수 만큼의 문자들을 추출하여 반환한다

$ cat ex16
BEGIN {
print substr("Happy Birthday",7,9)
exit }

$ awk -f ex16
Birthday



" index " 함수는 문자열에서 지정하는 문자열이 있는 위치를 나타낸다. 문자열에서 지정한 문자열이 포함되어 있지 않은 경우는 0 값을 반환한다.

$ cat ex17
BEGIN {
print index("Hello This is Kim","This")
exit
}

$ awk -f ex17
7
$



" sprintf " 함수는 printf함수와 사용방법이 유사하지만 출력의 방향이 지정연산자의 왼편에 있는 변수명이다.

$ cat ex18
{ var = sprintf("출력연습 : 첫 번째 필드 : %d ",$1)
print var
}
$

$ awk -f ex17 data1
100
300
500
$



3. sed



sed는 stream editor의 약어이며 문자를 스트림으로 나타나는 입력을 수정하거나 편집하는데 사용되는 툴입니다. 유닉스에서 제공하는 다른 편집기와의 차이점은 원본 파일을 변경시키지 않고 명령이 실행 되는 필터 기능을 가지고 있는 것입니다. 그래서 변경된 내용을 보존하기 위해서는 적절한 조치가 필요합니다.

1) "sed" 명령어 실행 형식

sed [-n][-e edit_command][-f command_file][ input_data_files ..]



옵션:
-n 결과행의 출력을 하지 않는다
-e 편집할 명령을 기술한다. 각각의 편집 명령마다 이 옵션을 붙인다
-f 편집할 명령을 파일로 작성한 뒤 파일에서 읽어서 명령을 실행한다
input_data_file 입력을 지정하지 않으면 표준입력으로부터 입력을 읽어 들인다.



사용 형식 예제:

$ sed -e 'sed_command' -e 'sed_command' .... filenames
$ sed -f sed_script_file filenames
$ cat datafile
Hello this is kim.
I'm so happy to meet you.
Test sample
sample program
Java programming



2) 라인 선택 출력과 파일로 출력



라인을 선택하여 출력할때는 -n 옵션과 sed명령중 p 명령을 이용하여 구현할 수 있다.

$ sed -n '1,3p' datafile <-- 1번-3번라인까지 출력한다.
Hello this is kim.
I'm so happy to meet you.
Test sample
$ sed -n '/^s/p' datafile
sample program : 라인의 시작이 's'인 라인을 출력
$ sed '/^s/p' datafile
Hello this is kim.
I'm so happy to meet you.
Test sample
sample program
Java programming

$ sed -e '/^sample/w sam_file' datafile
$ cat sam_file

sample program



3) 삭제, 추가, 삽입, 치환



삭제예:
$ sed '1,3d 'datafile
sample program
Java programming
$ sed '/^sample/,/^Java/d' datafile : 라인중 sample로 시작하는 라인 부터 Java로 시작하는 라인 까지 삭제
Hello this is kim.
I'm so happy to meet you.
Test sample



추가예:
$ cat file1 : 각 라인의 아래에 '=====' 라인이 추가된다

a\
=====
$ sed -f file1 datafile
Hello this is kim.
=====
I'm so happy to meet you.
=====
Test sample
=====
sample program
=====
Java programming
=====



삽입예: : 각 라인 위에 '***' 라인이 추가된다
$ cat file2
i\
***
$ sed -f sed_script_file filenames
***
Hello this is kim.
***
I'm so happy to meet you.
***
Test sample
***
sample program
***
Java programming



치환예:
$ sed -n '1,3s/t/T/gp' datafile :변경된 라인만 출력
Hello This is kim.
I'm so happy To meet you.
TesT sample

$ sed '1,3s/t/T/g' datafile :모든라인을 모두 출력
Hello This is kim.
I'm so happy To meet you.
TesT sample sample program
Java programming

$ sed -n '1,3s/t/T/gw sam_file2' datafile : 변경된 라인만 sam_file2 파일에 저장 한다
$ cat sam_file2
Hello this is kim.
I'm so happy To meet you.
TesT sample

$ sed 's/\/export\/home/\home3/g']

'/' 문자는 '\'문자를 사용하여 표시한다.
/export/home is user01's base directory <-- 입력라인
/home3 is user01's base directory <- 출력라인
Posted by 채종윤
리눅스 시스템 관리자가 되기 위해서는 많은 것을 알아두어야 한다. 시스템 관리자의
관리 여하에 따라 많은 사람들의 시스템 장애를 초래할 수 있기 때문이다. 물론 시스
템 관리자가 모든 것을 미리 예방할 수 없다. 하지만 불가피한 상황을 제외하고는 시
스템이 정상적으로 작동되도록 해야한다.

이번호에는 시스템, 네트워크, APM, 메일, 보안, 장애발생시 복구등에서 일어날 수 있
는 시스템 관리자의 행동요령에 대해 알아볼 것이다. 시스템 관리자는 항상 모니터와
키보드아 함께 한다는 사실을 기억해야 한다.


[ 막강한 시스템 길들이기 ]



1. 바이오스 타이머 조정

시스템이 네트워크에 연결되어 있다면, 다음과 같이 한국 표준시간 서버에서 표준시간
을 받아서 설정할 수 있다.

# rdate -s time.kriss.co.kr

시스템이 온라인 상태가 아니라면 아래와 같이 수동으로 설정할 수도 있다.

# date -s "1999-12-30 22:22:40"

위와 같이 실행하면 실행할 때만 적용되므로 이후 시간이 늦어지는 것을 막기 위해서
는 주기적으로 변경 가능하게 크론(/etc/crontab)에 설정하는 것이 좋다.



2. .profile과 rc.local의 차이

.profile은 로그인시 적용되는 내용들이고, rc.local은 시스템 부팅시 실행해야 할 것
들을 적어 놓은 것이다. 사용자 홈디렉토리의 .profile이 /etc에 있는 설정 파일보다
우선하기 때문에 홈 디렉토리에 .profile에 패스를 설정해주거나 쉘환경 파일 등을 설
정해주면 계정 내에서 적용이 된다. rc.local에는 부팅시 가장 마지막에 실행되므로
일반적으로 부팅시 실행되어야 할 데몬 등을 적어준다.



3. 커널 컴파일시 시스템 자원 확인법

리눅스 시스템의 자원정보는 proc 파일시스템 구조를 통해서 알 수 있다. 이는 실제로
디스크 용량을 차지하는 파일들이 아닌 가상의 디렉토리 구조이며 리눅스 커널에 의
해 사용되는 시스템의 정보를 담는 곳으로 사용된다. 다음의 위치에서 하드웨어에 대
한 정보 및 시스템 관련 정보들을 확인할 수 있다.

-------------------------------------------------------------------------------
/proc/cpuinfo | CPU의 정보
-------------------------------------------------------------------------------
/proc/interrupts | interrupt 할당 정보
-------------------------------------------------------------------------------
/proc/ioports | I/O 포트 할당 정보
-------------------------------------------------------------------------------
/proc/devices | Character, Block 장치명
-------------------------------------------------------------------------------
/proc/swaps | 활성화된 스왑영역 정보
-------------------------------------------------------------------------------
/proc/meminfo | 물리적인 램용량, 램 사용량, 스왑 사용량 등
-------------------------------------------------------------------------------
표 1. proc 파일 시스템 구조를 통한 시스템 자원 정보

위와 같이 관련된 정보에 해당하는 파일 이름이 존재한다. 이 파일들은 텍스트 포맷이
므로 cat 명령을 통해서 확인할 수 있다.



4. vi 에디터로 유닉스에서 도스상의 ^M 문자 없애기

^M 문자를 공백으로 치환하면 된다.

:1,$s/^M//g



5. 특정 rpm 패키지의 설치 여부 확인

# rpm -qa | grep 패키지 명으로 확인할 수 있다.



6. RPM(Redhat Package Manager)에서 특정 패키지 복원시키기

rpm2cpio filename.rpm | cpio -I -make-deretories -E filename



7. TCP Syn Flooding 공격 대처방법

Tcp Syn Flooding은 웹으로의 공격이 대부분이므로 syn_recv 프로세스가 일정 개수가
넘게 되면 아파치를 재시작한다. 지속적인 공격일 경우 대처 방안으로 두 가지 방법이
있다. 첫째, sysctl -a | grep syn_backlog으로 확인 후 backlog를 늘려주거나 둘째,
sysctl -a | grep syncookies로 확인 후 syncookies의 값을 1로 바꾸어준다. syn_bac
klog의 값을 조정해주는 방법은 다음과 같다.

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024
# echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog

syncookies의 값은 다음과 같이 변경이 가능하다.

# sysctl -w net.ipv4.tcp_syncookies=1



8. TCP Syn Flooding 공격 대처방법

Umount시 위와 같은 메시지가 나는 것은 unmount하려는 디렉토리에서 실행되고 있는
프로세스가 있기 때문이다. 예로 /tmp 디렉토리를 umount 시키려 할때 위의 메시지가
뜨는 경우 mysql.socket파일이 /tmp에 있는 경우를 들 수 있다. 이 경우에는 해당 파
일시스템에서 실행중인 프로세스를 제거해야 하나 일일이 제거가 번거로우므로 Fuser
에서 -k 옵션을 사용하면 간단히 해결할 수 있다.

Fuser -k 장치명



9. setuserid

디렉토리나 파일 퍼미션 중 setuid는 소유자의 권한을 잠시 빌려 실행 후 권한을 돌려
주고 실행을 마치게 되는데 실행도중 인터럽트가 발생한다면 정상적으로 권한을 반환
하지 못하게 되어 소유자의 권한을 그대로 가지고 있게 된다. 이때 파일의 소유자가
루트였다면 이것은 보안에 문제가 될수 있으며 이런 점을 이용해 해킹에 많이 사용된
다. Setuid가 걸여 잇는 파일 중에 실행권하이 있으며 루트권한일 경우에는 위험하다.
특정 디렉토리에서 setuid가 걸려있는 파일을 찾으려면 find /usr -perm 4775와 같이
perm 옵션으로 찾을 수 있다.



10. bash_profile 변경 후 변경된 내용을 유효하게 만들기

다음과 같이 ~/.bash_profile를 실행해서 변경이 적용되도록 한다.

