Ubuntu 22.04 LTS 에서 웹서버(Apache + PHP + MySQL) 구성하기

HYEONG HWAN, MUN/ 4월 25, 2022/ 미분류/ 11 comments

https://blog.lael.be/post/11072

이 글을 통해 Ubuntu 22.04 LTS 운영체제에서 APM 웹서버를 구축하는 방법에 대해 알아보도록 하겠습니다.

주의 : 이 글을 통해 설치되는 PHP 8.1 은 구문이 많이 엄격합니다! 당신의 소프트웨어가 PHP 8.1을 지원하는지 알 수 없다면, 18.04 버전이나 20.04 버전으로 구축하는것을 권장합니다.

LINK : 20.04 LTS 에서 Apache PHP MySQL 설치 방법

LINK : 18.04 LTS 에서 Apache PHP MySQL 설치 방법

일반 사업체 및 실무 서비스에서 사용할 수 있는 안정적인 구축 방법을 설명 하겠습니다.


* 리눅스 명령어 환경으로 접속하는 방법을 모른다면 이 글로 이동하세요.
리눅스 명령어 환경으로 원격 접속하는 방법 : https://blog.lael.be/post/7574

* 리눅스 설치 후 기초 원격접속 설정을 하려면 이 글로 이동하세요.
리눅스 서버 ssh 원격접속 설정하기 : https://blog.lael.be/post/7678

* VI 에디터(리눅스 편집기) 사용하는 방법https://blog.lael.be/post/7321

* Ubuntu 클라우드 서버호스팅을 찾는 중이라면 https://blog.lael.be/post/44 글로 이동하세요.

* 서버에 파일을 업로드하고 싶다면 Filezilla 를 사용해보세요. https://filezilla-project.org/

* 유료 도메인을 구매 하려면 https://blog.lael.be/post/6357 글로 이동하세요.


LTS 란 무엇인가?

* LTS 버전이란? Long Term Support 의 약자입니다. Ubuntu Canonical Group에서 10년간의 패키지 유지보수, 업데이트를 제공합니다.
개별 소프트웨어의 버그나, 보안상의 문제가 생기면 (해당 소프트웨어의 Lifetime이 끝났을지라도) Ubuntu Canonical Group 에서 유지보수를 제공합니다.
현재 무료 리눅스 배포판 중에서 10년 업데이트를 지원하는 운영체제는 Ubuntu 뿐입니다.

* 왜 10년 업데이트? Kiosk나 기타 Embeded 기기에서 제품설계 및 구축 운용까지 몇년(1~4년)이 걸립니다. 제품 출시 후 얼마지나지 않아 운영체제의 업데이트가 중단된다면 문제가 생기겠죠.
요즘에는 응용소프트웨어 분야에서도 이와 같이 LTS 라는 용어를 사용하는 추세입니다.  큰 변화 없이(코어의 major 버전번호 변함없음) 업데이트 유지보수를 장기간 제공합니다. 이 경우, 소프트웨어를 도입하려는 고객이 늘어나고, 3rd party software 가 늘어나는 장점이 있습니다.

< Ubuntu 유지보수 제공 현황표 >

참고 : Ubuntu Support - https://en.wikipedia.org/wiki/Ubuntu#Releases

TIP : 역할이 다른, 다수의 서버를 구축할 때, 모든 서버의 운영체제(OS) 버전을 동일하게 선택하는 것이 좋습니다. 예상하지 못한 문제가 발생할 확률이 크게 줄어듭니다.

 


이 글의 모든 단계는 root 권한으로 진행합니다.


1) root 사용자 권한으로 전환

서버의 최고관리자(root)로 로그인합니다. 우리는 서버를 이용하는 것을 넘어서, 서버를 조작할 예정이기 때문에 최고관리자 권한이 필요합니다.
이미 root 계정으로 로그인 했다면 이 단계를 건너 뛸 수 있습니다.

보통 서버 설치 후 사용하는 최초의 계정은 root 이거나, root 명령어를 사용할 수 있는 sudo 사용자 입니다.

- 자신의 계정이 sudo 명령어를 사용할 수 있는지 확인

# id

계정이 sudo 그룹에 속해 있으면 sudo 명령어를 사용할 수 있습니다.

 

- 관리자급 명령어(sudo)를 사용해서 root 계정으로 강제 로그인

# whoami
# sudo su

 

2) 쉘 기본 언어값 변경

서버 운영 중에 문제가 발생했을 때 구글 검색을 할 수 있게 하는 기초 작업입니다.
쉘의 기본 언어값영어로 변경합니다.
시스템의 변화가 생기는 것은 아니며, 오직 쉘 메세지영어로 바뀝니다.

qwerty 라고 입력해봅시다. 반드시 qwerty 라고 입력하세요.
(참고 : 의미없는 명령어이며 무조건 에러가 발생합니다. 에러메세지 테스트 용도임.)

# qwerty

이미 영어메시지가 출력된다면 다음 단계로 넘어가세요.

< 그림 : 동일한 서버. 메세지 언어설정만 다름 >

영어가 아닐 경우 다음 명령어를 사용하여 변경.

# vi /etc/default/locale
LANG="en_US.UTF-8"

k3

 

3) 시스템 정보 확인

먼저, 이 서버의 사양을 확인해 보도록 하자.
아래에 몇개의 서버 정보 확인 명령어를 적어두었으며, 나중에 서버 장애가 생겼을 때 이러한 명령어를 사용해 문제의 원인을 파악할 수 있어야 한다.
한번씩 입력해 보는 것을 추천함.

설치된 운영체제 버전 정보 확인

# lsb_release -a

이제 제미 젤리피쉬를 세팅해 보도록 하겠습니다!

