error탐정

/var/log/btmp : 로그인 실패를 기록하는 바이너리 타입의 로그파일

위 로그파일에 기록된 내용을 확인하는 명령어 lastb

아래 코드는 btmp파일 설정하는 부분

vi /etc/logrotate.conf
...
/var/log/btmp {
    missingok
    monthly
    create 0600 root utmp
    rotate 1
}
...

vi /etc/logrotate.conf에 보면 include /etc/logrotate.d라는 코드가 있다.

이 코드는 이 디렉토리의 파일들을 전부 불러들여서 log가 관리된다.

이 중 yum파일을 열어보면 vi /etc/logrotate.conf 에서의 log설정과 같다

vi /etc/logrotate.d/yum

/var/log/yum.log {
    missingok
    notifempty
    maxsize 30k
    yearly
    create 0600 root root
}

tomcat 8.5.57 사용중인데 취약한 버전이므로 버전업데이트 요청이 들어와서 작업하게 되었다.

마이너업데이트란 8.5.57에서 8.5.81처럼, 큰 틀은 톰캣 8.5버전이지만 세세하게 변경되는 사항들이 있으면 맨 뒤에 숫자가 커지면서 업데이트 되어 내놓는것을 말한다.

이미 운영중인 프로그램이기때문에 마이너업그레이드를 진행하기로 하였다.

현재 버전을 보는 방법은  아래와 같이 입력하게되면

톰캣위치/bin/version.sh

버전 정보가 나오게 된다.

8.5.81로 변경하는 방법은 간단하다.

1. https://tomcat.apache.org/download-80.cgi

2. 위 사이트에 접속해서 

노란색영역 tar.gz 오른쪽 마우스 눌러서 링크 복사

3. 톰캣 다운로드를 위한 아래와 같은 과정 진행

설치
# yum install wget
...
Is this ok [y/d/N] : y
...
톰캣최신버전 업데이트받을 위치 이동해서 아래와 같이 다운로드
$ cd /home
$ wget https://dlcdn.apache.org/tomcat/tomcat-8/v8.5.81/bin/apache-tomcat-8.5.81.tar.gz

tar.gz 압축풀기 
$ tar -zxvf apache-tomcat-8.5.81.tar.gz

기존라이브러리 백업
$ mv /home/www-apache-tomcat-8.5.57/lib /home/www-apache-tomcat-8.5.57/lib_back

기존톰캣에 업데이트된 라이브러리만 교체
$ cp -r /home/apache-tomcat-8.5.81/lib /home/www-apache-tomcat-8.5.57/

최신라이브러리를 넣어준 기존 톰캣디렉토리명을 최신버전인 8.5.81로 변경해주기
$ mv /home/www-apache-tomcat-8.5.57 /home/www-apache-tomcat-8.5.81

4. 톰캣 버전 8.5 수동 업그레이드시 lib 폴더만 갈아껴주고 재시작을 하면된다는 말이 있는데, 내 경우에는 재시작시 아래와 같은 오류가 발생했다

12-Aug-2022 11:04:34.860 심각 [main] org.apache.catalina.core.StandardService.initInternal Failed to initialize connector [Connector[HTTP/1.1-8553]] org.apache.catalina.LifecycleException: 구성요소 [Connector[HTTP/1.1-8553]]을(를) 초기화하지 못했습니다. at org.apache.catalina.util.LifecycleBase.handleSubClassException(LifecycleBase.java:440) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:139) at org.apache.catalina.core.StandardService.initInternal(StandardService.java:571) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:136) at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:874) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:136) at org.apache.catalina.startup.Catalina.load(Catalina.java:646) at org.apache.catalina.startup.Catalina.load(Catalina.java:669) at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) at java.lang.reflect.Method.invoke(Method.java:498) at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:302) at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:472) Caused by: java.lang.NoSuchMethodError: org.apache.tomcat.util.buf.UriUtil.isAbsoluteURI(Ljava/lang/String;)Z at org.apache.tomcat.util.file.ConfigFileLoader.getInputStream(ConfigFileLoader.java:77) at org.apache.tomcat.util.net.SSLUtilBase.getStore(SSLUtilBase.java:198) at org.apache.tomcat.util.net.SSLHostConfigCertificate.getCertificateKeystore(SSLHostConfigCertificate.java:207) at org.apache.tomcat.util.net.SSLUtilBase.getKeyManagers(SSLUtilBase.java:282) at org.apache.tomcat.util.net.SSLUtilBase.createSSLContext(SSLUtilBase.java:246) at org.apache.tomcat.util.net.AbstractJsseEndpoint.createSSLContext(AbstractJsseEndpoint.java:106) at org.apache.tomcat.util.net.AbstractJsseEndpoint.initialiseSsl(AbstractJsseEndpoint.java:72) at org.apache.tomcat.util.net.NioEndpoint.bind(NioEndpoint.java:205) at org.apache.tomcat.util.net.AbstractEndpoint.bindWithCleanup(AbstractEndpoint.java:1221) at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:1234) at org.apache.tomcat.util.net.AbstractJsseEndpoint.init(AbstractJsseEndpoint.java:230) at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:633) at org.apache.coyote.http11.AbstractHttp11Protocol.init(AbstractHttp11Protocol.java:80) at org.apache.catalina.connector.Connector.initInternal(Connector.java:1112) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:136) ... 12 more

