'웹'에 해당되는 글 15건

서버 이관 작업

Apahce + PHP + Mysql

CAfe24의 하나의 서버를 우리쪽으로 이관 작업을 실시 하였다.

하나의 서버를  두대로 분리 작업을 실시 하여

WEB WAS  1대   ,,,,,,,,,, DB 1대를 두었다.

처음에는 이미지가 덜 복사 되었고, 이부분은 내가 작업을 하였고

두번째는 한글 파일이 제대로 안올라 왔다  DB를 덤프떠서 수작업으로

진행하니 되었다고 한다.

하지만 개발과정의 php 에러를 죄다 옵션을 꺼서 처리를 하였고

DB 컨넥션이 제대로 붙이지 않는 문제가 발생 하였다.

DB컨넥션에서 계속 문제가 발생하여 세션 디렉토리를 변경 하였다고 한다.

잘 해결 되어서 지금은 다 잘되고 있다.

서버 이관작업은 한번에 되는 경우가 많이 없는거 같다.

WeB서버튜닝.pdf

웹서버 튜닝하는법  

인터넷보면 수많은 튜닝 방법이 많다.

이론적인 이야기도 있고, 과연 맞는 말인가 하는것 들도 많다.

서버 튜닝의 목적은 가성비다. 제한된 H/W로 얼마나 많은 성능을 극대화 시키는 것이다.

결국 CPU나 메모리 회선 병목 현상이 적게 로드벨런스가 되어야 된다.

대학교 수강신청 테스트를 해보면 순간적으로 엄청난 트래픽이 발생된다.

메크로에 대한 방어 설정을 해놓지 않으면 서버가 뻗어 버리는 경우도 발생된다.

그럼 도대체 어떻게 튜닝을 해야 되나?

담당자가 서버 및 네트워크 구성도가 완벽하게 분석 되었다고 가정하고 서술하겠다.

1] 병목현상을 정확히 파악 해야 된다.

JVM쪽인지 아니면 로드벨런스가 제대로 되지 않는지 sql쪽인지 정확히 파악해야 된다.

JVM은 우선 Class PATH,   java heap 사이즈를 늘려주는 방법이 있다.

MVC 모델처럼  Apache에서(html, image, swf) 처리해야 될것은 철저히 분리 한다.

앞단에 두대정도 Apahce를 둔다. WAS서버는 4대면 충분하다. 

JVM쪽에 메모리릭이 발생된다면 jprobe같은걸 사용해도 좋다.

New eden영역

L7넷스케일러 스위치를 적절히 사용한다. 앞단의 Apache의 httpd.conf와 Max Client와

세션타임아웃값을 적절히 수정한다. 

 2] 무조건 JSP와 Oracle이다.

   두가지가 있다. 

   Jennifer soft의 APM(Application Performance Management)를 무조건 써야된다.

   성능 진단의 필수다. JVM모니터링 툴인데  악성 sql, 서버H/W상태, 

   초당 처리 속도 TPS(transfer per sec)가 나온다.

   ASP는 굉장히 어려운 환경이다. 윈도우서버라는 자체가 엄청난 고수가 아니고는 힘들다.

   IIS를 극대화시키기가 정말 힘들다. 그리고 업데이트시 계속 재부팅을 해야되는 경우도 발생 된다.

   PHP는 처음엔 정말 빠르다. 하지만 사람들이 몰리면 급격히 느려진다. 

   JSP는 메모리를 JVM에서 다 잡아 놓고 쓴다. 첨도 느리고 몰려도 그렇게 많이 느리지는 않다.

   GC를 많이 욕한다. 하지만 실제로 IIS나 PHP로 트래픽을 처리하는곳에 이야기를 들어보면 GC가 그나마 대안이다.

   IIS를 사용하는 곳은 장애가 발생되면 원인 조차 찾기 힘들다.

 3] 부하테스트를 해야된다.

   오라클 테스트 툴이나 그런 시나리오를 짜셔 부하를 만들어야 된다.

   여기서 가장 중요시 할 점은 내부에서도 테스트해서 성능을 극대화 시킨후

   꼭 외부에서 들어오는 네트워크 구성도 해보아야 한다는 것이다.

   모의해킹이나 취약점 진단도 IPS, 웹방화벽을 bypass하고 하는것과 그렇지 않은것에 차이가 있다.

   부하 테스트도 마찬가지다.

4] L7을 적극 활용하라

   L7기능은 막강하다.  와일드카드 공인인증서 설치는 기본이고 httpd.conf기능의 웬만한것을 거의다 구현이 가능하다.

   그리고 URL별 파싱이 가능하다. 플래쉬나 이미지 경로가 나오면 무조건 웹서버로 던지면 된다.

   L7 스위치가 제 일을 하면 WAS의 성능을 극대화 시킬수 있다.

이 글은 나의 주관적인 소견이다.

다른 분의 관점에서 다르게 생각할수도 있다.

큰 관점에서 취약점 점검이 합집합이고 그중 부분집합이 모의침투라 생각한다.

모의해킹? 모의침투는 같은 의미로 보면 된다.

자 그럼 취약점 점검은 어떻게 하고 모의 침투는 어떻게 하느냐?

취약점 점검

- 홈페이지 점검(OWASP , 국정원 8대)

- 서버 스크립트(주요정보통신기반시설 기술적 취약점 점검 항목)

- nessus, openvas

- 웹서버 설정 점검(사용자정의 에러페이지, 관리자페이지 접근 제한,취약한 파일 존재,불필요한 Method 활성화,구글 검색을 통한 중요정보 노출, 웹 서버 전용 호스트 구성(DMZ),관리자 및 시스템 파일 접근 제한,O/S 최신 버전 패치, 웹 서버 최신 패치)

웹서버 설정 점검은 스크립트 만으로 확인할수 없는 항목이나 유동적인 항목에 대해서 점검을 실시 하는것이다.

그리고 점검 전 웹방화벽, 서버보안 등 보안장비에 White List처리를 하고 점검을 실시 한다.

소스 코드 단의 문제점을 파악하기 위해 실시 한다.

실제 웹방화벽의 운영 실수나 장애로 인해 해킹사고가 발생된 경우도 있다.

다음은 모의 침투다.

실제 운영 환경과 동일한 환경에서 침투 한다.

웹방화벽이나 IPS등 실제 운용 중에서도 우회를 하거나 탐지 되더라도 계속 시도를 하여 본다.

권한우회나 xss를 16진수나 유니코드를 짬뽕시켜서 조합을 한다던지 sqli도 파라메터를 정말 적게 줘서 시도 해 본다. 성공을 못하더라도 나온 취약점들에 대한 보고서는 충분히 가치가 있다.

HTML5 활용 2010년도 만들었던 자료다.  

HTML5 활용.pptx

 SSO가 설치된 경우 Policy 서버에서 해당 쿠키에 대한 검증을 실시하여 CSRF 방어  Policy 서버에서는 최초 로그인시 클라이언트의 IP를 기록한 후 클라이언트가 서버를 이동할때 마다 소켓통신으로 해당 쿠키가 사용 가능한지 체크 후 인증 

[그림 1-1]