# source ~/.bash_profile



11. root 패스워드를 잊어 버렸을때 다시 세팅하는 방법

리눅스 시스템을 재부팅하고 lilo가 뜨면 ''linux single''로 부팅한다. Tab 키를 누르
면 등록되어 있는 라벨이 모두 보이므로, 여기에서 선택하도록 한다. 부팅 후 쉘 명령
어 화면에서 /etc/passwd 파일에서 암호 부분을 삭제하거나 passwd를 실행하여 루트의
패스워드를 새로 설정해 준다.

# passwd root

위의 명령을 입력한 후 변경할 패스워드를 입력하면 된다.



12. 파티션을 나누는 이유와 기준

보통 파티션을 나누는 것에 대해서 별다른 고려없이 /로 모든 것을 잡아서 설치하는
경우가 종종 있다. 이럴 경우 설치시 편리하지만, 나중에 파일시스템에 문제가 생기거
나 효율적으로 파티션을 관리하기에는 많은 어려움이 있다. 파티션을 나눌때는 어떤
용도로 쓸것인지에 대해서 충분히 생각한 후 파티션을 해야 한다. 다음은 9.1GB 스카
시 하드디스크를 기준으로 웹 서버에서 이용될 서버에 대해 파티션한 경우의 예다.

-------------------------------------------------------------------------------
/boot | 30M | boot에 필요한 booting 지원 파일들이 있다.
| | 커널 컴파일시 1MB 씩 늘어난다는 것을 염두해 둔다.
-------------------------------------------------------------------------------
/ | 1000M |
-------------------------------------------------------------------------------
/usr | 2000M | 리눅스에서 사용되는 모든 application 및 시스템 파일들이 위치
| | 하고 있으며, library 파일과 실행파일이 존재한다.
-------------------------------------------------------------------------------
/var | 1000M |
-------------------------------------------------------------------------------
/tmp | 200M |
-------------------------------------------------------------------------------
/home | | 나머지 모두 웹 서버 용도로 사용한다면 home 부분에 자료가
| | 많아질 것이므로 home에 용량을 더 많이 배분했다. 이렇게 파티션
| | 을 나눠주면 서비스 거부 공격 방어, SUID 프로그램에 대한 보호,
| | 빠른 부팅속도, 백업과 업그레이드 등 관리의 편리성, 마운팅된
| | 파일 시스템에 대한 제어 가능성의 증대, 각 파일 시스템에 대한
| | 효율적인 제한이 가능하다는 이점이 있다.
-------------------------------------------------------------------------------
표 2. 9.1GB 스카시 하드디스크를 기준으로 한 웹 서버 파티션의 예



13. 기존의 ext2파일시스템과 저널링 파일시스템인 ext3, Reiser의 비교

-------------------------------------------------------------------------------
최대 파일사이즈 | ext2 | Journalling filesystem
| |---------------------------------------------
| | ext3 | Reiser FS
-------------------------------------------------------------------------------
최대저장용량 | 2TB (지원으로 | 4TB | 4GB of blocks, 16Tb
| 4TB까지 가능) | |
-------------------------------------------------------------------------------
블럭사이즈 | 1KB | 1KB - 4KB | Up to 64KB Currently
| | | Fixed 4KB 필요할 때마다
| | | 정확한 사이즈 할당가능
-------------------------------------------------------------------------------
최대 파일사이즈 | 2GB | 2GB | 4GB, 2^10 Petabytes in
| | | ReiserFS(3.6.XX)
-------------------------------------------------------------------------------
장점 및 단점 | 성능위주, 20KB | 파일복구 능력 | 공간저약 효과,
| 저장에 유리, | 뛰어남, 항상 로그 | 속도향상
| access 속도저하| 남기므로 속도 저하|
-------------------------------------------------------------------------------
표 3. ext2, ext3, Resiser의 특징 및 장담점

/var 디렉토리와 같이 항상 새로운 자료가 쌓이는 곳은 안정성이 우선시 되므로, ext3
파일시스템이 유리하며, /usr와 같이 내용 변화 없이 빠르게 액세스하여 쓸 수 있어야
하는 부분은 ext2 시스템을 이용하여 성능에 초점을 두면 좋을 것이다.



14. 기본 데이터 블럭 사이즈 1024KB와 4096KB의 차이

1024KB인 경우에는 블럭이 작은 만큼 4096KB보다 하드의 낭비가 적다. 1023KB의 데이
터를 저장하는 경우, 기본 블럭사이즈가 1024KB일 때는 1K 공간이 사용되지만, 4096KB
가 기본 블럭이라면 4K를 차지하게 된다. 하지만 아주 작은 파일들이 많은 경우 해당
데이터를 액세스하는 데는 1024KB가 4096KB보다 더 걸리게 되므로 퍼포먼스가 급격히
떨어지게 된다. 따라서 자신이 이용하는 시스템의 특성과 용도에 맞게 블럭 사이즈를
지정해서 사용하면 된다.



15. RAID

RAID는 ''Redundant Array of Inexpensive (or Independant) Disks''의 약어다. RAID 시
스템은 여러 드라이브의 집합을 하나의 저장장치처럼 다룰 수 있게 하고, 장애가 발생
했을 때 데이터를 잃어버리지 않게 하며 각각에 대해 독립적으로 동작할 수 있도록 한
다.



16. RAID 레벨 1과 레벨 5의 특성

시스템의 다운, 데이터 손실에 대비하여 보통 여러가지 RAID 레벨 중에서 1과 5번 방
법을 많이 사용한다.

RAID 1(mirroring)의 특징은 빠른 기록 속도와 함께 장애복구능력이 있다는 것이다. 2
대의 드라이브만으로 구성할 수 있기 때문에 작은 시스템에 적합하다. 읽을 똑같은 하
드가 복제되고 있으므로, 시스템에 문제 발생시 서비스 지연시간이 매우 짧아서 웹 서
비스를 하는 곳에서 유용하게 쓸 수 있다. 하지만 한 하드의 내용이 또 다른 하드에
똑같이 복사되므로 하드용량의 낭비가 심하다.

RAID 5(distributed parity)는 작고 랜덤한 입출력이 많은 경우 더 나은 성능을 제공
한다. 빠른 기록 속도가 필수적이지 않다면, 일반적인 다중사용자 환경을 위해 가장
좋은 선택이다. 그러나 최소한 3대, 일반적으로는 5대 이상의 드라이브가 필요하다.
변경된 내용이 있을 경우 그것만 기록한다. 일반적으로 RAID 1은 ECC 계산을 하지 않
으므로 RAID 5보단 빠르고, RAID 5는 하드 공간을 좀 더 여유있게 쓸 수 있다는 장점
을 지닌다.



17. 백업 계획 및 정책 수립의 요소와 Full 백업과 Incremental 백업

먼저 시스템의 전체 용량이 어떻게 되고, 그 중에서 백업할 가치가 있는 것은 어떤 부
분인지를 결정한다. 사용할 백업 장비와 종류를 알아보고, 총 백업 시간과 어느 정도
부하가 걸리는지 예상해보고 테스트해 본 후 마지막으로 백업 스케줄을 정한다. Full
백업은 백업할 자료를 처음부터 끝까지 다 기록하는 것이고, Incremental 백업은 이전
의 데이터와 비교해서 새로 추가된 내용만 백업하는 방법이다. 따라서 Full 백업시 완
전히 데이터를 백업할 수 있지만 시간이 많이 걸리고, 시스템에 부하를 초래할 수 있
는 반면에 Incremental 백업은 빠른 시간내에 백업을 할 수 있지만, 백업하는 시간에
따라 데이터가 완전히 백업되지 못할 경우도 있을 수 있다.



18. SNMP의 의미와 구성요소

SNMP는 ''Simple Network Management Protocol''의 약자다. 네트워크에 연결되어 있는
장치에서 네트워크에 관련된 정보를 모으고 문제점 등을 보고할 수 있는 기능을 제공
하는 프로토콜이다. 구성요소는 에이전트와 매니저가 있다. 이것은 서버/클라이언트
구조로서 에이전트가 서버에 해당되고, 매니저가 클라이언트에 해당한다. 에러가 발생
하는 경우는 선택한 장비에 SNMP가 Enable이 안되었거나, 네트워크에 문제가 있어서
모니터링 하려는 장비까지 프로토콜이 전송되지 않는 경우, community 값이 잘못 사용
된 경우 등이 있다.



19. 데몬을 실행하고 정지하기

/etc/rc.d/init.d이 디렉토리에 있는 서비스를 ''서비스명'' stop 또는 start 시키거나
재시작시킨다.



20. 사용자별로 하드디스크 사용 용량 설정하기

quota를 이용하면 된다. df 명령으로 사용자의 홈디렉토리가 있는 디바이스를 확인한다.

-------------------------------------------------------------------------------
filesystem 1k-blocks Used Available Use% Mounted on
/dev/sda5 3028080 878480 1995780 31% /
/dev/sda1 62217 7713 51291 13% /boot
/dev/sda6 2759260 2088820 530276 80% /home2
/dev/sdb1 8744304 6496724 1803388 78% /home3
/dev/sdc1 3529628 25597928 7905940 76% /home4
/dev/sda10 202220 6 191774 0% /tmp
/dev/sda7 1517920 1280648 160164 89% /usr
/dev/sda8 608724 426992 150812 74% /var

# edquota username

Quotas for user jhk1:
/dev/sda6: blocks in use: 47584, limits (soft = 0, hard = 0) /* 이 부분에 설정*/
inodes in use: 4590, limits (soft = 0, hard = 0)
/dev/sda8: blocks in user: 4, limits (soft = 0, hard = 0)
inodes in use: 1, limits (soft = 0, hard = 0)
-------------------------------------------------------------------------------

Soft는 용량에 설정되어 있는 용량은 넘어도 어느 정도 여유가 있지만, hard 용량에
설정된 크기는 절대적이다. 따라서 hard 용량을 사용자는 넘을 수 없다. 일반적으로 s
oft 용량을 hard 용량보다 조금 더 적게 설정해 놓는다. 쿼터 조정후 quotacheck /dev
/sda6를 해줘서 체크를 해 주도록 한다.



21. -(하이픈)으로 시작하는 파일 지우기

파일명이 하이픈(-)으로 시작하는 파일

-------------------------------------------------------------------------------
rm ./-filename 상대경로를 이용하여 파일명을 지정해줌
rm -- -filename --를 이용 그 이후에는 오는 ''-filename''이라는 파일이 옵션이
아닌 파일명이라는 것을 밝힘
-------------------------------------------------------------------------------


22. 사용하지 않은 가상 콘솔의 메모리 절약법

/etc/inittab에서 사용하지 않은 가상콘솔레벨을 주석처리 해주면 된다.

