우성짱의 NAS > 게시판 > 포고플러그

데비안 위지에서 Nginx 최신 버전으로 업그레이드 하기 (Debian Wheezy)

우성군 — 2014-08-31T18:25:04+09:00

기존에 Nginx 버전이 1.2.1이라서 업그레이드 하려고 찾아봤습니다.

관련 링크에 있는 내용과 거의 같습니다.

nano /etc/apt/sources.list

위 명령어로 소스로 들어갑니다.

deb http://ftp.debian.org/debian/ wheezy-backports main contrib non-free

위 내용 추가 후 저장 (혹시 wheezy-backports 내용이 있다면 뒤에 문구만 똑같이 넣어주면 됩니다.)

apt-get update

위 명령어로 업데이트 후

apt-get -t wheezy-backports install nginx

위 명령어로 설치하면 최신버전으로 업그레이드 됩니다.

2014년 8월 31일 현재 1.6.0 버전으로 업그레이드 됩니다. (현재 안정판 최신버전이 1.6.1 이므로 나름 높은 편이라 볼 수 있습니다.)

혹시 install 명령어에서

다음 패키지를 과거 버전으로 유지합니다:

php-pear php5-cgi php5-cli php5-common php5-curl php5-dev php5-fpm php5-gd

php5-mcrypt php5-mysql

위와 같이 유지하는 내용이 있다면, 업데이트 할 것이 남아있다는 말입니다.

그럴 경우 nginx와 같이

apt-get -t wheezy-backports install php-pear php5-cgi php5-cli php5-common php5-curl php5-dev php5-fpm php5-gd php5-mcrypt php5-mysql

위와 같이 명령어를 넣어주면 wheezy-backports의 최신버전에 맞게 업그레이드 됩니다.

2014년 8월 31일 현재 5.4.4-14+deb7u14 버전으로 업그레이드 됩니다.

[E02, B01] 포고플러그 아치리눅스 설치 및 설정하기

우성군 — 2013-07-26T22:54:19+09:00

포고플러그에 아치리눅스 및 어플 설치, 설정을 상세히 적어놓은 자료가 있어 링크합니다.

대단히 잘 정리해주셨네요.

포고플러그에 jwplayer 올리고 웹에서 동영상 재생하기

우성군 — 2013-07-19T03:21:29+09:00

포고플러그에 FTP서버를 운영하고 있는데 그 많은 자료를 웹에서 바로 볼 수 없을까 고민해봤습니다.

보통 웹서버가 없는 사람들은 티스토리에 mp4파일을 10MB단위로 쪼개서 올린 다음에 링크를 따오는 작업을 하시더라구요

그래도 웹서버 운영하는데 그렇게 빌려쓰기도 그렇고, 개인적으로 친분이 있는 사람들끼리만 볼 수 있는 게시판이면

포고플러그로도 충분하지 않을까 싶어서 시도해본 결과물을 공유해봅니다.

첨부한 파일 3개를 다운 받습니다.

1. fs40.zip

jwplayer의 스킨파일입니다. 압축파일이지만 풀 필요가 없습니다. zip파일 그 자체를 인식합니다.

이외에도 다양하고 이쁜 스킨들이 많으니 찾아보시길 바랍니다.

2. player.swf

현재는 6버전으로 넘어가면서 js쪽으로 변경되는 바람에 그누보드에서는 호환이 어렵습니다.

스크립트 제한 때문인데요, 제가 첨부한 버전은 5.x버전으로 mp4, flv 파일을 지원합니다.

그냥 mp4라고 생각하시고 인코딩 및 먹싱하시면 됩니다.

3. Yamb 1.6

mp4파일이라고 모든 파일이 다 되는 것은 아닙니다.

먹싱이 되어 있지 않은 파일의 경우 그 파일을 다 받아야지만 플레이가 가능합니다.

예를 들어 10-20MB파일의 경우 순식간에 다운되어 보기 쉽지만

1GB 이상의 파일의 경우 외부에서 볼때 1-3MB/s 속도로 다 다운받고 보기엔 시간이 너무 오래 걸리겠죠

그래서 다운받은만큼 볼 수 있게 만들어 줍니다.

먹스하는 방법은 http://geundi.tistory.com/53 여기에 잘 설명이 되어 있습니다.

