반응형

ssl 설치시 20220407이란 키워드는 작성자가 임의로한 문자이므로 수정해도 무관함.

# haproxy 다운
yum install -y haproxy

# ssl 다운 
openssl genrsa -des3 -out ssl_20220407.key 2048
openssl req -new -key ssl_20220407.key -out ssl_20220407.csr
openssl rsa -in ssl_20220407.key -out ssl_20220407_nopass.key
openssl x509 -req -days 365 -in ssl_20220407.csr -signkey ssl_20220407_nopass.key  -out ssl_20220407.crt
openssl pkcs12 -export -in ssl_20220407.crt -inkey ssl_20220407.key -out ssl_20220407.p12 -name tomcat

# pem파일 생성 (생성하고 싶은 위치에 생성하세요)
cat  ssl_20220407_nopass.key ssl_20220407.crt > ./ssl_20220407.pem

# 설정파일 수정
vi /etc/haproxy/haproxy.cfg

pem 경로를 아까 생성한 대로 입력해준다.

vi 로 열었던것을 캡처사진과 같이 추가해준다.

 

그리고나서 사용할 톰캣 server.xml을 열고

위에서 ssl 설치시 생성했던 p12 파일은 경로포함해서 keystoreFile에 넣고 저장

 

keystorePass는 설치시 등록했던 비밀번호이므로 해당하는 정보를 입력한 후

 

다른 정보들은 그대로 위 캡처본과 같이 입력하고 저장한다.

 

마지막으로 톰캣을 실행한 후 (톰캣 bin/startup.sh 파일 실행)

 

haproxy 재시작한다. ( systemctl restart haproxy)

 

netstat -nptl | grep 443 의 결과가 아래와 같이 나오면 브라우저에서 https가 적용됬는지 확인해보자

 

만약에 포트가 안뜬다면 443 포트를 추가한다

firewall-cmd --permanent --zone=public --add-port=443/tcp

이렇게 추가 하게 되면 /etc/firewalld/zones/public.xml 여기서 확인하는데 추가 한뒤에

 

꼭 반드시 반드시 firewall-cmd --reload 방화벽 재시작을 해야한다.

 firewall-cmd --reload

혹시 

2022.04.07 - [개발/오류] - Setting tune.ssl.default-dh-param to 1024 by default, if your workload permits it you should set it to at least 2048. Please set a value >= 1024 to make this warning disappear

해당 오류가 나온다면 이전 포스팅을 참고하기

 

openssl 설치 더 상세하게 보고 싶다면 이전 포스팅 참고하기

2022.01.25 - [개발/리눅스] - 리눅스 사설아이피 openssl 설치

반응형
저작자표시 비영리 동일조건

'개발 > 리눅스' 카테고리의 다른 글

리눅스 tomcat 마이너업그레이드 8.5.57 to 8.5.81 방법  (0) 2022.08.19
리눅스 openssl 업데이트 방법  (0) 2022.08.10
방화벽 설정 방법 / 포트 허용 / IP 허용  (0) 2022.02.25
pem파일로 ssl인증서 만료일 등 정보 확인  (0) 2022.02.25
CVE-2021-4034 리눅스 취약점 임시조치  (0) 2022.02.25
반응형
[WARNING] 095/190652 (2847) : Setting tune.ssl.default-dh-param to 1024 by default, if your workload permits it you should set it to at least 2048. Please set a value >= 1024 to make this warning disappear

haproxy 실행하면 해당 WARNIG이 나온 상황이다.

 

나의 경우엔 openssl을 사용했고 요청이 haproxy로 들어온다.

 

이를 해결하기 위해서

 # haproxy 파일 편집기로 열기
 vi /etc/haproxy/haproxy.cfg 
 
 # global 부분에 하위쪽 보면
 stats socket /var/lib/haproxy/stats
 # 이런게있음. 그 아래에
 ssl-default-bind-options no-sslv3
 tune.ssl.default-dh-param 2048
 
 # 저장하고 나와서
 # haproxy 재시작
 systemctl restart haproxy 
 # 또는
 /usr/sbin/haproxy -D -f /etc/haproxy/haproxy.cfg -p /var/run/haproxy.pid

재시작 후에 해당 WARNIG이 사라졌다.