-------------------------------------------------------------------------------
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
-------------------------------------------------------------------------------



23. 시스템 지원 모니터링 툴

-------------------------------------------------------------------------------
시스템 자원 | 모니터링 툴
-------------------------------------------------------------------------------
CPU | top, ps, uptime, vmstat, pstree
-------------------------------------------------------------------------------
메모리 문제 점검 | free, vmstat 등
-------------------------------------------------------------------------------
메모리에 문제가 없다면 디스트 I/O 점검 | df, du 등
-------------------------------------------------------------------------------
표 4. 시스템 자원과 모니터링 툴

[ 주 의 ]
디스크와 메모리에 문제가 없는데도 시스템에 문제가 생기면 CPU의 오버 헤드에 문제
가 있을 가능성이 크다.



24. 사용자들이 사용한 명령어 알아내기

먼저 psacct라는 패키지가 필요하다. 설치되지 않은 경우 rpm이나 소스 등을 직접 설
치한다(대부분 배포본에 기본적으로 포함되어 있으므로 그대로 사용하면 된다). 다음
과 같이 명령하면 사용한 명령어를 확인할 수 있다.

-------------------------------------------------------------------------------
더미 로그 파일 생성(데이타를 기록할 파일 생성)
# touch /var/log/pacct
# /sbin/accton /var/log/pacct 체크를 시작하게 하는 명령어 실행
# lastcomm 사용자계정 사용자가 수행한 명령어 체크
-------------------------------------------------------------------------------



25. tar로 특정 경로에 특정 파일 압축 해제하기

tar xvfpz 압축파일 또는 .tgz -C 특정경로 특정파일의 절대경로(또는 파일명)로 입력
하면 된다. test.tgz 파일에서 /home/test/test.txt 파일을 /tmp 디렉토리에 압축해제
를 한다면, tar xvfpz test.tgz -C /tmp /home/test/test.txt와 같이 하면 된다.



26. ping 명령어 실행시 ttl정보

TTL이란 Time To Live의 약자다. 이것은 라우팅 에러로 인하여 데이터그램이 네트워크
를 영원히 떠돌아다니는 것을 방지한다. 라우터는 네트워크 간을 이동하는 데이터그램
의 TTL 필드를 감소시키며 TTL 필드가 0이 되는 데이터그램은 버린다(drop). IPv4 멀
티캐스트에서 TTL은 문턱값(threshold)의 의미를 지닌다.

다음 예를 보면 그 용도가 분명해진다. 회사에서 모든 호스트가 속하는 아주 길고 대
역폭에 한 부서가 대역폭을 많이 차지하는 인터넷 방송을 한다면, 랜에는 엄청난 용량
의 트래픽이 발생할 것이다. 인터넷 방송도 하길 원하지만, 멀티캐스트 트래픽 때문에
인터넷 전체가 마비되어서는 안된다. 멀티캐스트 트래픽이 라우터간을 얼마나 멀리까
지 이동할 것인지 제한할 필요가 있다. 이것이 TTL의 용도다.



27. 특정 IP에서 서버 접속 방지법

TCP Wrapper를 사용하는 방법과 ipchains를 사용할 수 있는데 커널 2.4버전부터는 ipt
ables을 사용한다. hosts.allow와 hosts.deny를 사용한다면, hosts.deny 파일에서 다
음과 같이 모두 제한을 한다.

-------------------------------------------------------------------------------
all : ALL
-------------------------------------------------------------------------------

hosts.allow 파일에서 허용할 IP를 여러 개 설정할 경우 다음과 같이 스페이스로 구분
하여 준다.

-------------------------------------------------------------------------------
all : xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx. xxx.xxx.xxx.xxx ...
-------------------------------------------------------------------------------

ipchains나 iptables의 경우에는 다음과 같이 설정하여 주면 된다.

-------------------------------------------------------------------------------
# ipchains ?A input ?s xxx.xxx.xxx.xxx ?j DENY
# ipchains ?A INPUT ?s xxx.xxx.xxx.xxx ?j DROP
-------------------------------------------------------------------------------


[ 안전한 네트워크 다지기 ]



28. 네트워크 설정법

시스템에 기본적으로 설치된 아래의 명령들을 사용하여 네트워크가 정상적으로 작동하
지 않은 경우 여러 가지 테스트를 해볼수 있다.

-------------------------------------------------------------------------------
ifconfig | 네트워크 인터페이스의 기본 설정에 관한 정보를 제공한다. 잘못된
| IP나, 서브넷 마스크 및 브로드 캐스트 주소를 확인하는데 효과적이다.
-------------------------------------------------------------------------------
arp | 이더넷/IP 주소의 변환에 관한 정보를 제공한다. 로컬 네트워크 내에
| IP 주소가 잘못 지정되었는지를 확인하는데 효과적이다.
-------------------------------------------------------------------------------
netstat | 네트워크 인터페이스, 네트워크 소켓, 네트워크 라우팅 테이블등에
| 대한 정보를 확인할 수 있다.
-------------------------------------------------------------------------------
ping | 원격 호스트가 도달 가능한지를 판단할 수 있다. 또한 패킷의 유실율과
| 전송 시간 등을 확인할 수 있다.
-------------------------------------------------------------------------------
nslookup | DNS 네임 서비스 관련 정보들을 확인할 수 있다.
-------------------------------------------------------------------------------
dig | 역시 네임 서비스와 관련된 정보를 제공하면, nslookup과 유사하다.
| BIND 버전의 확인 방법 및 각 도메인의 네임 서버를 확인하려면 다음과
| 같이 하면 된다.
|
| dig @³戮憺?痔見?txt chaos version.bin. | grep VERSION
| dig @ns.도메인명 www.도메인명 위의 방법과 도메인을 등록 관리하는
| 업체에서 whois 검색을 도메인의 소유자 및 네임 서버 정보를 알아볼
| 수도 있다.
-------------------------------------------------------------------------------
traceroute | 원격 시스템까지 패킷이 진행되는 동안의 라우팅 홉(hop) 정보를 확인
| 할 수 있다.
-------------------------------------------------------------------------------
tcpdump | 네트워크를 통해 전달되는 각각의 패킷들을 분석할 수 있으며, 각 패킷
| 의 내용과 헤더 등을 분석하는 TCP/IP 프로토콜 분석 소프트웨어다.
-------------------------------------------------------------------------------
표 5. 명령어와 설정 내용



29. 네트워크 정보로 이더넷 카드 IP 정보 재조정하기

/etc/sysconfig 디렉토리 밑에 하드웨어에 대한 정보가 나오는데 이더넷 카드가 여러
개 꽂혀 있다면 ifcfg-eth1, ifcfg-eth2 식으로 확인할 수 있다.

-------------------------------------------------------------------------------
/etc/sysconfig/network-scripts/ifcfg-eth0


# cat ifcfg-eth0

DEVICE=eth0
BOOTPROTO=static /* 정적 아이피 */
BROADCAST=211.47.64.255
IPADDR=211.47.64.80
NETMASK=255.255.255.0
NETWORK=211.47.64.0
ONBOOT=yes /* 부팅시 자동인식 */
-------------------------------------------------------------------------------

사용하는 IP를 변경하거나, 새로운 네트워크 카드 추가시에는 ifcfg-eth0 파일을 수정
한 후에 반드시 ifdown ifcfg-eth0, ifup ifcfg-eth0 명령을 실행해 주어야 변경된 IP
가 적용된다. 또는 /etc/rc.d/init.d/network restart를 실행해주어도 된다.



30. 스위치와 라우터의 비교

-------------------------------------------------------------------------------
| 스위치 | 라우터
-------------------------------------------------------------------------------
사용용도 | 두개 이상의 동일 네트워크를 연결 | 동종 또는 이종 네트워크 미디어를
| 하는 LAN/WAN에 적합 | 사용하는 LAN/WAN에 적합
-------------------------------------------------------------------------------
OSI 모델 | 2계층(Data Link), 3계층(Network) | 3계층(Network)
-------------------------------------------------------------------------------
목 적 | 특수한 목적의 장비 | 일반 목적의 장비
| - 대역폭 확장을 위하여 LAN seg- | - 다른 수많은 어플리케이션의
| mentation 함 | 주소를 유연하게 디자인
| - 거대한 트래픽을 해결하기 위함 | Limit broadcast traffic
| - 낮은 지연율과 고성능의 출력 | Redundant active paths
| - 과업을 최적화 하기 위함 | WAN 액세스
| | - 일반적으로 거대한 트래픽을
| | 전송할 때 요구되지 않음
-------------------------------------------------------------------------------
동작방식 | MAC 주소를 추적하여 장비의 위치를 | 서로 다른 네트워크 계층 프로토
| 인식 목적지 MAC 주소에 기초하여 | 콜을 구분할 필요가 있고 프로토
| 전송하기 위한 목적의 장비 | 콜 지식은 보다 효과적인 전송
| | 결정을 할 수 있다.
-------------------------------------------------------------------------------
설치시 | 설치가 간단하고, 비용이 낮다. | 노드의 경로 설정에 필요한 초기
| 유지보수가 간단하다. | setup이나 IP 주소 및 네트워크의
| | 수정시 복잡
-------------------------------------------------------------------------------
비고 | 브리지와 비슷하나 훨씬 빠름 | 두개의 기본 기능
| - 더 작은 collision domain으로 | - 각 네트웍 계층 프로토콜을 위한
| LAN을 분할 | 라우팅 테이블을 유지
| - 현재 사용되는 cable과 hardware | - 네트워크 계층 어드레스에 기반
| 를 그대로 사용 | 하여 각의각 프레임을 전송
| - Protocol transparent |
| - 쉽게 추가, 이동, 변경 가능 |
| - ASIC technology |
| - 통합된 넓은 bandwidth |
| - 저렴한 포트당 비용으로 고성능 |
| 제공 |



31. httpd.conf에서 ServerType를 standlone으로 설정하는 것과 inetd로 설정하는 것의 차이

아파치에만 적용되는 내용은 아니지만 standlone으로 설정한 경우에는 /etc/rc.d/rc.l
ocal나 /etc/rc.d/rc3.d/밑에 설정되어 데몬으로 실행되면, inetd로 설정할 경우 /etc
/inetd.conf에 추가되어 실행되어 텔넷이나 FTP와 같이 시스템프로세스로 실행되므로
접속이 많은 httpd인 경우 standalone으로 설정하여야 한다. 그리고 inetd로 설정시에
는 한정된 프로세스만 수용 가능하며 반응속도가 standalone방식에 비해 느리다.