4. 사실 스킨은 옵션이니 없어도 상관 없습니다. 그냥 깔끔해 보여서 올려보았고

웹에서 구동에 필요한 파일은 1개입니다. 바로 player.swf인데요. 이 파일을 nginx나 apche 웹서버에 올려줍니다.

스킨과 플레이어파일은 같은 도메인상에 있어야 하므로

적당히 root/jwp/ 에 둘다 올려놓으시면 불러쓰기 좋겠지요

그럼 이제 소스 갑니다.

[code]

[/code]

동영상 파일의 경우는 다른 도메인에 있어도 상관없습니다.

그리고 스킨을 넣고 싶지 않다면 &skin=http://스킨위치/fs40.zip <- 이 부분을 삭제하시면 됩니다.

그리고 너비와 높이는 width="708" height="445" 이 부분을 수정하시면 되겠습니다.

그럼 쫜!!!! 하면서 이런 식으로 나오는 걸 볼 수 있습니다.

파일은 다른 곳에서 따오고 스킨과 플레이어는 현재 제 서버에 올라가 있는 상태입니다.

5. 자막 넣기

외국 영화나 애니의 경우 자막이 있는데 jwplayer에서도 플러그인 형태로 기능을 제공하고 있습니다.

[code]

[/code]

위의 코드처럼 넣으시면 됩니다.

보통 smi파일인데 변환 프로그램을 받아서 변환하면 됩니다. (첨부파일 참조)

http://simiy.cafe24.com/dboard/dboard.php?id=util

6. jwplayer의 단점

쉽게 구동할 수 있는만큼 단점도 있는데요

아무래도 플래시로 구동이 되다보니 아이폰 계열은 보기가 어렵습니다.

그 외엔 플래시만 깔려 있다면 무난하게 볼 수 있고요.

그래서 제가 크로스 브라우징이 가능한 대안을 찾아보았는데요.

정답은 HTML5 더라구요

jwplayer 6 버전의 경우 자바스크립트와 플래시를 동시에 구현을 해서

자바스크립트로 구동이 가능하면 그렇게 하고, 그게 안되면 플래시로 구동하는 하이브리드(?) 전법으로

크로스브라우징을 하더군요.

다만 그누보드의 경우 자바스크립트 적용이 어렵기 때문에 그냥 플래시로 구동하는게 제일 쉽고 마음이 편한 것 같습니다.

아이폰 계열은 아쉽지만.. 그냥 FTP서버에서 바로 보는 방법도 있겠지요.

어쨌든 HTML5가 개발 중에 있으니 내년 쯤이면 더 좋은 대안이 나오지 않을까 기대하고 있습니다.

포고플러그 데비안에서 fail2ban 설정하기

우성군 — 2013-07-17T00:10:42+09:00

흔히 은행 공인인증서의 경우 비밀번호 입력을 5번 틀리면 더이상 로그인할 수 없죠.

데비안에도 그런 프로그램이 있는데바로 fail2ban입니다.

데비안 wheezy 기준이라 squeeze와는 차이점이 있을 수 있습니다.

1. fail2ban 및 추가 프로그램 설치

apt-get install python-pyinotify fail2ban whois python-gamin iptables

2. fail2ban 설정파일 수정하기

다른 설정은 수정할 필요가 없고

/etc/fail2ban/jail.conf

만 수정하시면 됩니다.

빨간 글자와 초록색 글자를 잘 보세요.

nano /etc/fail2ban/jail.conf

# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
# provided now under /usr/share/doc/fail2ban/examples/jail.conf
# for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko
#
# $Revision$
#

# The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.

[DEFAULT]

# 여기가 기준입니다. maxretry 같은 경우는 각 항목에 넣으면 그것이 기준이 됩니다.

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8
ignoreip = 자신의외부아이피넣기
bantime = 600
maxretry = 3

#bantime = 기준은 초 단위입니다. 600이면 600초 = 10분
#maxretry = 3번 틀리면 밴 들어가는 겁니다.

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
# This issue left ToDo, so polling is default backend for now
backend = gamin
# 데비안에서 잘 안될수도 있지만 전 잘되더군요.

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

# Specify chain where jumps would need to be added in iptables-* actions
chain = INPUT

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

#ssh의 접속을 막는 부분입니다. 다른 것은 만질 필요없고, maxretry만 수정하셔도 됩니다.