 

CPU 모델 확인

# cat /proc/cpuinfo | grep "model name" | head -1

CPU 코어수 확인

# cat /proc/cpuinfo | grep "model name" | wc -l

 

시스템 메모리 정보 확인

# free -m

총 메모리 : total, 현재 사용가능 메모리 : available

Swap 부분도 확인해보세요.
클라우드 서버 업체에서 Disk의 10% 크기Swap 을 설정해 둔 경우도 있었습니다.
Swap 메모리가 나쁜건 아닌데, 설정된 사실은 알고는 있어야 합니다.

 

비 필수적인 캐시 메모리를 정리하기

# sync && echo 3 > /proc/sys/vm/drop_caches

일반적으로는 OS가 캐시메모리를 관리하기 때문에 굳이 사용할 필요없지만, Server Administrator 라면 알아두면 좋다. 위 명령어 입력 후 free -m 명령어를 다시 입력해보자.

디스크 파티션 확인

# lsblk

Type 이 disk, part 인 것의 항목을 확인해보자.
서버를 구동 중에도 AWS EBS, Linode, Hyper-v 등에서 disk resize(growpart) 가 가능하기 때문에 다음의 글을 읽어보는 것도 좋다.

https://blog.lael.be/post/7735

 

디스크 파티션 확인 (fdisk)

# fdisk -l

결과 화면이 약간 어려울 수 있으니 그냥 한번 읽어보고 넘어가도록 하자.

 

디스크 여유 공간 확인

# df -h

Mounted on 가 (/) 인 것의 Size, Used, Avail, Use 를 확인해 두도록 하자. 디스크가 가득 차면 실행 중인 어플리케이션에 심각한 문제를 줄 수 있다.

 

최종 부팅 시간 확인

# who -b

서버 부하량, 부팅 시간, 서버 접속자 확인

# w

시스템 서비스 확인

# systemctl list-unit-files

STATE 항목을 보세요.
b (back), spacebar (next), q (quit) 를 사용해 탐색합니다.

 

자동 실행 목록에 등록된 시스템 서비스 확인

# systemctl list-unit-files --state=enabled

운영체제가 부팅될 때 시스템 서비스로서 실행되는 프로그램의 목록을 확인해보자.
어떤 시스템 서비스가 설치될 때 VENDOR PRESET에 의해 자동 실행될지 아닐지 최초 결정하게 된다. 이러한 서비스 프로그램을 설치 후 자동실행을 제어할 때 사용하는 명령어이다.

 

4-1) 시스템 시간 설정 - 표시되는 형태 (Timezone)

시간 설정이란, 절대적인 시간(timestamp) 설정, 그리고 표시되는 형태(timezone) 설정을 말한다.
먼저 timezone 을 설정하고, 그 다음 timestamp 를 설정할 것이다.

Timezone 설정하기

이것을 하지 않으면 클라우드 서버 사업자가 미리 지정해 둔 지역의 Timezone 을 할 것이다. (주로, GMT)

 

- 데비안 패키지 재설정 TimeZone Data 를 실행한다.

#dpkg-reconfigure tzdata

GUI 환경이 나올 텐데, 순서대로 Asia - Seoul 을 선택하면 된다.  a 와 s 키를 누르면 관련 위치로 이동한다.

 

 

dpkg-reconfigure 를 사용할 수 없는 환경(예를 들자면 docker ubuntu)이라면 아래의 명령을 실행하세요. (동작은 완전히 동일함)

# ln -sf /usr/share/zoneinfo/Asia/Seoul /etc/localtime

 

현재 시간 확인

# date

 

4-2) 시스템 시간 설정 - 절대 시간 기준 값 (Timestamp)

시스템이 과부하되면 시스템 시간이 아주 조금씩 지연됩니다.
따라서 시간이 일정하게 유지되도록, 주기적으로 시간을 교정하는 프로그램을 실행하는 것이 좋습니다.

Ubuntu OS설치시 기본적으로 설정되고, 항상 잘 동작하기 때문에 확인하는 명령어만 살펴보고 가겠습니다.

# timedatectl
# timedatectl timesync-status

 

어느 서버와, 어느 주기로 시간 동기화 되고 있는지 한번은 봐두세요.

 

5) 시스템 메모리 크기를 확인하고 가상 메모리 설정하기

free -m 명령어를 통해서 메모리를 살펴 보았을 때, Swap 이 없을 경우(0일 경우)에만 실행하세요. 하지만 따라해도 크게 문제는 없지만, 작업의 이득이 없습니다.
Swap 커져봤자 서버가 빨라지지는 않습니다.

 

리눅스에 swap 이라는 가상메모리 설정이 있습니다. 이것을 설정하면 실제 메모리 공간보다 더 많은 공간을 사용할 수 있습니다.
이것은 과거에 기술적, 금액적 문제로 인해 서버의 메모리 용량이 부족하던 시절에 쓰던 방식입니다.

이것을 설정하면 서버의 메모리가 부족한 상황이 되면, swap을 사용하면서 서버 요청을 잘 처리하게 됩니다.
swap을 사용할 때 cpu를 조금 더 사용하게 되므로, 과도한 swap 을 사용하지 마시고 적절히 사용하세요.

무조건 2GB를 설정하고, 나중에 조정하는것을 추천합니다. 이 작업은 서버의 재부팅을 필요로 하지 않고 실시간으로 적용됩니다.