32. 아파치에서 httpd.conf 수정 후 데몬이 뜨지 않은 경우 대처법

httpd -t 옵션으로 우선 syntax error부터 확인한 후 syntax error가 있으면 먼저 수
정을 해주고 Logs 디렉토리에서 에러 로그 파일을 확인하여 수정 후 재실행한다.



33. php 설치 후 버전 및 정상적인 설치 여부 확인법

php3 버전의 경우 index.php3을 php4의 경우 index.php라는 파일을 다음과 같은 내용
으로 작성하여 웹에서 열어보면 버전 및 연동 현황을 확인할 수 있다.

-------------------------------------------------------------------------------
phpinfo();
?>
-------------------------------------------------------------------------------



34. APM 연동 설치시 php를 모듈로 삽입하기

먼저 php설치 후 apache 컴파일시 php모듈 넣어서 재컴파일 해준다.

-------------------------------------------------------------------------------
./configure --prefix=/usr/local/apache --activate-module=sr/modules/php4/libphp4
.a
-------------------------------------------------------------------------------



35. 아파치에서 속도제한하기

아파치에서 bandwidth 모듈이 삽입되어 있는 상태라면 모든 호스트에 대해 1024byte로
속도를 제한하기 위해 아파치에서 설정해 주는 부분은 다음과 같다. Httpd.conf에서
BandWidthModule On라고 설정 후 BandWidth all 1024라고 설정한다.



36. 디렉토리 목록 출력 금지법

아파치에서 index.html 파일이 없을 때 디렉토리 목록 출력을 원하지 않을 경우에는 D
ocumentRoot 디렉토리쪽에 설정되어져 있는 옵션에서 Indexes를 삭제한다. 또한 특정
디렉토리에서만 인덱스를 허용치 않을 경우에는 특정 디렉토리의 .htaccess 파일안에
''Options -Indexes'' 이 부분을 삽입하면 된다.


안전한 메일 관리법



37. 센드메일에서 메일 용량을 제한하기

센드메일에서 한번에 보낼 수 있는 메일용량은 /etc/mail/sendmail.cf 파일에서 MaxMe
ssageSize 부분에서 다음과 같이 주석을 제거하고 바이트 단위로 설정을 해줄 수 있다
. 받는 메일 계정의 용량은 Mlocal 부분에서 M=1000000 부분에서 바이트 단위로 제한
량을 적는다.

-------------------------------------------------------------------------------
MaxMessageSize=1000000
-------------------------------------------------------------------------------



38. 센드메일 데몬을 실행시 수신만하기

relay를 막는 방법도 있지만 그건 외부에서 로컬 서버를 SMTP로 사용하지 못하도록 할
수 있으며 iptables를 이용하면 로컬 서버에서 보내는 메일에 대해 제한이 가능하다.

-------------------------------------------------------------------------------
# iptables -A OUTPUT -p tcp --syn --dport 25 -j DROP

-A 기존의 iptables에 추가
-p 프로토콜
-dport 포트 넘버
-------------------------------------------------------------------------------

로컬에서 외부로 보내는 메일이라면 remote의 25번 포트로 접속이 되므로 OUTPUT 패킷
중 목적지 포트가 25번인 패킷만 drop한다. 메일 송수신은 tcp이므로 --syn을 추가하
지 않을 경우에는 3 way-handshaking에 의해 메일을 받을 수도 없게 되므로 반드시 --
syn을 추가해야 한다. 보내는 메일은 일단 메일큐 디렉토리에 저장된 후 발송되므로
메일큐 디렉토리를 삭제하거나 다른 이름으로 변경하면 메일을 발송할 수 없게 된다.



39. 릴레이 설정과 차단법

/etc/mail/access 파일에서 Relay 여부를 설정한다.

-------------------------------------------------------------------------------
localhost RELAY
-------------------------------------------------------------------------------

변경한 후 적용하려면 다음과 같이 실행해 준다. 또는 인증 기능(SMTP AUTH)이 지원되
는 최신 버전의 센드메일을 사용한다.

-------------------------------------------------------------------------------
# makemap hash /etc/mail/access < /etc/mail/access
-------------------------------------------------------------------------------



40. 특정시스템에 설치되어 있는 센드메일 버전 알아보기

간단한 방법으로 다음과 같이 텔넷으로 센드메일 포트인 25번으로 접속해보면 알 수
있다.

-------------------------------------------------------------------------------
# telnet jimy.tt.co.kr 25
-------------------------------------------------------------------------------



41. 다른 도메인의 웹마스터 계정 사용하기

가상 계정을 이용해서 해결할 수 있다. 아웃룩에서 jhk라는 계정을 설정하면 jhk@jung
heekim.co.kr, webmaster@jungheekim.co.kr로 오는 메일을 모두 받아 볼 수 있다.

-------------------------------------------------------------------------------
# vi /etc/mail/virtusertable

webmaster@jungheekim.co.kr jhk(jhk계정에 webmaster라는 계정이 가상계정으
로 설정)
-------------------------------------------------------------------------------



42. 웹메일 포워딩

해외에 출장이 잦은 사용자가 메일을 자신이 사용하는 웹메일로 포워딩해 달라고 하고
, 회사에 돌아와서도 포워딩된 메일을 아웃룩에서 다시 받아보길 원한다면 다음과 같
이 한다. 해당 사용자의 홈디렉토리 밑에 .forward 파일을 만들어서 이메일 주소를 입
력하고 자신의 계정에는 를 추가해 주어야 루프를 막을 수 있다.

-------------------------------------------------------------------------------
vi ~junghee/.forward

sitsme75@hanmail.net, junghee.kim@tt.co.kr
-------------------------------------------------------------------------------



43. 자동응답 메일 작성법

메일을 확인할 수 없는 상황일 때, 메일 수신 후 자동으로 미리 작성되어 있는 메시지
를 보낼 수 있는 방법(즉 자동응답 메일 작성 방법)은 자신의 홈디렉토리에 ".procmai
lrc" 파일을 만들고 다음의 내용을 입력한다.

-------------------------------------------------------------------------------
:0 h c
* !^FROM_DAEMON
* !^X-Loop: YOUR@EMAIL
| (formail -r -A"Prededence: junk"
-I"From: YOUR_NAME "
-A"X-Loop: YOUR@EMAIL
cat $HOME/autoreply.txt) | $SENDMAIL -t
-------------------------------------------------------------------------------

그리고 ''autoreply.txt'' 파일에 답변글을 작성햐면 그 내용이 자동 답변된다.



44. POP3 다운시 설정법

아웃록에서 메일을 받아보려고 하는데, POP3가 다운되어 반응하지 않을때 다음과 같이
조정한다. inetd는 기본적으로 1분에 fork 할 수 있는 인스턴스가 40으로 제한되어
있으므로 이 값을 늘려줘야 한다. POP3 부분에서 nowait.200이나 적절한 수만큼 늘려
주면 된다. nowait 뒤에 반드시 .(점)을 찍고 허용할 만큼이 POP 데몬의 수를 입력한
다. 이후 inetd를 재시작하면 적용된다.

-------------------------------------------------------------------------------
A # vi /etc/inetd.conf
# Pop and imap services et al
#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
#imap stream tcp nowait root /usr/sbin/tcpd imapd
-------------------------------------------------------------------------------


철통 보안 관리

45. 일반적인 리눅스 보안법

1) 현재 서버에서 사용하지 않고, 보안상 취약점이 있는 데몬에 대해 서비스를 중지
한다.
2) TCP Wrapper와 ipchains를 이용한다. 커널 2.4에서는 iptables를 이용해 각 서비
스에 대해서 접속을 허락하거나, 제한한다.
3) 새도우 패스워드를 반드시 이용한다.
4) su 권한의 사용을 특정 사용자만 가능하도록 정의한다.
5) 원격에서 루트 권한으로 접속할 수 없도록 한다.
6) 지속적으로 패치한다.

46. Ping 요청 무시하기

-------------------------------------------------------------------------------
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
-------------------------------------------------------------------------------

다시 응답하게 하려면 다음과 같이 실행하면 된다.

-------------------------------------------------------------------------------
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
-------------------------------------------------------------------------------



47. 백도어 파일의 삭제

보통 백도어 파일은 rm 명령으로도 삭제되지 않는다. 속성이 있을 경우 다음과 같이
삭제한다.

-------------------------------------------------------------------------------
# lsattr /usr/sbin/in.fingerd

lsattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09

-----a-- /usr/sbin/in.fingerd

==> a 속성이 있음을 확인


# chattr -a /usr/sbin/in.fingerd

chattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09

==> -a로 속성을 해제

lsattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09

-------- /usr/sbin/in.fingerd

==> 해제
-------------------------------------------------------------------------------



48. lpd(line printer daemon)의 취약점

lpd는 내부와 원격 프린트 작업을 수행하는 BSD 라인 프린터 데몬이다. lpd 데몬의 접
근 권한을 가지고 있는 내부 시스템이나 원격 시스템의 사용자가 특별히 변형된 불완
전한 프린트 작업을 요청하고 이어서 프린터 큐의 디스플레이를 요청하게 되면 해당
시스템에 버퍼 오버플로우를 일으킬 수 있다. 결국 관리자 권한으로 내부 시스템에 공
격코드를 실행시킬 수 있게 된다. 따라서 패치를 해주거나 서비스를 하지 않는다면 데
몬을 중지하는 것이 좋다.



49. BIND에서 보안상 문제가 있는 버전

BIND 4.x, 8.x에서 문제가 검출되었다. BIND 8버전에서는 트랜잭션 시그너쳐(TSIG) 핸
들링 코드에 버퍼오버플로우 취약점을 포함하고 있다.

유효한 키를 포함하지 안는 TSIG를 발견하는 경우 BIND 8버전에서는 에러응답을 보내
기 위한 코드를 실행하게 되며, 이때 발생하는 변수 초기화 방식의 차이에 의해 해당
취약점이 발생하게 된다. DNS 시스템에 대한 요청 접근만으로 해당 취약점을 발생시킬
수 있으므로 이로 인한 위험성은 크게 된다.