반응형
저작자표시 비영리 동일조건

'개발 > 오류' 카테고리의 다른 글

Mixed Content. This request has been blocked; the content must be served over HTTPS.  (0) 2022.09.30
net::ERR_CERT_DATE_INVALID  (0) 2022.04.19
java.io.IOException: 파일 [.../META-INF/war-tracker]을(를) 생성할 수 없습니다 해결  (0) 2022.04.07
shell-init: error retrieving current directory: getcwd: cannot access parent directories: 그런 파일이나 디렉터리가 없습니다  (0) 2022.02.18
오류 java.sql.SQLException: Too many connections 해결  (0) 2022.01.19
반응형

배포하기 전에

 

war 파일에서 "META-INF/war-tracker" 파일을 제거한 후

 

다시 war로 묶어서 배포하면 됩니다.

반응형
저작자표시 비영리 동일조건

'개발 > 오류' 카테고리의 다른 글

net::ERR_CERT_DATE_INVALID  (0) 2022.04.19
Setting tune.ssl.default-dh-param to 1024 by default, if your workload permits it you should set it to at least 2048. Please set a value >= 1024 to make this warning disappear  (0) 2022.04.07
shell-init: error retrieving current directory: getcwd: cannot access parent directories: 그런 파일이나 디렉터리가 없습니다  (0) 2022.02.18
오류 java.sql.SQLException: Too many connections 해결  (0) 2022.01.19
Request method 'GET' not supported 오류  (0) 2021.06.23
반응형

1. 특정 포트 허용/삭제

 

# 80 번 포트 허용
firewall-cmd --permanent --zone=public --add-port=80/tcp

 

# 80번 포트 삭제

firewall-cmd --permanent --zone=public --remove-port=80/tcp

2. 특정 IP 허용/삭제

# 192.168.0.1 IP 허용
firewall-cmd --permanent --zone=public --add-source=192.168.0.1

# 192.168.0.1 IP 삭제
firewall-cmd --permanent --zone=public --remove-source=192.168.0.1

3. 서비스 허용/삭제
# firewall-cmd --permanent --zone=public --add-service=http
# firewall-cmd --permanent --zone=public --remove-service=http
* /usr/lib/firewalld/services 에 해당 서비스 xml 룰 파일이 존재해야함.

위 명령어들을 적용시키려면 firewall-cmd --reload 명령어로 서비스 재시작.

반응형
저작자표시 비영리 동일조건

'개발 > 리눅스' 카테고리의 다른 글

리눅스 openssl 업데이트 방법  (0) 2022.08.10
openssl 적용한 후 haproxy적용하는 방법  (0) 2022.04.07
pem파일로 ssl인증서 만료일 등 정보 확인  (0) 2022.02.25
CVE-2021-4034 리눅스 취약점 임시조치  (0) 2022.02.25
리눅스 사설아이피 openssl 설치  (0) 2022.01.25
반응형

https://hiseon.me/tools/online-ssl-checker/

 

SSL 인증서 확인 사이트 - HiSEON

SSL 인증서 확인 사이트 SSL 인증서 확인 도구 (점검, 테스트, 만료) SSL 인증서 확인 사이트 SSL 연결 체크, SSL 인증서 만료일 확인, SSL 인증서 오류 검사, SSL 오류 해결 등 온라인 SSL 인증서 테스트를

hiseon.me

 

해당사이트에 들어가서

 

 

 

위 textarea에 pem파일 텍스트를 붙여넣고 확인 버튼을 누르면

 

아래에 

 

 

이와 같이 ssl관련 정보들이 나온다.

 

갱신할 ssl 파일들의 만료일을 알 수 있었다.

반응형
저작자표시 비영리 동일조건

'개발 > 리눅스' 카테고리의 다른 글

openssl 적용한 후 haproxy적용하는 방법  (0) 2022.04.07
방화벽 설정 방법 / 포트 허용 / IP 허용  (0) 2022.02.25
CVE-2021-4034 리눅스 취약점 임시조치  (0) 2022.02.25
리눅스 사설아이피 openssl 설치  (0) 2022.01.25
CVE-2021-4104 취약점 해당 여부 확인하기 JMSAppeder  (0) 2021.12.17
반응형
취약점 내용

- 공격자는 권한이 없는 일반 사용자로 접속한 후 polkit* 패키지 내 pkexec* 취약점을 이용해 root 권한을 갖게된다

 

영향을 받는 버전

Polkit 0.120 포함 이전 버전이 설치된 리눅스 서버

 

임시조치 방안

chmod 0755 /usr/bin/pkexec

 

설명

먼저 버전확인을 위해 아래와 같이 명령어를 입력한다.