 

SWAP 추가 스크립트를 사용하여 서버에 2GB 의 가상 메모리 설정하기

swap 설정 스크립트 다운받기

# wget -q https://raw.githubusercontent.com/laelbe/linux-simple-scripts/main/_server_tools/add_swapfile -O /root/add_swapfile
# bash /root/add_swapfile 2
# free -m

스크립트 파일 살펴보기 : https://github.com/laelbe/linux-simple-scripts/blob/main/_server_tools/add_swapfile

 

swap 추가 후 제거를 원하면 소스코드를 보고, 적절히 작업하세요. (swapoff, fstab 제거, swap파일제거)

 

6) 현재 운영체제에 설치되어 있는 프로그램 최신버전 패치

기억하세요! 어떠한 운영체제를 설치하든 (윈도우 포함) 가장먼저 해야 할 일업데이트 입니다.

APT 목록 갱신
APT란 Advanced Packaging Tool 을 뜻합니다.
우리는 apt 라는 우분투에 내장된 프로그램을 이용해서 프로그램을 쉽게 설치/제거 할 수 있습니다.

 

패키지 목록 갱신.

#apt update

현재 운영체제에 설치되어있는 프로그램 최신버전 패치

#apt upgrade

설치 중 일부 프로그램 설정파일을 초기화 할것인지 물어볼 수도 있는데 기본값Keep Local Version 을 선택한다. (미리 선택되어 있으므로 Enter 만 누르면 된다.)

설치, 제거, 업데이트 과정중에 생긴 찌꺼기 파일이 있으면 제거.

#apt autoremove

아주 가끔씩 찌꺼기 파일이 생긴다. 지우지 않아도 동작의 문제는 없다. 하지만 지우면 디스크 공간이 많이 확보된다.

 

재부팅

# reboot

처음 설치할 때, apt upgrade 후에, 한번은 반드시 재부팅을 해주세요.

 


방화벽 확인하기

저는 리눅스 시스템 내에서 설정을 안하고, 클라우드에서 제공하는 네트워크 방화벽을 사용하도록 권장합니다.
굳이 서버에 설정하고 싶으면 OS레벨에서 하지말고, 소프트웨어 레벨에서 설정하세요.

그런데, 일부 클라우드 업체들이 OS의 방화벽을 미리 설정해두는 경우가 있어서 설명을 하도록 하겠습니다.
(공식 Ubuntu OS를 설치해보면 방화벽이 해제로 설정됩니다.)

 

iptables 방화벽

모든 리눅스는 iptables 방화벽을 사용합니다.

그런데 iptables 관련 명령어가 너무 어려워서, 쉽게 사용하기 위한 ufw (Uncomplicated Firewall) 라는 관리툴이 개발되었습니다.

https://ko.wikipedia.org/wiki/UFW

대충 이렇게 동작합니다. ufw 도 결국에 iptables 을 사용해 동작합니다.

“iptables 는 사용하지 말아야할 레거시 명령어이며, ufw는 새로운 세대의 멋진 명령어이다!” 라고 접근하시면 안되고, 동작을 이해하고 상황에 맞는 명령어를 쓰시면 됩니다.

1) 둘다 안쓰는걸 추천
2) 그래도 널리 쓸수있는 iptables 를 추천
3) ufw 기본세팅이 되어있다면 ufw 를 추천

 

현재 방화벽 상태 확인

# iptables -nL

 

< AWS Ubuntu : Ubuntu 공식 설치 초기 상태 그대임 >

 

< VULTR Ubuntu : 무언가 설정이 되어있고, ufw 라는 단어가 보인다 >

 

ufw 상태 확인 (반드시 위와 같이 ufw 관련 화면이 보였을 경우에만 진행한다)

# ufw status
# ufw allow 80
# ufw allow 443

반대 명령어는

# ufw delete allow 80

 

웹서버는 22, 80 443 포트만 허용되어 있으면 된다.
추가설정은 정신 건강에 해로우니 하지 말 것.

 


 

시스템 기초 설정이 끝났기 때문에, 이제 웹 어플리케이션 서버를 구축하도록 하겠습니다.

앞으로 설치할 모든 패키지는 공식저장소(Repository)에서 제공 받습니다. Ubuntu Canonical Group 에서 향후 10년간 유지보수를 제공합니다.

Apache2, PHP, MySQL 순서로 구축하도록 하겠습니다.

 

7) Apache2 설치

# apt install apache2

 

- 설치된 아파치 버전 확인

# apache2 -v

Server version: Apache/2.4.52 (Ubuntu)

< Apache2 웹서버가 정상적으로 설치되었고 실행 중이라면, 이 화면이 표시될 것이다. >

 

https 인증서 관련 프로그램 설치

# apt install ssl-cert

 

무료 인증서 발급 프로그램 설치

# apt install certbot

 

- 널리 사용되는 Apache2 Module 활성화
이걸 하지 않으면 워드프레스를 포함한 많은 프로그램이 구동되지 않거나 사용 제약이 걸리게 된다.

# a2enmod rewrite
# a2enmod headers
# a2enmod ssl
# a2dismod -f autoindex

 

- 변경사항 적용

# service apache2 restart

 


다음 단계부터 파일 생성, 파일 수정등의 작업을 할 것입니다.

오타 입력을 방지하고 빠른 오류 발견을 위해 Apache2 환경설정 문법검사 명령어를 실행해 봅시다.

 

- Apache2 환경설정 문법검사

# apache2ctl -S

환경설정 문법검사가 통과하면, 현재 서버의 설정파일의 분석결과가 표시됩니다.

 

만약, 환경설정 문법에 오류가 있다면 해당 오류 내용과, 오류가 발생한 Line을 표시해줍니다.

이 명령어를 실행해서 Apache2  환경설정 문법오류가 있는지 확인 할 수 있습니다.

 


* vi 에디터 사용법 : https://blog.lael.be/post/7321

 

- 기본 언어셋 변경

# vi /etc/apache2/conf-available/charset.conf

기본 언어값 UTF-8 에 대해서 주석처리되어 있을 텐데 주석(#)을 제거해 준다.