[dropbear]

enabled = false
port = ssh
filter = sshd
logpath = /var/log/dropbear
maxretry = 6

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled = false
filter = xinetd-fail
port = all
banaction = iptables-multiport-log
logpath = /var/log/daemon.log
maxretry = 2

[ssh-ddos]

enabled = true
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 6

# 저는 이쪽도 추가해줬습니다. ddos를 막는 것 같은 느낌이 드는군요.

#
# HTTP servers
#

[apache]

enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-noscript]

enabled = false
port = http,https
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port = http,https
filter = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

#
# FTP servers
#

[vsftpd]

enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6

#vsftpd를 쓰는 사람은 여기가 필수겠죠

[proftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 6

[pure-ftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = pure-ftpd
logpath = /var/log/auth.log
maxretry = 6

[wuftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = wuftpd
logpath = /var/log/auth.log
maxretry = 6

#
# Mail servers
#

[postfix]

enabled = false
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log

[couriersmtp]

enabled = false
port = smtp,ssmtp
filter = couriersmtp
logpath = /var/log/mail.log

#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = courierlogin
logpath = /var/log/mail.log

[sasl]

enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath = /var/log/mail.log

[dovecot]

enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = dovecot
logpath = /var/log/mail.log

# DNS Servers

# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
# channel security_file {
# file "/var/log/named/security.log" versions 3 size 30m;
# severity dynamic;
# print-time yes;
# };
# category security {
# security_file;
# };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
# Since UDP is connection-less protocol, spoofing of IP and imitation
# of illegal actions is way too simple. Thus enabling of this filter
# might provide an easy way for implementing a DoS against a chosen
# victim. See
# http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
# Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled = false
#port = domain,953
#protocol = udp
#filter = named-refused
#logpath = /var/log/named/security.log

[named-refused-tcp]

enabled = false
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log

위에 빨간 부분이 수정한 부분이고, 초록색 글자는 설명 부분이니 지워도 상관 없습니다.

재부팅해도 iptable과 fail2ban은 자동으로 실행이 됩니다.

다만 ban된 ip는 다 삭제가 됩니다.

그건 재부팅을 자제하는 방법으로 해결이 될 것 같습니다.

수정 후

service fail2ban restart

iptables -nvL

하시면 fail2ban에 추가된 것을 확인 할 수 있습니다.

현재 geoip와 iptable 연동이 잘 안되네요.. 구글 검색해서 따라해봐도 답이 없네요

밑의 게시물을 참고하셔서 IP 차단 및 허용을 관리하셔도 됩니다. (링크 바로가기)

iptables를 이용하여 국가별 IP 차단하는 방법

우성군 — 2013-07-16T23:32:31+09:00

관련 링크를 참조하여 작성합니다.

iptables의 경우 geoip와 연계하여 나라이름만 지정하면 바로 차단하는 방법이 제일 쉽습니다.

다만 그 방법 쉽지않고 그나마 있는 방법도 외국 친구들이 작성한 것이 대부분이기 때문에

포고플러그에서 잘 되는 방법은 찾기어렵더라구요.

몇가지 시도해봤는데 모두 실패했습니다.

그래서 더 찾아보니 그냥 차단하고 싶은 나라별로 IP를 차단하는 방법을 올려놓은 블로그가 있어

포고플러그에 데비안 위지(wheezy)버전으로 설치하기

우성군 — 2013-07-16T22:07:04+09:00

현재 데비안 위지버전이 안정판으로 올라온지 얼마 안되었지만

그래도 사람 마음이 최신품이면 혹하는게 사실입니다.

그래서 기존에 스퀴즈버전에서 위지로 올라오는 것보단 처음부터 위지로 시작하면 어떨까 해서 시작해보았습니다.

1-1.

초기 스크립트를 위지스크립트로 설치하기

기준이 되는 링크는 http://cafe.naver.com/pogolinux/1487 여기를 참조했습니다.

위지 스크립트 출처 링크 : http://projects.doozan.com/debian/

doozan이라는 사람이 포고에 맞는 위지스크립트를 작성하였습니다.

그런데 위 사이트대로 설치하면 debootstrap 부분에서 에러가 떠서 제대로 설치가 안됩니다.