BIND 4버전에서는 nslookupComplain() 내부에 있는 문자 배열(syslog를 위한 에러 메
시지 작성 버퍼)에 대해 입력 검증(input validation) 취약점을 포함하고 있다. 이것
은 특수한 포맷 형태를 가진 쿼리를 전송함으로써 입력 검증 취약점을 발생시킨다.

BIND 4, 8버전에서는 해당 서버가 쿼리를 처리하는 동안 정보가 누출(information lea
k)될 수 있는 취약점을 포함하고 있다. 특수한 포맷형태를 가진 쿼리 전송을 통해 공
격자가 프로그램 스택에 접근할 수 있게 함으로써 해당 취약점을 발생시킨다.

해결책은 BIND 버전은 8.2.3 이상이나 9.1 버전으로 업그레이드하는 것이다. 이것은
해결책이 아니라 시스템 관리자가 반드시 해야 할 일이다.


장애 발생시 복구

50. 비정상 종료시 하드디스크 체크요구 원인

대부분 정전이 발생한 후에도 시스템은 정상적으로 부팅되며 파일시스템도 자동으로 c
heck하지만 간혹 관리자가 수동으로 해주어야 하는 경우가 발생한다. 리눅스가 다운
되었을때 보통 Power OFF를 하는데, 이때 문제가 발생할 수 있으므로 Magic SysRq라는
것을 이용하여 안전하게 재부팅하는 방법을 이용한다.

Magic SysRq key란 시스템의 제어가 불가능한 상태(일반적으로 ''다운''되었다고 한다)
에서도 제어를 가능하게 해주므로 커널 컴파일시 Kernel hacking ---> [*]Magic SysRq
key를 체크해야 한다. Magic SysRq key를 사용하려면 다음과 같이 /proc/sys/kernel/
sysrq 값을 1로 만들어야 한다.

------------------------------------------------------------------------------
# echo 1 > /proc/sys/kernel/sysrq

lilo: linux init=/bin/sh
------------------------------------------------------------------------------

그러면 커널이 뜨고 바로 shell prompt ''#''가 나타난다. 이때에는 filesystem도 read
only로 마운트 되고, 동작하는 daemon process도 전혀 없는 상태가 된다. 그 상태에서
수동으로 모든 파일시스템을 체크한다.

------------------------------------------------------------------------------
# fsck [-t ext2] 장치명
# e2fsck 장치명
------------------------------------------------------------------------------

위의 명령 사용시 문제가 생긴 블록의 수정여부를 묻게 되는데 ''y''를 선택하고 만약
수정여부를 묻는 질문이 많다면 -y 옵션을 사용하여 자동으로 ''y''를 선택하게 할 수
있다.

------------------------------------------------------------------------------
# e2fsck -y 장치명
------------------------------------------------------------------------------

Ctrl-Alt-Del로 리부팅하면 아주 심하게 깨지거나, 디스트에 이상이 있지 않는 한 복
구가 된다.
Posted by 채종윤
마이크로소프트웨어 잡지에 연재된 내용입니다.. 참조해 보세요..

리눅스 개발자들에게 중요한 것 중의 하나가 오픈소스 프로젝트 진행이다. 사실 국내에서도 오픈소스 프로젝트는 많은 사람들이 관심을 갖고 있지만 막상 프로젝트에 참여하는 사람들의 숫자는 여전히 부족하다. 여기서는 여러 개발자들이 동시에 오픈소스 프로젝트에 참가할 때 거의 필수적으로 쓰이는 diff, patch, CVS(Concurrent Versions System)와 같은 소스코드 버전 관리툴에 대해 살펴 보고 오픈소스 프로젝트를 진행할 때 알아두면 좋은 특성이나 작업 방식에 대해서도 알아 본다.

오픈소스 프로젝트란 도대체 어떤 것일까? 리눅스와 오픈소스의 부상과 더불어 오픈소스 개발 방식은 기존의 상용 소프트웨어 개발 방식에 비해 적은 비용으로 양질의 소프트웨어를 개발할 수 있으며 소프트웨어 시장 독점의 문제가 없다는 의견이 설득력을 계속 높여가고 있다.

그러나 필자가 보기에는 오픈소스 개발 방식은 그 효율성을 논의하기 전에 왜 이런 식의 개발 방식이 만들어 졌으며 왜 오픈소스 스타일의 개발 방식이 자연스럽게 정착되었는지를 이해하는 것이 더욱 중요하다고 생각한다. 필자의 의견으로는 오픈소스는 소프트웨어를 소프트웨어 그 자체가 지닌 특성에 맞도록 자연스럽게 개발하는 한 방법이라고 생각한다.

당연한 얘기지만 어떠한 소프트웨어의 소스코드를 공개하면 그 소프트웨어가 계속 바뀌어 나갈 수 있는 길이 열리게 된다. 소스코드를 공개해서 개발 작업을 진행하는 오픈소스 개발 방법이 두드러지게 나타난 것은 1970년대 초 AT&T에서 자사의 운영체제인 유닉스의 소스코드를 공개한 이후부터라고 보는 것이 정설이다. AT&T에서는 대학과 같은 교육, 연구 기관에 자사의 제품인 유닉스를 공급하면서 돈을 받고 소스코드를 그대로 제공하는 라이선스 방식을 취했다.

소프트웨어를 배포할 때 소스가 아닌 바이너리를 주로 배포하는 지금으로서는 언뜻 상상하기 어려운 관행일 수도 있지만 컴퓨터의 종류가 통일되어 있지 않고, 소수의 전문가 집단에서 유닉스를 주로 사용했다는 점을 생각해 본다면 AT&T 입장에서 유지보수 비용을 줄여주는 이러한 소스코드 형태의 배포는 나름대로 합리적인 선택이라고도 할 수 있겠다.

그러나 여기서 예상하지 못한 일이 벌어진 것이 이들 사용자, 혹은 사용자이면서 개발자이기도 한 사람들이 마음대로 뜯어고치고 덧붙이기 시작한 코드들이 오리지널 AT&T 유닉스보다 오히려 더 중요한 위치를 차지하게 된 것이다(BSD 유닉스의 발전도 이러한 관습에 뿌리를 두고 있다).

따라서 자유 소프트웨어나 오픈소스와 같은 용어들은 소프트웨어 개발 방식의 측면에서 볼 때 이미 존재하고 있던 개발 방식을 새롭게 재조명하고 있다고 생각할 수 있다. 자유 소프트웨어에서는 소스코드가 공개된 소프트웨어의 보호에 좀 더 중점을 두고 있으며 오픈소스에서는 소스코드가 공개된 채로 개발되는 소프트웨어의 개발 효율성에 좀 더 관심을 집중하는 편이다. 어느 경우이든 간에, 소스코드를 공개해서 개발자의 참여를 이끌어 내는 소프트웨어 개발 방식은 변함이 없으며, 오픈소스라는 단어가 아예 없던 시절에도 이것은 마찬가지인 것이다.

그렇다면, 이제 간단한 상황 하나를 가정해 보기로 하자. 여러분들이 초기 유닉스 시절 대학 전산실에 근무하던 도중 유닉스가 도입되었다고 생각해보자. 고된 포팅과 설정 작업 끝에 시스템이 제대로 돌아가기 시작했는데 이 와중에서 버그를 하나 발견하고 그 부분의 소스코드를 수정했다. 이럴 때 다음 버전의 유닉스에 여러분들이 고친 부분이 반영되도록 하려면 어떻게 해야 할까?

이럴 때 가장 상식적인 해법은 고친 부분의 소스코드를 원저자에게 보내주면 될 것이다. 그리고 그 방법으로 가장 편리한 것은 아마도 이메일이 좋을 것이다. 인터넷이 없던 시절이라면 아마도 일반 메일을 이용했을 것이다. 약간은 논외의 이야기지만, 인터넷 초창기에는 국내에서 유즈넷 뉴스그룹에 올라온 글을 보기 위해 정기적으로 뉴스서버 데이터 백업을 외국에서 자기 테이프에 받아 소포로 전송받기도 했다고 한다. 어쨌든 이러한 이메일의 간편함 덕분에 이메일은 오픈소스 개발 작업에서 가장 중요한 통신 수단이며 패치 전송 수단으로 자리 잡게 된다.

여기서 하나 생각해 봐야 할 것이 원저자의 입장이다. 이렇게 패치를 담고 있는 메일의 숫자가 적을 때는 원저자는 그저 전송된 패치를 고맙게 받아 적용하기만 하면 되겠지만 패치의 숫자가 늘어나고, 같은 버그에 대해서도 두 종류 이상의 중복 패치가 생기게 되면 어떤 패치를 선택할 것인지, 그리고 모은 패치를 어떻게 통합해서 하나의 소스코드 트리로 만들고 그것을 배포(public release)할 것인지 선택해야 하는 문제가 생긴다. 이런 경우, 보통 오픈소스계의 관습은 원저자, 혹은 프로젝트 리더에게 어떤 패치를 받아들일 것인지의 결정권을 맡겨버리는 경향이 있다. 이럴 때 원저자나 프로젝트 리더는 ‘자비로운 독재자(benevolent dictator)’라는 역할을 맡게 되는 것이다.

또한, 패치가 전송될 때 사람들마다 통일되지 않은 방식으로 패치를 전송하게 되면 프로젝트 리더의 입장에서는 여러 종류의 패치를 하나의 소스코드 트리에 적용시키는 데 많은 혼란을 겪게 될 것이다. 이를 해결하기 위해 등장한 심플한 도구가 바로 diff와 patch이다.

diff와 patch
diff는 유닉스 사용자 튜토리얼에도 가끔씩 등장하는 간단한 유틸리티이다. diff의 역할은 두 파일간의 차이점을 보여주는 데 소스코드의 바뀐 부분을 보여 줄 때 많이 쓰인다. patch는 이러한 diff의 출력 결과를 이용해서 이 바뀐 부분을 원래의 소스코드에 업데이트할 때 쓰는 유틸리티이다.

diff의 일반용법
우선, diff의 형식은 다음과 같다.


diff [options] from-file to-file


diff는 두 개의 파일을 필요로 한다는데 주의하자. from-file은 원래의 파일, 즉 구 버전의 파일이며, to-file은 새로이 바뀐 새 버전의 파일이다. diff는 이렇게 하면 from-file에서 to-file로 어떠한 변화가 있었는지를 출력해 준다. from-file과 to-file은 모두 디렉토리가 올 수도 있는데 디렉토리가 오는 경우는 조금 뒤에 살펴보기로 하자. 참고로 간단한 예제 hello1.c와 hello2.c의 예를 들어보자. 다음에서 볼 수 있듯이 hello2.c는 hello1.c에서 hello, world 부분이 hello, the world of linux로 대치되었고 그 아랫줄에 공백 라인 하나와 printf("Testing one two three.\n");가 추가되었음을 볼 수 있다.