 

iu4

- 추가 보안 설정

# vi /etc/apache2/conf-available/security.conf

매우 권장하는 보안 설정이므로 Ubuntu Apache 패키지 제작자가 미리 작성해 두었다.
아래의 그림을 참고하여 설정하도록 하자.

 


#추가 보안패치. (.git, .svn, .env 등 dot로 시작하는 파일 및 폴더 보호, Web Access가 되어서는 안될 파일들의 접근 제어)

서비스 운영중 의도치않게 발생할 수 있는 보안 문제를 막는 코드이다.

# vi /etc/apache2/apache2.conf

파일 중간(약 199번째 줄)의 <FilesMatch “^\.ht”> 구문 다음에 추가한다.
TIP : vi 에디터 열자마자 199G (대문자) 입력하면 바로 이동합니다.

# deny file, folder start with dot
<DirectoryMatch "^\.|\/\.">
    Require all denied
</DirectoryMatch>

# deny (log file, binary, certificate, shell script, sql dump file) access.
<FilesMatch "\.(?i:log|binary|pem|enc|crt|conf|cnf|config|sql|sh|key|yml|lock|bak|gitignore)$">
    Require all denied
</FilesMatch>

# deny access.
<FilesMatch "(?i:composer\.json|contributing\.md|license\.txt|readme\.rst|readme\.md|readme\.txt|copyright|artisan|gulpfile\.js|package\.json|phpunit\.xml|access_log|error_log|gruntfile\.js|bower\.json|changelog\.md|console|legalnotice|license|security\.md|privacy\.md)$">
    Require all denied
</FilesMatch>

# Allow Lets Encrypt Domain Validation Program
<DirectoryMatch "\.well-known/acme-challenge/">
    Require all granted
</DirectoryMatch>

# Block .php file inside upload folder. uploads(wp), files(drupal), data(gnuboard).
<DirectoryMatch "/(uploads|default/files|data|wp-content/themes)/">
    <FilesMatch ".+\.php$">
        Require all denied
    </FilesMatch>
</DirectoryMatch>

<DirectoryMatch "/(data/session)/">
    Require all denied
</DirectoryMatch>

 

 



 

- 변경사항 적용

# service apache2 restart

 

Apache 개별 사용자 권한 설정

웹 서비스 구동시 발생할 수 있는 Permission(권한) 문제를 해결하기 위한 모듈을 설치한다.
다음과 같이 설정하면 shell의 권한과 sftp의 권한과 web의 권한이 동일하게 취급되며 보안에 도움이 된다.
순서대로 입력하면 된다.

# apt-cache search mpm-itk

libapache2-mpm-itk - multiuser module for Apache

 

# apt install libapache2-mpm-itk
# chmod 711 /home
# chmod -R 700 /home/*

(/home/* 안에 아무파일도 없을 경우 마지막 구문은 에러가 날 수 있다. 에러가 나면 무시하도록 하자.)

- 변경사항 적용

# service apache2 restart

 

- 기본사이트 추가 설정

# vi /etc/apache2/sites-available/000-default.conf

ServerName localhost 한 줄 추가해주세요.

ServerName localhost

 

- HTTPS 기본사이트 켜기

# mv /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/000-default-ssl.conf

 

mv 명령어를 사용하는 이유에 대해 질문을 받아서 작성합니다. 물론 이 내용을 이해하지 못하여도 사용에 지장이 없습니다.

Apache 는 가장 처음으로 로딩하는 파일을 기본 사이트로 취급합니다. 기본 사이트는 지정한 ServerName 에 모두 해당하지 않을 경우, 연결되는 사이트입니다.
Apache 의 conf 로딩 순서는, 알파벳 순서에 따릅니다. 그리고 숫자를 더 우선시 합니다.
따라서 위의 mv 명령어를 사용하지 않고, 당신의 도메인이 d 보다 앞단계 일 경우 (예를 들어 apple.com) 이 도메인 conf가 먼저 불러와지게 되고 기본 사이트가 됩니다.

우리는 위의 default-ssl 을 기본 사이트로써 동작하기를 원하기 때문에, 로딩 우선순위를 높이기 위해서, 이름을 000-default-ssl.conf 로 변경하는 것입니다.

 

이 파일에도 ServerName localhost 를 추가해주세요.

# vi /etc/apache2/sites-available/000-default-ssl.conf

 

# a2ensite 000-default-ssl.conf

 

- 환경설정 구문확인 (결과 메세지도 확인해보세요)

# apache2ctl -S

 

- 설정 적용

# service apache2 reload

 

 

8) PHP 설치

Ubuntu 22.04 LTS 에서는 PHP 8.1 버전이 설치된다.
만약 당신의 소프트웨어가 PHP 8.1 에서 오류가 발생한다면, ppa 등을 통해서 낮은 버전의 php 를 설치하지 마시고, OS 버전을 낮춰서 다른 Ubuntu LTS 를 사용하는것을 권장합니다.
소프트웨어 의존성 관리는 매우 번거로운 작업이기 때문입니다.


이 글에서는 PPA나 개별저장소, 소스설치가 아니라, Ubuntu 공식 저장소에서 지원하는 패키지로만 설치합니다.
Ubuntu 22.04 LTS 는 장기적으로 사용할 수 있게 출시된 버전이며, 2032년 4월까지 업데이트가 제공됩니다.