5. lib폴더 뿐만아니라 bin폴더에 있는 gz파일들이랑 jar파일들도 옮겨주고 재시작하면 업데이트가 완료된다.

(주의할 것은 bin폴더 gz파일와 jar파일만 옮기고 bin폴더 통째로 옮기지 않기. catalina.sh파일 등 설정이 필요할 파일들이 있기때문)

기존 bin 백업
$ mv /home/www-apache-tomcat-8.5.81/bin /home/www-apache-tomcat-8.5.81/bin_back

wget로 다운받아서 압축 풀은 새 톰캣 bin으로 이동
$ cd /home/apache-tomcat-8.5.81/bin

기존톰캣에 업데이트된 라이브러리만 교체
$ cp *.jar /home/www-apache-tomcat-8.5.81/bin
$ cp *.tar.gz /home/www-apache-tomcat-8.5.81/bin

6. 그리고나서 바꿔준 파일들을 교체해준 bin폴더와 lib폴더의 파일들 권한들도 기존 파일들 권한이랑 비교해서 동일하지않으면 권한을 맞춰준다.

7. 마지막으로 톰캣 재시작

/home/www-apache-tomcat-8.5.81/bin/shutdown.sh
/home/www-apache-tomcat-8.5.81/bin/startup.sh

끝!

# 현재 openssl 버전확인
openssl version

버전 : OpenSSl 1.-.2k-fips 26 Jan 2017
 

# 현재 최신 버전 다운로드
wget https://www.openssl.org/source/openssl-1.1.1q.tar.gz --no-check-certificate

# 압축 해제
tar xvfz openssl-1.1.1q.tar.gz

# 압축 해제된 경로로 이동하여 소스 컴파일 진행
cd /home/myproject/openssl-1.1.1q
./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib

# 설치 진행
make && make install

# 주요 심볼릭 링크 설정 필요
ln -s /usr/local/ssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/ssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

# 업데이트 완료 버전 다시 확인
openssl version

버전 : OpenSSL 1.1.1q  5 Jul 2022

위에서 사용하는 [현재 최신 버전 다운로드] 주소 가져오는 방법 
1. https://www.openssl.org/source/ 접속
2. Downloads 메뉴 클릭하면 아래와 같다

3. 최신 버전 확인해보니

4. 링크 주소 복사

참고링크

> 공유폴더  목록 확인

1. cmd창에서 확인

net share

2. 제어판 > 모든 제어판 항목 > 관리 도구>컴퓨터 관리

> 공유 제한

mysql 버전 확인

1. 쉘 접속 후 명령어로

mysql -V

2. mysql 접속 후 명령어로

select version();

centOS 버전 확인

cat /etc/system-release
cat /etc/centos-release
rpm --query centos-release

Apache 버전 확인

httpd -v

해당 오류는 만료된 SSL 인증서를 사용하고 있어서 나오는 오류이다.

그래서 인증서정보를

자물쇠 버튼을 누르고

해당 항목을 눌러 확인해보니

갱신되어있는 상태다 

새로고침을 계속해보다보니

이번엔 쌩뚱맞게 갱신이 안되있다고한다

그런데 분명 나는 SSL인증서를 갱신을 했고 확인을 했었다.