*** hello1.c:
#include
#include
main()
{
printf("hello, world.\n");
}

*** hello2.c:
#include
main()
{
printf("hello, the world of Linux.\n");
printf("Testing one two three.\n");
}

diff 결과는 다음과 같다.


$ diff hello1.c hello2.c
2d1
< #include
6c5,7
< printf("hello, world.\n");
---
> printf("hello, the world of Linux.\n");
>
> printf("Testing one two three.\n");


첫 줄의 2d1은 hello1의 두 번째 줄에서 한 줄을 삭제(delete)하는 변화가 일어났다는 의미이다. 그리고 조금 아래의 6c5,7은 hello1의 6번째 줄을 아랫부분으로 바꾸는데(change) 그 결과가 5번째부터 7번째 라인까지 들어가게 된다는 의미이다. 그러나 실제로 프로그램 소스코드에서는 오리지널 diff의 결과물보다는 unified format의 diff 출력을 쓰는 경우가 많다. unified format을 쓰려면 diff에 -u 옵션을 추가한다.


$ diff -u hello1.c hello2.c
--- hello1.c Tue Aug 3 14:34:46 2004
+++ hello2.c Tue Aug 3 13:25:49 2004
@@ -1,7 +1,8 @@
#include
-#include

main()
{
- printf("hello, world.\n");
+ printf("hello, the world of Linux.\n");
+
+ printf("Testing one two three.\n");
}


참고로 unified format에서는 변경되는 부분만이 아닌 변경되는 부분 근처의 내용(context)도 같이 출력됨을 볼 수 있다. 사람이 좀 더 읽기 편리한 context format 출력 옵션인 -c를 사용한 결과는 다음과 같다. context format 역시 바뀌는 부분 근처의 내용도 참고하기 좋게 출력을 해 준다. 어쨌거나 오픈소스 프로젝트에서는 diff를 쓸 때 주로 -u 옵션을 붙인다는 점을 꼭 외워 두도록 하자.


$ diff -c hello1.c hello2.c
*** hello1.c Tue Aug 3 14:34:46 2004
--- hello2.c Tue Aug 3 13:25:49 2004
***************
*** 1,7 ****
#include
- #include

main()
{
! printf("hello, world.\n");
}
--- 1,8 ----
#include

main()
{
! printf("hello, the world of Linux.\n");
!
! printf("Testing one two three.\n");
}


이렇게 diff로 소스코드의 변경된 부분을 저장한 다음 이것을 원저자에게 메일로 보내면 된다.


$ diff -u hello1.c hello2.c > hello.diff


여러 개의 소스 파일을 diff로 비교하기
앞의 경우는 소스코드 파일 하나만이 변경되었지만 상황에 따라서는 패치 과정에 여러 파일이 수정되고 새로운 파일이 추가되는 경우가 발생할 수도 있다. diff는 디렉토리 단위의 파일 비교도 가능하다. 우선, 다음 예제를 보자.


$ pwd
/home/foobar
$ ls -F
src1/ src2/ # src1은 원본, src2는 새로운 기능 추가본
$ ls src1
hello1.c hello2.c
$ ls src2
hello1.c hello2.c hello3.c
$ more src1/*c
::::::::::::::
src1/hello1.c
::::::::::::::
#include
#include

main()
{
printf("hello, world.\n");
}
::::::::::::::
src1/hello2.c
::::::::::::::
#include

main()
{
printf("hello, the world of Linux.\n");

printf("Testing one two three.\n");
}
$ more src2/*c
::::::::::::::
src2/hello1.c
::::::::::::::
#include

main()
{
printf("hello, world.\n");
}
::::::::::::::
src2/hello2.c
::::::::::::::
#include

main()
{
printf("hello, the world of Linux.\n");

printf("Testing one two three four.\n");
}
::::::::::::::
src2/hello3.c
::::::::::::::
#include
#include

main()
{
/* needs to be filled in */
}


src2에서는 hello3.c 파일이 새로 추가되었으며, hello2.c에서 수정 부분이 있고, hello1.c에서 빠진 부분이 있다. 이 두 디렉토리 사이에서 diff를 실행하려면 다음과 같은 명령을 쓴다.


$ pwd
/home/foobar
$ ls -F
src1/ src2/ # 경로를 제대로 확인한 뒤 diff를 실행한다
$ diff -urN src1 src2
diff -urN src1/hello1.c src2/hello1.c
--- src1/hello1.c Tue Aug 3 14:34:46 2004
+++ src2/hello1.c Tue Aug 3 13:35:44 2004
@@ -1,5 +1,4 @@
#include
-#include

main()
{
diff -urN src1/hello2.c src2/hello2.c
--- src1/hello2.c Tue Aug 3 13:25:49 2004
+++ src2/hello2.c Tue Aug 3 13:35:57 2004
@@ -4,5 +4,5 @@
{
printf("hello, the world of Linux.\n");

- printf("Testing one two three.\n");
+ printf("Testing one two three four.\n");
}
diff -urN src1/hello3.c src2/hello3.c
--- src1/hello3.c Thu Jan 1 09:00:00 1970
+++ src2/hello3.c Tue Aug 3 13:37:02 2004
@@ -0,0 +1,7 @@
+#include
+#include
+
+main()
+{
+ /* needs to be filled in */
+}


diff 명령에서 -r 옵션은 recursive 옵션으로 서브 디렉토리까지 diff가 모두 탐색하라는 의미이고, -N 옵션은 hello3.c와 같이 새로 만들어진 파일까지도 포함해 diff 출력을 생성하라는 의미다. 이 옵션 역시 -urN으로 외워 두는 것이 좋다.

patch 사용하기
이렇게 만들어진 diff의 결과물은 patch 명령을 통해서 원저자의 소스코드로 업데이트된다. patch 명령은 -p 옵션만 정확히 이해하면 사용하는데 무리가 없다.
-p 옵션은 strip 옵션이라고 부르는데 diff 파일에 명시되어 있는 디렉토리에서 몇 단계를 벗겨(strip)낼 것인가를 결정한다. -p0 옵션은 디렉토리 단계를 하나도 벗겨내지 않겠다는 것이고, -p1 옵션은 한 단계를 벗겨낸다는 의미이고 -p2는 두 단계를 의미한다. 쉽게 이해하기 위해 <표 1>를 보자. foobar/include/net 디렉토리가 있다고 할 때 p 옵션을 적용하면 다음과 같이 디렉토리가 벗겨져 나간다.


p0 foobar/include/net
p1 include/net
p2 net


이것이 diff로 생성시킨 패치를 적용할 때 어떤 의미를 가지게 될까? 우선, 파일 두 개를 비교했을 때 생성된 diff 패치와 디렉토리 두 개를 비교했을 때 생성된 diff 패치의 헤더 부분을 비교해보자.


◆ 파일 두 개를 비교했을 경우:
$ diff -u hello1.c hello2.c
--- hello1.c Tue Aug 3 14:34:46 2004
+++ hello2.c Tue Aug 3 13:25:49 2004
(이하 생략)

◆ 디렉토리 두 개를 비교했을 경우:
$ diff -urN src1 src2
diff -urN src1/hello1.c src2/hello1.c
--- src1/hello1.c Tue Aug 3 14:34:46 2004
+++ src2/hello1.c Tue Aug 3 13:35:44 2004
(이하 생략)


즉, diff가 생성한 패치 파일에는 원본 파일과 바뀐 파일의 디렉토리가 명시되어 있음을 알 수 있다. patch 명령을 사용할 때는 이 경로명을 고려해서 patch 명령을 실행시켜 줘야 한다.

패치 적용하기
여러분이 원저자의 입장에서 제공받은 패치를 적용시키려면 다음과 같은 방법을 사용하면 된다. 패치 파일은 표준 입력(standard input)으로 들어가며, 항상 -p 옵션을 주의 깊게 사용해야 한다. 이번 예제에서는 디렉토리 두 개를 비교한 패치가 전송되었다고 가정해 보자. 원저자는 diff 패치의 헤더 부분을 읽고 패치의 경로명을 확인한 다음 적절한 디렉토리로 가서 patch 명령을 실행한다. 우선, -p0 옵션 사용 예부터 보자. diff 패치의 헤더 부분은 다음과 같다.


diff -urN src1/hello1.c src2/hello1.c
--- src1/hello1.c Tue Aug 3 14:34:46 2004
+++ src2/hello1.c Tue Aug 3 13:35:44 2004
... 이하 생략 ...


따라서 원저자는 이 패치를 hello.diff로 저장한 다음 자신의 소스코드가 있는 src1까지 가서 패치를 적용한다.


$ cd projects
$ pwd
/home/foobar/projects
$ ls -F
hello.diff src1/


diff 파일에 기술된 경로명과 현재 경로명이 일치하고 있음을 주의깊게 보자.


$ patch -p0 < hello.diff
$ patch -p0 < hello.diff
patching file src1/hello1.c
patching file src1/hello2.c
patching file src1/hello3.c


패치 전과 패치 후의 결과를 비교해 보면 다음과 같다.


패치 전:

$ pwd
/home/foobar/projects/src1
$ ls -al
total 16
drwxr-xr-x 2 jwsohn jwsohn 4096 8월 3 16:35 .
drwxr-xr-x 3 jwsohn jwsohn 4096 8월 3 16:35 ..
-rw-r--r-- 1 jwsohn jwsohn 82 8월 3 14:34 hello1.c
-rw-r--r-- 1 jwsohn jwsohn 116 8월 3 13:25 hello2.c

패치 후:

$ pwd
/home/foobar/projects/src1
$ ls -al
total 20
drwxr-xr-x 2 jwsohn jwsohn 4096 8월 3 16:41 .
drwxr-xr-x 3 jwsohn jwsohn 4096 8월 3 16:35 ..
-rw-r--r-- 1 jwsohn jwsohn 62 8월 3 16:41 hello1.c
-rw-r--r-- 1 jwsohn jwsohn 121 8월 3 16:41 hello2.c
-rw-r--r-- 1 jwsohn jwsohn 83 8월 3 16:41 hello3.c


이제 -p1 옵션을 적용해서 patch 명령을 써 보자. diff 파일에 기술된 경로명에서 디렉토리를 한 단계 벗겨내면 src1 디렉토리가 없어지므로 다음과 같은 방식으로 패치 파일이 적용된다.