Ubuntu SecurityTeam 은 공식 지원하는 모든 패키지에 대해서 Auditing, Tracking, Reporting, Fixing, Testing 을 수행합니다.
https://wiki.ubuntu.com/SecurityTeam

All binary packages in main and restricted are supported by the Ubuntu Security team for the life of an Ubuntu release.  (https://wiki.ubuntu.com/SecurityTeam/FAQ)


만약 시간이 흘러서 PHP 8.1 의 Lifetime 이 종료되었다고 할지라도, 구축 후 변경하는 것은 권장하지 않습니다.
Software Lifetime 이 끝나면(PHP8.1의 수명은 10년 미만임) 큰 보안 취약점이 생기는 것 같이 설명하시는 분이 있던데, 전혀 그렇지 않습니다!!
보안 취약점이 발견되더라도, Ubuntu Security Team 에 의해 2032년까지 신속한 패치가 이루어집니다.


https://packages.ubuntu.com/jammy/php

Ubuntu PHP 는 전 세계적으로 매우 많은 사람들이 사용하고 있으며, 따라서, Ubuntu 개발팀에서 우선적으로 관리하는(main) 소프트웨어 패키지입니다.
위 링크를 클릭 후 Maintainer 항목을 살펴보세요.

 

# apt install php

 

시스템에 Apache2 가 설치되어 있기 때문에 Apache2 PHP module (libapache2-mod-php8.1) 도 같이 설치되고 적용된다.

- 설치된 PHP 버전 확인

# php -v

글을 작성하는 현재 설치된 버전은 PHP 8.1.2 이며, 여러분의 버전은 이것보다 높을 것이다. (물론 주기적으로 업데이트 명령어인 apt update 및 apt upgrade 를 해주면 최신의 상태를 유지할 수 있다.)

 

기타 널리 사용되는 PHP모듈을 설치한다.

- 다국어 처리모듈

#apt install php-mbstring

- 이미지 처리모듈

#apt install php-gd

- 원격지 정보 불러는 모듈 (워드프레스 등에서 쓰임)

#apt install php-curl php-xml

- 수학 연산 확장 모듈

#apt install php-bcmath

- OAuth 인증 모듈 (클라우드 API 등 연동서비스에서 쓰임)

#apt install php-oauth

- MySQL 연동 모듈 (mysqli, pdo-mysql 관련 함수를 사용할 수 있게됨)

#apt install php-mysql

- Composer 설치 (PHP 패키지 의존성 관리 프로그램)

#apt install composer

 

더 설치하고 싶은 PHP 모듈이 있다면 아래 명령어 입력 후 선택하여 설치하면 된다.

#apt-cache search php- | grep ^php- | grep module

 

PHP 보안 설정

ubuntu php 패키지에서 php 를 해석하는 확장자가 너무 많이 설정되어 있다.

#vi /etc/apache2/mods-available/php8.1.conf

.php .phar .phtml  확장자 파일이 기본적으로 php를 해석할 수 있게 되어있다.

웹페이지에서 파일업로드 구현시 이 확장자 파일을 제대로 막아주지 못하면 사이트가 위험하게 된다.

 

.php 를 제외한 나머지의 접근을 차단하자.
아래 그림의 위치에 추가한다. 보안사고 방지를 위해서 몇가지 php관련 확장자 접근제어 설정도 추가하였다.

<FilesMatch ".+\.ph(p3|p4|p5|p7|ar|t|tml)$">
    Require all denied
</FilesMatch>

 

적용을 위해서 아파치 재시작
PHP 가 Apache 의 모듈로 동작하는 방식이므로 PHP 의 변경사항이 생기면 Apache 를 재시작 해 주어야 한다.

#service apache2 restart

 

PHP Default timezone 설정하기

PHP 의 Date 관련 함수에서 사용할 기본 기준 시간을 지정하는 작업입니다.
이 값을 설정하지 않으면 시스템 timezone 을 사용합니다.
PHP Default timezone 을 설정하는 것은 필수는 아니지만 매우 권장하는 작업입니다. 설정해주세요.

동일한 작업2개의 파일에 적용해 주어야 합니다.

- 이것은 Apache2 + PHP 일때 참조하는 파일입니다.

#vi /etc/php/8.1/apache2/php.ini

* 편집 가이드

vi 에디터 진입 후 ->     /timezone 엔터 i -> 편집 -> 적절한 위치에 Asia/Seoul 입력 -> 저장

 

- 이것은 cron이나 console에서 PHP를 실행할때 참조하는 파일입니다. 동일하게 timezone 을 설정해 주세요.

#vi /etc/php/8.1/cli/php.ini

 

date.timezone 값을 찾아서 주석을 제거하고 시간을 설정해주세요.

q17

이 값을 찾아서

 

q18

이렇게 변경.

 

변경사항 적용하기

#service apache2 restart

 

phpinfo 파일 생성

 

서버의 hostname(호스트 이름) 확인하기 (서버 컴퓨터의 이름)

# hostname

 

php 환경설정 정보를 볼 수 있는 파일을 생성한다. 의도치 않게 이 정보가 노출되더라도 보안에 위협이 되지는 않는다.

# echo "<?php if (gethostname() == (empty(\$_GET['q']) ? '' : \$_GET['q'])) phpinfo(); ?>" > /var/www/html/myphpinfo.php

웹 브라우저에서 http://서버의아이피/myphpinfo.php?q=서버의 호스트 이름 로 접속해 보자.

 

이 페이지에서 “default_charset”, “Default timezone” 값을 살펴보세요. (UTF-8, Asia/Seoul)

 

phpmyadmin 설치하기

phpmyadmin 은 php로 제작된 mysql 관리툴입니다. 매우 안정적이고 안전한 프로그램입니다. 설치해봅니다.

# wget https://files.phpmyadmin.net/phpMyAdmin/5.1.3/phpMyAdmin-5.1.3-all-languages.zip -O /var/www/html/dbmyadmin.zip.lock
# cd /var/www/html && unzip dbmyadmin.zip.lock && mv phpMyAdmin-5.1.3-all-languages dbmyadmin

웹 브라우저에서 http://서버의아이피/dbmyadmin 로 접속해 보자.