HAproxy로 4개톰캣을 라운드로빈 중이라 톰캣쪽의 문제라 추측

(haproxy로 라운드로빈으로 돌아가니까, 특정 톰캣은 설정이 만료된 ssl 사용하고있어서 나오는 오류라 추측. )

그러나 HAproxy의 jks를 확인해봤으나 설정에 문제는 없어보였다. (4개 톰캣 모두 동일한 설정되있음.)

그럼 이럴땐 reboot로 깔끔하게 재부팅한다

재부팅하고 톰캣 살려주고 haproxy도 시작해주니 해당 오류가 사라졌다.

혹시라도 ERR_CERT_DATE_INVALID 해당 오류가 생겼다면 ssl 만료 여부를 확인하고

갱신을 했는데도 해당 오류가 뜬다면 깨끗하게 reboot를 하자.

ssl 설치시 20220407이란 키워드는 작성자가 임의로한 문자이므로 수정해도 무관함.

# haproxy 다운
yum install -y haproxy

# ssl 다운 
openssl genrsa -des3 -out ssl_20220407.key 2048
openssl req -new -key ssl_20220407.key -out ssl_20220407.csr
openssl rsa -in ssl_20220407.key -out ssl_20220407_nopass.key
openssl x509 -req -days 365 -in ssl_20220407.csr -signkey ssl_20220407_nopass.key  -out ssl_20220407.crt
openssl pkcs12 -export -in ssl_20220407.crt -inkey ssl_20220407.key -out ssl_20220407.p12 -name tomcat

# pem파일 생성 (생성하고 싶은 위치에 생성하세요)
cat  ssl_20220407_nopass.key ssl_20220407.crt > ./ssl_20220407.pem

# 설정파일 수정
vi /etc/haproxy/haproxy.cfg

vi 로 열었던것을 캡처사진과 같이 추가해준다.

그리고나서 사용할 톰캣 server.xml을 열고

위에서 ssl 설치시 생성했던 p12 파일은 경로포함해서 keystoreFile에 넣고 저장

keystorePass는 설치시 등록했던 비밀번호이므로 해당하는 정보를 입력한 후

다른 정보들은 그대로 위 캡처본과 같이 입력하고 저장한다.

마지막으로 톰캣을 실행한 후 (톰캣 bin/startup.sh 파일 실행)

haproxy 재시작한다. ( systemctl restart haproxy)

netstat -nptl | grep 443 의 결과가 아래와 같이 나오면 브라우저에서 https가 적용됬는지 확인해보자

만약에 포트가 안뜬다면 443 포트를 추가한다

firewall-cmd --permanent --zone=public --add-port=443/tcp

이렇게 추가 하게 되면 /etc/firewalld/zones/public.xml 여기서 확인하는데 추가 한뒤에

꼭 반드시 반드시 firewall-cmd --reload 방화벽 재시작을 해야한다.

 firewall-cmd --reload

혹시 

2022.04.07 - [개발/오류] - Setting tune.ssl.default-dh-param to 1024 by default, if your workload permits it you should set it to at least 2048. Please set a value >= 1024 to make this warning disappear

해당 오류가 나온다면 이전 포스팅을 참고하기

openssl 설치 더 상세하게 보고 싶다면 이전 포스팅 참고하기

2022.01.25 - [개발/리눅스] - 리눅스 사설아이피 openssl 설치

[WARNING] 095/190652 (2847) : Setting tune.ssl.default-dh-param to 1024 by default, if your workload permits it you should set it to at least 2048. Please set a value >= 1024 to make this warning disappear

haproxy 실행하면 해당 WARNIG이 나온 상황이다.

나의 경우엔 openssl을 사용했고 요청이 haproxy로 들어온다.

이를 해결하기 위해서

 # haproxy 파일 편집기로 열기
 vi /etc/haproxy/haproxy.cfg 
 
 # global 부분에 하위쪽 보면
 stats socket /var/lib/haproxy/stats
 # 이런게있음. 그 아래에
 ssl-default-bind-options no-sslv3
 tune.ssl.default-dh-param 2048
 
 # 저장하고 나와서
 # haproxy 재시작
 systemctl restart haproxy 
 # 또는
 /usr/sbin/haproxy -D -f /etc/haproxy/haproxy.cfg -p /var/run/haproxy.pid

재시작 후에 해당 WARNIG이 사라졌다.