$ pwd
/home/foobar/projects
$ ls -F
hello.diff src1/
$ cd src1
$ patch -p1 < ../hello.diff
patching file hello1.c
patching file hello2.c
patching file hello3.c


참고로 diff 파일의 경로는 어디에 위치하든 상관이 없다. 파일 하나에 대한 패치를 적용할 때는 -p0 옵션을 쓰면 될 것이다.

CVS 사용
CVS는 약자 중 Concurrent가 의미하듯이 한번에 여러 명의 개발자가 동일한 소스코드 트리에 동시에 수정을 가하면서 작업을 할 수 있도록 도와주는 도구이다. 사실 오픈소스 프로젝트에 참가하는 일반 개발자의 입장에서는 CVS에 대한 일반적인 지식은 별다른 필요가 없다고 생각해도 무방하다. 실제 소스코드 트리를 수정할 수 있는 권한을 갖고 있는 사람들은 프로젝트 리더인 자비로운 독재자 한 사람이나 프로젝트와 관련이 깊은 소수의 개발자들일 것이기 때문이다.

즉, 소스코드 수정 사항이 생기면 CVS를 굳이 쓸 필요가 없이 그냥 FTP나 http로 다운받은 소스코드 위에 diff를 돌려서 패치만 이메일과 같은 수단으로 보내 주면 소스코드 수정 권한이 있는 그쪽 사람들이(보통 ‘커미터’라고 부른다) 알아서 처리를 해 줄 것이기 때문이다.
하지만 가장 최신 버전의 nightly build된 소프트웨어는 CVS 서버에 접속해야만 구할 수 있는 경우가 대부분이다. 따라서 오픈소스 개발 프로젝트에 관심이 있는 개발자라면 다음 측면에서 CVS 사용법을 알아야 할 필요가 있을 것이다.

[1] FTP나 http 서버에서 소스코드를 다운받는 대신에
[2] CVS 서버에서 가장 최신 소스코드를 다운 받고
[3] 자신이 패치한 소스코드와 CVS 서버의 소스코드의 diff를 생성하는 방법

익명 CVS 체크아웃
이제 CVS에서 소스코드를 다운받는 방법을 알아보기로 하자. 일반적으로 오픈소스 프로젝트들은 대부분 CVS 서버를 읽기 전용으로 세팅해 놓고 누구든지 들어와서 소스코드를 다운받아 갈 수 있도록 해 놓고 있다. 익명 FTP(anonymous FTP)와 비슷한 개념으로 생각하면 되겠다. CVS 서버에 사용자가 접속을 해서 소스코드를 한 카피 다운받아 가는 것을 CVS에서는 체크아웃(check-out)이라는 용어로 표현한다.
참고로 CVS는 로컬 서버에서 사용할 수도 있고, 따로 CVS 서버를 두고 원격으로 접속할 수도 있다. 여기서는 CVS가 원격 서버라고 가정하기로 한다. CVS 서버에서 소스코드를 다운받는 명령은 다음과 같다. KLDP.net 서버에 위치한 moniwiki 프로젝트를 예로 들어 보겠다.


$ cvs -d:pserver:anonymous@cvs.kldp.net:cvsroot/moniwiki login
$ cvs -d:pserver:anonymous@cvs.kldp.net:cvsroot/moniwiki checkout moniwiki


익명 FTP에 접속할 때 보다는 조금 복잡해 보인다. 우선, 첫줄의 cvs 명령은 CVS 서버에 anonmous, 즉 익명 사용자로 로그인하는 과정이다. CVS 서버가 암호를 요구하면 그냥 엔터 키를 쳐 주면 인증이 끝나고 읽기 권한이 부여된다. 일단 로그인을 한번 한 다음부터는 사용자의 홈 디렉토리에 .cvspass 파일이 생기면서 인증 절차가 생략된다. 즉, 매번 접속할 때마다 anonymous 인증 과정을 거쳐야 하는 익명 FTP와는 달리, CVS에서는 한번만 익명 로그인을 해서 .cvspass 파일을 생성하고 나면 다시 cvs login 명령으로 인증 과정을 거칠 필요가 없다.

그 다음 -d 옵션은 CVS 서버에서 제공하고 있는 루트 디렉토리를 의미한다. moniwiki 프로젝트의 경우는 cvsroot/moniwiki로 지정되어 있다. 앞의 pserver는 CVS 명령이 소스코드를 다운받으면서 쓸 프로토콜명이며 뒤의 anonymous@cvs.kldp.net은 CVS 로그인시 사용할 계정이다.

두 번째 cvs 명령은 소스코드 한 카피를 다운받는 체크아웃 과정을 실행하게 된다. 체크아웃(checkout)한 다음의 moniwki는 CVS 서버에서 지정해 놓은 프로젝트 이름이며(모듈이라고 부른다) 이곳 CVS 서버에서는 moniwki로 지정해 두었다. 두 번째 명령을 실행하면 사용자의 현재 디렉토리에 moniwiki라는 디렉토리가 생성되고 소스코드 다운로드가 시작된다. 여기에, -z3 옵션을 주면 전송시 압축을 사용하기 때문에 전송 속도가 빨라진다.


$ cvs -z3 -d:pserver:anonymous@cvs.kldp.net:cvsroot/moniwiki checkout moniwiki


그런데 CVS 서버에 접속할 때마다 -d 옵션 뒤의 긴 디렉토리 이름을 타이핑하기는 아무래도 불편한 감이 있다. -d 옵션을 생략하려면 환경변수 CVSROOT에 -d 옵션을 등록해 둔다.


$ export CVSROOT=:pserver:anonymous@cvs.kldp.net:/cvsroot/moniwiki


그 다음부터는 다음 명령으로도 충분하다.


$ cvs login
$ cvs checkout moniwiki


소스코드를 받은 지 시간이 어느 정도 지났다면 그동안 CVS 서버의 내용이 새롭게 업데이트되어 있을 수도 있다. 바뀐 부분을 다운받으려면 CVS에서 update 명령을 사용한다.


$ cvs update -dP


여기서 -P 옵션은 Prune 옵션으로 비어있는 디렉토리를 자동으로 삭제해 주는 역할을 한다. -d 옵션은 그동안 서버 쪽에 새로 만들어진 디렉토리가 있으면 다운 받은 이쪽에도 동일한 디렉토리를 만들어 준다.

CVS 서버 원본에서 diff로 패치 파일 만들기
이제 기본적인 CVS 서버에서 소스코드 다운로드 방법을 알았으니 직접 CVS 서버의 소스코드를 이용해서 패치 파일을 만들어 보자. CVS는 diff 명령을 아예 자체적으로 내장하고 있다. 조금 전 다운받은 moniwiki의 소스코드를 예로 들어보자. 여기서, 필자는 monisetup.php 파일에 간단히 /* testing one two three */라는 주석문을 하나 삽입했다.


$ cd moniwiki
$ ls
COPYING doc secure.sh
CVS imgs theme
INSTALL index.html tools
README lib wiki.php
THANKS locale wikihttpd.php
applets monisetup.bat wikilib.php
config.php.default monisetup.php wikismiley.php
css monisetup.sh
data plugin
$ cvs diff -u -p monisetup.php
Index: monisetup.php
===================================================================
RCS file: /cvsroot/moniwiki/moniwiki/monisetup.php,v
retrieving revision 1.11
diff -u -p -r1.11 monisetup.php
--- monisetup.php 3 Jan 2004 14:26:50 -0000 1.11
+++ monisetup.php 3 Aug 2004 09:14:21 -0000
@@ -486,4 +486,5 @@ if ($_SERVER['REQUEST_METHOD']!="POST")

}

+/* testing one two three */
?>


cvs diff 명령이 마치 로컬에서 monisetup.php 파일에 diff 명령을 실행한 것과 같은 결과가 나왔음을 알 수 있다. cvs diff 명령 뒤의 -u 옵션은 diff와 마찬가지로 unified format을 의미하며 -p 옵션은 cvs diff 의 출력을 표준 출력(standard output)으로 보내라는 의미이다. 디렉토리 안의 모든 파일에 대해 diff 명령으로 비교를 하려면 다음과 같은 방법을 사용한다.


$ cvs -Q diff -u -p
Index: monisetup.php
===================================================================
RCS file: /cvsroot/moniwiki/moniwiki/monisetup.php,v
retrieving revision 1.11
diff -u -p -r1.11 monisetup.php
--- monisetup.php 3 Jan 2004 14:26:50 -0000 1.11
+++ monisetup.php 3 Aug 2004 09:19:27 -0000
@@ -486,4 +486,5 @@ if ($_SERVER['REQUEST_METHOD']!="POST")

}

+/* testing one two three */
?>
Index: css/log.css
===================================================================
RCS file: /cvsroot/moniwiki/moniwiki/css/log.css,v
retrieving revision 1.1
diff -u -p -r1.1 log.css
--- css/log.css 11 Feb 2004 08:48:27 -0000 1.1
+++ css/log.css 3 Aug 2004 09:19:27 -0000
@@ -1,4 +1,5 @@
/* MoniWiki CSS 2003/11/01 by wkpark */
+/* another testing comment */
body {
font-family:Georgia,Verdana,Lucida,sans-serif;font-size:12px;
background-color:#FFFFFF;


여기서는 monisetup.php 파일과 css/log.css 파일에 수정된 부분이 있음을 알 수 있다. cvs diff 명령에서 -Q 옵션은 Quiet 옵션으로 diff 출력 이외의 다른 메시지를 출력하지 않도록 해 준다. 그런데 여기서 하나 의문이 들 수 있다. 분명히 CVS에서는 cvs를 이용해서 직접 소스코드에 수정을 가할 수 있을 것인데 여기에서 왜 굳이 구식 diff를 이용한 방법을 또 사용하고 있는 것을까?