이렇게 뜨면 정상입니다. 지금은 DB 접속정보가 없어서 할 수 있는 작업이 없기 때문에, 화면이 표시되는지만 확인해주세요.

 

phpmyadmin 웹소프트웨어의 환경설정을 진행합니다.
phpmyadmin 이 설치된 폴더로 이동한 후에 config.sample.inc.php 파일 이름을 config.inc.php 로 바꿉니다. (mv 명령어 또는 비슷한 명령어 사용)

# mv /var/www/html/dbmyadmin/config.sample.inc.php /var/www/html/dbmyadmin/config.inc.php

 

config.inc.php 파일을 열어서 다 지우고, 아래의 내용으로 변경해줍니다.

# vi /var/www/html/dbmyadmin/config.inc.php
vi 에디터 진입 후 :set paste  엔터 -> 복사 붙여넣기 모드 설정하면 정상적인 내용 붙여넣기가 가능해집니다.

예제를 잘 만들어 두었으니 코드를 해석해보고 적절히 응용해보세요.

<?php
declare(strict_types=1);

$valid_passwords = ['webuser1' => 'webpass1', 'webuser2' => 'webpass2'];
$valid_users = array_keys($valid_passwords);
$user = $_SERVER['PHP_AUTH_USER'];
$pass = $_SERVER['PHP_AUTH_PW'];
$validated = (in_array($user, $valid_users)) && ($pass == $valid_passwords[$user]);
if (!$validated) {
    header('WWW-Authenticate: Basic realm="password?"');
    header('HTTP/1.0 401 Unauthorized');
    die ("Not authorized");
}

$cfg['blowfish_secret'] = 'RkyE=T6t6KjX65KPC7/XNQ\Bk9EhBXar'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */
$cfg['NavigationTreeEnableGrouping'] = false;
$cfg['MaxNavigationItems'] = '200';
$cfg['FirstLevelNavigationItems'] = '200';
$cfg['ShowDatabasesNavigationAsTree'] = false;
$cfg['NumRecentTables'] = 0;

/**
* Servers configuration
*/
$i = 0;

$i++;
$cfg['Servers'][$i]['host'] = 'localhost';
$cfg['Servers'][$i]['port'] = '3306';

/*
$i++;
$cfg['Servers'][$i]['host'] = 'mydatabase-instance01.cohyfvqnmewt.ap-northeast-2.rds.amazonaws.com';
$cfg['Servers'][$i]['port'] = '3306';
*/

/*
$i++;
$cfg['Servers'][$i]['host'] = '211.192.211.192';
$cfg['Servers'][$i]['port'] = '3306';
*/

 


선택 작업 1. ssh 및 sftp 비밀번호 접속 허용하기

이 작업은 인증키를 사용한 로그인을 못하는 초보자분들께만 권장합니다.
항상 내 아이피만 접속할 수 있도록 방화벽을 잘 설정해주세요.
서버가 이미 비밀번호 로그인 방식을 허용하도록 설정되어 있을 수도 있습니다.

내 IP주소 확인하기 : https://ipconfig.tools/ko/

 

ssh daemon 환경설정

# vi /etc/ssh/sshd_config

 

아래 그림을 적절히 참고하여, 설정 값을 변경하세요.

반드시 방화벽 설정을 하세요. 대부분의 클라우드 호스팅에서는 네트워크 방화벽 기능을 지원합니다. (TCP 22)

 

변경사항 적용

# service ssh restart

접속중인 쉘의 연결은 끊기지 않습니다.

 

사용자 비밀번호 설정

# passwd 사용자이름(아이디)

비밀번호 접속 확인

Filezilla (https://filezilla-project.org/download.php?type=client) 같은 FTP 프로그램을 사용해서 서버에 접속해 보세요.

 

선택 작업 2. 동시 접속자 수 설정하기

- Ubuntu Apache 에서 순간 동시 처리가능한 갯수는 150개 입니다.
1000개의 처리 요청이 있다면 150개는 프로세서가 즉시 처리하고, 나머지 850개는 대기열에서 대기(stall)하다가 순서대로 처리됩니다.

* CPU 나 Memory 사용량이 높지 않은데, 사이트가 5초 대기한 후에 접속된다면 이 부분을 설정해야 합니다.

* 또는, 서비스 운영중에 /var/log/apache2/error.log 파일에 아래의 메세지가 표시되면 설정합니다.

server reached MaxRequestWorkers setting, consider raising the MaxRequestWorkers setting

 

 

이 설정을 하여 순간동시 처리 갯수를 늘릴 수 있습니다.

 

실행모드 확인

# a2query -M

prefork 라고 뜰겁니다.

 

 

prefork 관련 동시접속 설정

# vi /etc/apache2/mods-available/mpm_prefork.conf

당신의 서버 메모리가 4GB 이상이고 대기시간 문제가 발생하고 있다면 아래와 같이 적용해보세요.
서버 운영중에 Server reached MaxRequestWorkers setting, consider raising the MaxRequestWorkers setting 에러 로그가 쌓일때에만 아래의 설정을 해주세요.

<IfModule mpm_prefork_module>
    StartServers             10
    MinSpareServers       10
    MaxSpareServers      20
    MaxRequestWorkers     300
    ServerLimit           300
    MaxConnectionsPerChild   0
</IfModule>

설정 변경 후 Apache 를 재시작하면 적용됩니다.

 

규칙

StartServer 와 MinSpareServers 는 같은값이어야 합니다.
MaxSpareServer 는 MinSpareServers 의 2배이어야 합니다.
ServerLimit 의 기본값은 256 입니다.
MaxRequestWorkers 는 ServerLimit 을 넘을 수 없습니다.
만약 MaxRequestWorkers 값이 256 이 넘는값을 설정하려면 같은 값으로 ServerLimit 도 설정해주세요.