[root@   ~]# rpm -qa | grep polkit
polkit-0.112-22.el7_7.1.x86_64

 

해당 명령어를 통해 0.112 버전을 확인하고 0.120 이전버전이므로 아래와 같이 한번 더 명령어를 입력

[root@   ~]# rpm -ql polkit-0.112-22.el7_7.1.x86_64
... 
/usr/bin/pkexec
...

/usr/bin/pkexec 파일이 존재함을 확인된다면

 

아래와 같이 순서대로 진행한다.

 

 

위 이미지처럼

 

기존에는 pkexec는 권한이 없는 일반사용자도 해당 파일을 실행할때 일시적으로 소유자의 권한을 얻어 root로 실행가능했다.  -rws

 

취약점 임시조치를 위해 권한 변경으로 인해 chmod 0755 /usr/bin/pkexec

 

일반사용자는 해당 파일을 실행할 수 없도록 수정된다. -rwxr

 

기존의 s는 setuid라고 하며, 이는 실제 실행하고 있는 사용자가 root소유자 권한으로 실행할 수 있는 권한을 갖는다

 

반응형
저작자표시 비영리 동일조건

'개발 > 리눅스' 카테고리의 다른 글

방화벽 설정 방법 / 포트 허용 / IP 허용  (0) 2022.02.25
pem파일로 ssl인증서 만료일 등 정보 확인  (0) 2022.02.25
리눅스 사설아이피 openssl 설치  (0) 2022.01.25
CVE-2021-4104 취약점 해당 여부 확인하기 JMSAppeder  (0) 2021.12.17
취약점 이슈 log4j 버전확인 명령어 정리  (0) 2021.12.14
반응형
<button type="button" onclick="fn_download()">파일 다운로드</button>
<form id="downForm" method="post" action="파일주소"></form>

 

파일 다운로드 버튼 클릭시 현재 날짜와 기준 날짜를 비교하여 다운로드 여부를 alert창으로 띄운다.

 

<script type="text/javascript">
function fn_download(){
	var now_date = new Date(); // 현재 날짜
	var sel_date = new Date(2022, 1, 1);  // 비교 대상 날짜  

   
	if(now_date >= sel_date){
		$("#downForm").submit();
	}else{
		alert("해당 파일은 2월 1일부터 다운로드 가능합니다");
	}
}
</script>

 

주의할 것은 2월인데 1로 한 이유는 0부터 시작하기 때문

반응형
저작자표시 비영리 동일조건

'개발 > etc' 카테고리의 다른 글

인텔리제이 자주쓰는 단축키모음(계속 추가예정)  (2) 2022.10.04
Unexpected number in JSON at position 숫자 : 오류원인 및 해결방법  (0) 2022.09.30
log4j to log4j2 마이그레이션 중 오류 LogConfigurationException  (0) 2022.02.03
HAProxy 정의/구성/동작  (0) 2021.10.26
html 체크박스 readonly 방법 / 체크박스 체크 디폴트 해제 막기  (0) 2021.04.14
반응형

shell-init: error retrieving current directory: getcwd: cannot access parent directories: 그런 파일이나 디렉터리가 없습니다

 

처음보는 오류가 발생 ~

 

번역기 돌려보니

shell-init: 현재 디렉토리 검색 오류: getcwd: 상위 디렉토리에 액세스할 수 없습니다.

라는 뜻

 

나의 경우엔 ftp로 톰캣 war를 배포할때 잘못 배포된것 같긴한데 뭐가 잘못됬는지몰라서

 

관련 디렉토리를 삭제하고 다시 war배포하고 deploy 한 후

 

톰캣 재기동시 나온오류였다.

 

 

삭제했던 디렉토리에서 쉘접속한 상태로 머물러 톰캣 시작 실행파일인 startup.sh 를 실행시키니까

 

너가 있는 곳은 존재하지 않는곳인데 거기서 실행하지 말라는 의미이다

 

그래서 루트로 한번 갔다가 다시 startup.sh 를 실행하니까 오류가 사라짐

반응형
저작자표시 비영리 동일조건

'개발 > 오류' 카테고리의 다른 글

Setting tune.ssl.default-dh-param to 1024 by default, if your workload permits it you should set it to at least 2048. Please set a value >= 1024 to make this warning disappear  (0) 2022.04.07
java.io.IOException: 파일 [.../META-INF/war-tracker]을(를) 생성할 수 없습니다 해결  (0) 2022.04.07
오류 java.sql.SQLException: Too many connections 해결  (0) 2022.01.19
Request method 'GET' not supported 오류  (0) 2021.06.23
The content of elements must consist of well-formed character data or markup.  (0) 2021.01.05

+ Recent posts

티스토리툴바