그 이유는 앞에서도 잠깐 언급했듯이, CVS 서버의 내용을 수정할 수 있는 권한이 있는 개발자는 소수이기 때문이다. 그리고 자비로운 독재자라는 용어에서 알 수 있듯이 제출된 패치를 받아들일지 아닐지의 여부는 관습적으로 보통 그쪽 프로젝트 리더들의 몫이 된다.

따라서 CVS 서버에 읽기 전용의 권한만을 갖고 있는 일반 오픈소스 프로젝트 참가자들은 이메일이나 혹은 메일링 리스트에 diff를 이용해서 패치 파일을 포스팅하는 것이 오픈소스 프로젝트에 참가하는 가장 무난한 방법이다. 일반적으로 프로젝트의 참가자가 지나치게 많지 않은 경우를 제외하고는 오픈소스 프로젝트에 올라오는 패치는 아무리 사소한 것이라도 쉽게 CVS 서버의 원본 소스코드에(repository라고 부른다) 반영 된다.

따라서 일반 개발자의 입장에서는 프로젝트 리더나 메인 개발자가 되기 전에는 CVS 서버에서 쓰기 권한이 그다지 필요하지는 않다. 이제 간단하게 CVS 서버에서 자주 쓰이는 기본적인 개념과 용어에 대해 알아보기로 하자.

CVS의 개념과 여러 용어
CVS 모델, copy-moodify-merge model
CVS는 이전에 많이 쓰이던 RCS(Revision Control System)과는 달리 lock-modify-unlock이 아닌 copy-modify-merge 모델을 사용한다. 여러 명의 개발자가 하나의 소스코드 트리에서 개발 작업을 할 때 가장 큰 문제는 같은 부분의 소스코드에 두 명 이상의 개발자가 서로 다른 소스코드를 작성하고 있을 때 발생한다. 이것을 CVS에서는 conflict이 발생했다고 한다.

RCS의 lock-modify-unlock 접근방식은 이러한 conflict를 한번에 두 명 이상의 개발자가 같은 소스코드 부분에 접근할 수 없도록 해서 conflict 상황을 미연에 방지한다. 하지만 CVS에서는 이러한 conflict 상황이 발생하는 것을 허용한다. 그렇다면 CVS에서는 이런 소스코드 conflict 상황이 발생하면 어떻게 대처할까?

재미있게도 CVS에서는 이런 상황에서 아무 일도 하지 않는다. 다만, CVS는 어느 부분에서 소스코드 conflict가 발생했는지, 그리고 어떤 사람이 conflict에 관계되어 있는지만 정확하게 알려 준다. 따라서 소스코드의 conflict 문제를 해결하는 것은 기계가 아닌 사람의 몫이 된다.

lock-modify-unlock 모델은 프로젝트의 전체 개발자 숫자가 소수이고 각각의 개발자들이 다른 개발자들이 현재 어떤 작업을 하고 있는지 쉽게 알 수 있는 상황에 유리하다. 그러나 개발자의 숫자가 많아지면 이미 잠금이 걸려 있는 파일에는 다른 개발자들이 접근할 수 없기 때문에 전체적인 업데이트가 늦어지는 문제가 발생하게 되고 좀 더 유연한 환경을 제공하기 위해 CVS가 도입되기에 이르렀다. 따라서 copy-modify-merge 모델의 CVS를 사용하는 개발자는 기본적으로 다음과 같은 과정을 거치며 개발 작업을 진행해 나가게 된다.


[1] 개발자는 CVS 서버로부터 소스코드 카피를 다운로드(check-out)한 다음
[2] 소스코드를 수정하고
[3] 완료된 작업은 다시 CVS 서버로 올려준다(check-in, commit)


여기서 conflict의 발생 여부는 commit 작업 단계에서 알 수 있다. 그리고 조금 전에 잠깐 살펴보았듯이 현재 개발자의 컴퓨터의 소스코드를 cvs 서버 쪽과 가능한 한 동일하게 유지하려면 update를 자주 해 주는 것이 좋다.

CVS와 관련된 용어
CVS와 관련된 용어는 통일된 번역이 아직 존재하지 않는 것 같아 원문 그대로 싣고 여기에 설명을 덧붙이도록 하겠다.


◆ repository : CVS 서버에 들어가 있는 바로 그 원본(master copy) 소스코드를 의미한다. 나중에 최종 출시가 되는 소스코드가 바로 이 repository이며 repository는 그동안 버전업되어 온 정보를 모두 포함하고 있다. cvs respository의 개수는 하나가 된다.

◆ working copy : 각각의 개발자가 작업을 위해 cvs repository에서 복사해 갖고 나간(check-out) 소스코드가 working copy이다. 따라서 working copy는 개발자의 수만큼 존재한다고 볼 수 있다. 개발자는 이 working copy에서 소스코드 수정 작업을 한 다음 나중에 check-in 혹은 commit 단계를 거쳐 원본 cvs repository에 수정을 가하게 된다.

◆ check-out : 개발자가 자신이 작업할 working copy를 CVS 서버에서 한 카피 복사해 가는 것을 check-out이라고 한다.

◆ update : update는 check-out과 비슷하게 cvs repository에서 원본 소프트웨어를 한 카피 가져오는 역할을 하지만, update는 단어의 원래 뜻 그대로 수정된 부분만 가져와서 현재 개발자가 쓰고 있는 working copy가 항상 최신의 갱신본이 될 수 있도록 해 준다. 일반적으로, 개발자는 한번 working copy를 check-out 한 뒤에는 최신의 소스코드를 유지하기 위해 이 update 명령을 주로 쓰게 된다.

◆ check-in 혹은 commit : 여기서 잠깐 조심해서 봐야 할 것이 update와 check-in의 관계이다. 얼핏 보기에는 CVS에서 check-out과 check-in이 반대의 개념이 되어야 할 것 같은데 실상 check-in의 반대 개념은 update이다. check-in은 내가 작성한 소스코드를 repository에 병합시켜서 다른 개발자들도 내가 작성한 수정 부분을 볼 수 있게 해 주는 소위 publish 작업이기 때문이다. 따라서 그 반대 개념은 내가 다른 사람들이 작성한 소스코드 수정본을 나의 working copy에 반영시키는 것인데 이 작업이 update 과정이다. 따라서 check-in 과정은 오히려 commit이라는 단어를 써서 표현하는 것이 혼동을 미리 방지하는 효과가 있지 않나 싶다. 참고로 commit 권한은 잠시 언급했듯이 소수의 주요 프로젝트 리더들이 갖게 되는 경우가 많다. 어떤 오픈소스 프로젝트에서 커미터의 역할을 담당한다는 것은 그 사람의 기여도가 높고 그만큼 높은 위치를 배정받았다는 뜻이 된다.

update와 commit에 관해서 또 하나 알아놓을 상식은 update와 commit 작업은 가능하면 자주 해 주는 것이 좋다는 사실이다. 다른 사람들이 내가 어떤 작업을 하는지 잘 알고, 나 역시 다른 사람들이 어떤 작업을 하고 있는지 잘 아는 것이 효율적인 협업(collaboration)의 기초가 됨은 두말할 필요가 없다. 추가적으로 CVS의 commit 명령 사용 예는 다음과 같다. -m 옵션 뒤에는 이번 commit에 대한 간략한 설명이나 주석문이 따라온다.

$ cvs commit -m "added additioinal messages" hello2.c # 파일 하나 commit 예

$ pwd
/home/foobar/projects/src1
$ cvs commit -m "removed redundant declarations" # 전체 디렉토리 commit 예


◆ log message : 수정된 소스코드를 commit할 때 이 소스코드가 어떤 역할을 하는지, 어떤 부분이 바뀌었는지 등을 기술하는 주석문 역할의 메시지이다. 이것 역시 코딩시 주석문 작성에 신경을 많이 쓰는 것처럼 수정된 소스코드를 commit할 때 마다 간결하고 정확하게 써 주는 것이 좋다.

오픈소스 프로젝트에 많은 참여를
지금까지 여러 명의 개발자, 특히 오픈소스 프로젝트에 참가할 때 필수적으로 쓰이는 유틸리티인 diff와 patch, 그리고 CVS의 기본 사용법에 대해서 알아보았다. 최근 들어서는 문서 작성도 오픈소스와 비슷하게 여러 사람이 동시에 같은 페이지를 고쳐 나가는 방식이 정착되어 가고 있다. 위키(wiki)의 사용이 늘어나고 있는 것이 바로 그것인데 위키는 내부적으로 RCS를 사용해서 문서의 버전 컨트롤을 해 나가는 경우가 많다. 즉, 위키를 통한 문서 작성 방식도 CVS를 이용한 오픈소스 소프트웨어 개발과 근본적으로 다르지 않은 것이다.

앞에서도 강조했듯이, 오픈소스 프로젝트에 참여하기 위해서 가장 중요한 것은 diff와 patch의 사용법을 아는 것이다. 일견 간단해 보이는 이 유틸리티들이 이메일, 그리고 이메일의 확장판인 메일링 리스트와 초기 유즈넷 뉴스그룹과 결합되면서 인터넷상에서 중요 오픈소스 소프트웨어 개발의 문을 열어젖힌 주역들이다.

또한, 이렇게 오픈소스 프로젝트에 참여하는 것이 생각만큼 어렵지 않다는 점을 일반 개발자들이 인지하는 것도 중요하다고 하겠다. 필자 역시 CVS의 사용법을 알기 전에는 내가 CVS의 사용법을 모르는데 오픈소스 프로젝트 참여가 가능하겠는가라는 쓸모없는 생각을 했던 적이 있다. 필자의 경우는 실제 떨어지는 코딩 능력이 오픈소스 프로젝트 참여에 장벽이 되고 있는데 이 글을 읽는 많은 독자들이 이번 연재를 계기로 오픈소스 프로젝트에 좀 더 많이 참여해 보는 기회를 가질 수 있으면 좋겠다는 것이 필자의 바람이다. 단 한 줄의 diff로 만든 패치라도 오픈소스 개발자에게는 많은 도움이 되며 또한 격려의 응원이 된다.

출처 -- http://zdnet.co.kr/techupdate/lecture/os/0,39024998,39131586,00.htm
Posted by 채종윤

Total : Today : Yesterday :
채종윤's Blog is powered by Daum & Tattertools.com / Designed by tistory.com