 

*) 이것을 손대기 전에 (이미지 캐시서버 구축하기 : https://blog.lael.be/post/7605) 글을 읽고 적용해보세요.
물리적으로 connection 수가 줄어들기 때문에 더 많은 동시접속을 처리할 수 있게 됩니다. 그리고 2대가 분산처리하기 때문에 페이지가 더 빠르게 표시됩니다.

 


9) 실제 사용 테스트 (실제로 사용해 보는 예제)

1] 도메인 준비하기

1) 유료 도메인을 구매 하려면 https://blog.lael.be/post/6357 글로 이동하세요.
자신의 PC 에 설치한 가상머신이나 회사 내부 사설망의 서버에도 도메인 연결이 가능합니다. 무엇을 하든 반드시 도메인을 준비해주세요.

2) 무료 도메인을 활용할 수도 있습니다.
이 글에서는 https://nip.io/ 를 사용하도록 하겠습니다.

 

무료도메인 nip.io 를 기준으로 설명하겠습니다.

만약 당신의 서버의 IP 가 52.79.173.82 이라면 52-79-173-82.nip.io 도메인을 사용할 수 있습니다.

이 본문 예제에서는 다음의 3가지 도메인을 사용합니다.

52-79-173-82.nip.io

 

도메인을 사용해서 myphpinfo 페이지를 열어보도록 합시다. 아래의 파란부분을 자신에 맞게 수정하세요. (뒷 부분은 hostname)

http://52-79-173-82.nip.io/myphpinfo.php?q=ip-10-12-14-10

 

2] 일반 사용자 계정 생성

일반 사용자 추가하기
원하시는 아이디 있으면 그것으로 하세요. 선호하는 아이디가 없으면 myuser1 으로 하세요.

#adduser myuser1

참고로 반대동작을 하는 계정삭제 명령어는 (계정을 삭제하고 홈디렉토리도 삭제함) 아래와 같습니다.

#userdel -r myuser1

 

보통 웹루트는 홈디렉토리에 하지 않습니다.
(일반적으로 www, htdocs, public_html 라는 이름을 웹루트로 사용합니다.)
저는 주로 www 이름을 사용합니다. 사용자변경 후 www 디렉토리를 생성하고 빠져나오기

#su -l myuser1
#mkdir 52-79-173-82.nip.io
#mkdir mysite1.52-79-173-82.nip.io
#mkdir mysite2.52-79-173-82.nip.io
#exit

 

 

3] 웹사이트 Apache 환경설정파일 작성

사이트 생성 파일 작성할 때, 실수가 생기는 경우가 많아서, 환경설정 생성기를 만들었습니다.
자신의 환경에 맞추어 입력하시면 됩니다. 브라우저 즐겨찾기에 등록 후 필요할 때 마다 쓰시면 됩니다.

Apache2 환경설정 생성기
https://webmaster.cafe/tools/apache-conf-generator/

 

이 본문의 예제에서는 다음의 값을 사용하겠습니다.

https://webmaster.cafe/tools/apache-conf-generator/?s=myuser1&h=52-79-173-82.nip.io&r=&t=&d=%2Fhome%2Fmyuser1%2F52-79-173-82.nip.io

내용을 복사하여 /etc/apache2/sites-available/52-79-173-82.nip.io.conf 위치에 생성.

 

 

위에서 생성한 설정 구문을 아래의 위치에 넣어주세요.

/etc/apache2/sites-available/[[사이트주소]].conf

 

사이트 켜기

오타를 방지하기 위해서 a2ensite 앞몇단어 + 탭  을 입력해주세요.

# a2ensite 52-79-173-82.nip.io.conf

 

참고 : 사이트 끄는 명령어

# a2dissite 52-79-173-82.nip.io.conf

 

변경사항 적용

# service apache2 reload

 

무료 인증서를 발급 받으시려면

위의 apache2 reload 를 완료한 후에, 4번째 탭으로 이동.

방화벽에서 anywhere(0.0.0.0/0) TCP 80, TCP 443 포트가 열려있어야 합니다.

< Congratulations! 를 확인하셔야 합니다. >

참고 : 사이트 주소와 연결되는 환경설정 파일을 보는 명령어

# apache2ctl -S

 

이 상태에서 다시 3번째 탭 내용을 적용해야 합니다.

아까 작성했던 /etc/apache2/sites-available/52-79-173-82.nip.io.conf 파일 내용을 교체하세요.
아까는 유효하지 않은 임시인증서로 구동을 했던 것이고, 이제는 방금 발급받은 유효한 인증서로 구동을 하는 것입니다.

 

최종 적용

# service apache2 reload

주소창에 열쇠가 보이면 정상이다.

 

인증서 갱신 프로그램 주기적으로 실행하기
https://blog.lael.be/post/5107 이동 후 4번 인증서 갱신 프로그램 주기적으로 실행하기 보고 똑같이 입력하세요.


10) MYSQL 설치

요즘엔 웹어플리케이션 서버만 구축하고, DB는 DB호스팅 서비스를 이용하는 분위기입니다.

여기에서는 이러한 DB호스팅을 사용하지 않고, 직접 MYSQL DB서버를 구축하는 방법에 대해 설명하도록 하겠습니다.

 

MySQL 명령어 클라이언트 프로그램 설치 - 외부 DB를 사용하든 안하든 설치하는 것이 좋습니다.

#apt install mysql-client

위의 패키지를 설치하면 console 환경에서 mysql 명령어를 사용할 수 있게 된다.

 

MySQL 서버 설치

#apt install mysql-server

설치된 버전 확인

#mysqladmin version

MySQL 8.0.28 버전이 설치되었다. (여러분의 버전은 이것보다 높을 것입니다.)