그래서

cd /tmp

wget http://projects.doozan.com/debian/kirkwood.debian-wheezy.sh

chmod +x kirkwood.debian-wheezy.sh

export PATH=$PATH:/usr/sbin:/sbin

vi kirkwood.debian-wheezy.sh

위와 같이 파일을 다운 받은 후 vi 편집기로 엽니다.

nano 편집기는 실행이 안되더라구요

그래서

#### run debootstrp ####

/usr/sbin/debootstrap --verbose --no-check-gpg --arch=$ARCH --variant=$VARIANT --include=$EXTRA_PACKAGES $RELEASE $ROOT $DEB_MIRROR

위 부분을 찾아서 빨간 부분을 삭제 후 저장합니다.

./kirkwood.debian-wheezy.sh

그 후에 스크립트를 실행하면 잘된다고 합니다만...

전 안되더군요.

그래도 시도해볼만한 가치는 있는 것 같습니다.

1-2.

혹시나 vi 편집기를 쓰기 힘드신 분은 제가 직접 편집한 파일을 받으셔서 실행하셔도 됩니다.

완전 초기화 진행 후

cd /tmp

wget http://cfile7.uf.tistory.com/attach/253B234F51E550D7125FFF

mv 253B234F51E550D7125FFF 1.sh

chmod +x 1.sh

export PATH=$PATH:/usr/sbin:/sbin

./1.sh

2. 우선 콤타강좌대로 스퀴즈 버전을 설치합니다. http://comta.kr/?p=1820

그리고 소스를 스퀴즈에서 위지로 바꿔줍니다.

nano /etc/apt/sources.list

deb http://ftp.daum.net/debian/ wheezy main contrib non-free
deb-src http://ftp.daum.net/debian/ wheezy main contrib non-free
deb http://security.debian.org/ wheezy/updates main contrib non-free
deb http://ftp.debian.org/debian/ wheezy-backports main

위의 소스로 완전히 바꿔줍니다.

apt-get update
apt-get dist-upgrade

그 후 위의 두 명령어로 완전히 위지로 넘어갑니다.

reboot 하기 전에 언어설정 및 시간설정을 미리 해두시는게 좋겠죠

dpkg-reconfigure locales
dpkg-reconfigure tzdata

설정 방법은

http://comta.kr/?p=1820 여기 가시면 자세히 알 수 있습니다.

추가 USB가 있을 경우 처음부터 지금까지 꼽지 않고 재부팅 후 위지 소스가 완전히 올라간 후부터 꼽는게 좋습니다.

혹시라도 설정이 꼬일 수 있으니깐요.

uname -a

재부팅 후 위의 명령어로 3.x 버전으로 나온다면 위지로 완전히 올라간 것입니다.

저는 그 후 vsftpd를 깔았는데 기존 데비안에 있는 패키지가 아닌 다른 버전으로 깔았습니다.

wget http://http.us.debian.org/debian/pool/main/v/vsftpd/vsftpd_3.0.2-3_armel.deb
dpkg -i vsftpd_3.0.2-3_armel.deb
service vsftpd reload

위의 명령을 순서대로 하시면 됩니다.

FTP 설정 할 때 (참조 : http://comta.kr/?p=2298 )

allow_writeable_chroot=YES

위의 글을 FTP 설정파일에 추가하면 chroot관련 문제들이 적어진다고 합니다.

그 후 Nginx 웹서버를 위한 패키지 설치

apt-get install nginx php5-fpm php5-cgi php5-mysql mysql-server mysql-client openssl php5-gd php5-curl

위의 명령어 한방이면 웹서버 관련 프로그램은 전부 설치가 됩니다.

아미나스킨을 안쓰시면 php-curl은 필요가 없습니다.

웹서버 설정 및 php 연동은 http://cafe.naver.com/pogolinux/175 를 참고하시기 바랍니다.

그리고 fail2ban과 iptables를 설치하여 SSH 및 FTP 비번을 과하게 틀린 사용자를 막을 겁니다.

상세 설정은 다른 게시물에 올려두었습니다. (링크 바로가기)

apt-get install python-pyinotify fail2ban whois gamin python-gamin iptables

여기까지가 기본 FTP 및 웹서버 설정이 끝났습니다.

중간중간에

dd if=/dev/sda of=/media/backup_20130716.img

이런 식으로 sda에 있는 이미지를 백업하면 중간에 과정이 실패하더라도 돌아갈 수 있습니다.