 

기본 설정으로 MySQL 의 root 사용자는 auth_socket 인증을 사용하도록 설정되어 있으며, 따라서 리눅스 root 사용자는 비밀번호 입력없이 MySQL root 사용자로 로그인 할 수 있다.
추가적으로, auth_socket 이 설정된 사용자비밀번호 설정이 되지 않는다. (정확히 말하자면 비밀번호 설정은 되는데 그 값을 저장하지 않는다. 즉, 절대로 비밀번호 로그인 불가능)
다시 말해서, 기본적으로 root 사용자로 비밀번호 로그인을 할 수 없다는 것이다. (auth_socket 인증을 사용하도록 설정되어 있으므로)

굳이 기본 설정을 건드리지는 않겠다.


 

MySQL 8.0 부터 바뀐 서버 기본값 살펴보기 : https://dev.mysql.com/blog-archive/new-defaults-in-mysql-8-0/
MySQL 8.0 부터 기본 설정값이 적절하게 바뀌어 있으므로, 추가적인 설정을 하지 않고 바로 사용하면 됩니다.

추가적으로 변경을 원하는 값이 있다면, 다음의 명령어를 사용하여 값을 변경할 수 있다.

# vi /etc/mysql/mysql.conf.d/mysqld.cnf

 

웹UI를 사용하여 서버에 로그인

# cat /etc/mysql/debian.cnf

이 명령어를 사용해서 서버의 기본 최고관리자의 비밀번호를 확인한다.

조금전에 설치한 phpmyadmin 을 통해서 DB서버에 로그인 해 보도록 하자.

 

MySQL 사용자 계정 생성

빨간 부분만 입력하세요.

 

참고 : MySQL 사용자 계정 삭제하는 방법


이제 리눅스의 세계로~

 

11) 워드프레스 설치 예제

먼저 myuser1 계정으로 로그인합니다. (myuser1 계정으로 전환합니다.)
위의 9번 예제에서 myuser1 계정을 생성 했을 것입니다.

웹루트로 이동합니다.

# cd 52-79-173-82.nip.io/

워드프레스 최신버전을 다운받습니다.

# wget https://wordpress.org/latest.zip

 

압축해제

# unzip latest.zip

 

다운받은 설치파일 삭제

# rm latest.zip

 

워드프레스 구성파일을 wordpress 폴더에서 꺼내기

# mv wordpress/* .

 

사용하지 않는 wordpress 폴더 삭제

rmdir wordpress

웹사이트 접속 후 설치 진행!

웹브라우저에서 내 도메인 주소로 접속해보자.

필요한 정보는 이미 알고 있으므로, 편하게 설치를 진행해보세요.

 

6] 완성

완성! 적당히 테마 선택하시고 꾸미시면 됩니다.

워드프레스의 세계로!

 

마지막

여러분이 원하는 웹 소프트웨어를 다운 받아서 설치 및 구동해보세요!

11 Comments

  1. 안녕하세요 정말 좋은정보 잘읽었습니다^^
    하나 궁금한게 있는데요 22.04버전에 systemctl enable iptables해주고 서버리붓을 해도 자동기동이 안되는 이유를 알수 았을가요?

    systemctl list-unit-files |grep iptables 하면 나오는 내용입니다.
    iptables.service alias –

    1. 안녕하세요.
      Ubuntu 에서는 iptables 가 항상 동작합니다.
      iptables 는 서비스가 아니며, 서비스에 등록할 필요도 없습니다.

  2. 정말 감사합니다 .. 이 글엔 하트나 이런 거 누를 수 없나효 .? 흑 정말 감사합니다 무한감사 ㅠ

    1. 오 멋진 생각이네요. 하트 버튼 넣을 수 있는 플러그인이 있는지 한번 찾아봐야겠어요.

  3. AWS lightsail
    ubuntu 20.04
    php는 이 블로그대로 하면 8.0은 안 깔아지고 7.4가 깔아집니다 이거는 문제 없는데
    그냥 블로그대로 쭉 따라했을 뿐인데 https에서 주의 요함이라고 뜨고 있네요 ㅠ
    네트워크 문외한이라 이유는 알 수 없으며 그냥 이런 증상이 있다고만 댓글 쓰고 갑니다
    이 블로그에서 전의 버전 찾아서 한 번 해봐야겠어요!

    1. 아하 이런경우가 발생할 수도 있겠네요. 상단 메뉴에 20.04 설치글 링크 걸어두었습니다. 참고해보세요.

  4. 감사합니다. 단순히 설치하는 글들은 인터넷에 많은데
    보안과 관련된 부분까지 설명해 주셔서 도움이 됐습니다.

    1. 감사합니다. 상용으로 바로 적용하는한 설정방법입니다.

  5. 9번에 있는
    도메인을 사용해서 myphpinfo 페이지를 열어보도록 합시다. 아래의 파란부분을 자신에 맞게 수정하세요.

    http://52-79-173-82.nip.io/myphpinfo.php?q=ip-10-12-14-10에서
    10-12-14-10 은 어디서 확인을 하신걸까용??

  6. 천천히 좀 하다가 또 막혔습니다…
    certbot certonly –webroot –webroot-path 이쪽 진행중인데

    An unexpected error occurred:
    requests.exceptions.ConnectionError: HTTPSConnectionPool(host=’acme-v02.api.letsencrypt.org’, port=443): Max retries exceeded with url: /directory (Caused by NewConnectionError(‘: Failed to establish a new connection: [Errno -3] Temporary failure in name resolution’))

    이런 오류가 뜨고 있습니다 ㅠㅠ

Leave a Comment

작성하신 댓글은 관리자의 수동 승인 후 게시됩니다.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
*
*