phpMyAdmin은 DB 관리를 Web UI를 통해서 할 수 있도록 도와주는 웹 애플리케이션입니다. DB 관리를 콘솔로 하려면 까다로운 부분이 많은데, 그래서 phpMyAdmin은 매우 유용합니다.
~$ sudo apt-get install phpmyadmin
phpMyAdmin의 설치가 모두 끝났으니 아파치 서버를 재시작 해줍니다.
~$ sudo service apache2 restart
이제 http://내부IP주소/phpmyadmin 또는 http://도메인주소/phpmyadmin으로 접속하여 GUI로 DB 관리를 할 수 있습니다.
이런 저런 이유로 포스팅을 한동안 할 수 없었다.
13강에서는 원래 하려고 했던게 아니라 HTTPS 보안 연결에 대해서 포스팅 해본다. 사실 작년에 StartSSL로 HTTPS 연결을 시도하다가 인증서를 날려먹어 접어두었었다. 그러다가 갑자기 생각이 나서 다시 시도하게 되었다.
한국의 웹 환경을 생각해보자. 보안이 필요하다 싶은 곳은 전부다 액티브X로 도배가 되어있다. 요즘은 액티브X를 없앤다고 하는데 액티브X를 사용하지는 않지만 똑같은 프로그램을 액티브X가 아닌 다른 방식으로 설치하는 식이다. 결국 똑같다. 해외의 웹 환경을 경험해보면 좋은 비교가 된다. 해외 직구를 위해 결제라도 하나 해보게 되면, 너무 확연하게 차이가 남을 즉시 느낄 수 있을 것이다. 보안 프로그램 설치? 없다. HTTPS 보안 연결 하나로 끝이다. 개인 웹서버에 HTTPS 연결을 설정한다면 그와 비슷한 수준의 보안이 보장될 수 있다.
개인 웹서버에 HTTPS 연결이 무슨 필요나 할 수도 있겠지만, ownCloud에서는 HTTPS 연결을 권장하고 있다. 비교적 털릴 것이 없는 보통 사람이라고 해서 보안에 신경쓰지 않아도 되는 것은 아니다. HTTPS에 대한 복잡한 논의들이 있지만, 일단 보안에 굉장히 취약한 자작 NAS를 위해 HTTPS 연결을 설정해보자.
무료로 SSL 인증서를 발급해 주는 곳은 몇 군데 있다. StartSSL, WoSign, Let’s Encrypt 등. 나는 세 군데 모두에서 SSL 인증서를 발급받아 보았다. 각기 장단점이 있는데 간략하게 적어본다.
그래서 선택은 Let’s Encrypt다. 이 사이트에 대한 더 자세한 정보를 소개한다.
Let’s Encrypt
Lets’ Encrypt는 HTTPS를 사용하기 위해 SSL을 구매해야 하는 부분이 HTTPS 보급에 방해된다고 생각해서 SSL을 무료로 제공해서 HTTPS를 보급하기 위해 작년 말에 만들어졌다. 초기에는 Mozilla, Cisco, Akamai, EFF, id entrust 등이 모여서 ISRG(Internet Security Research Group)라는 새로운 SSL 인증기관을 만들어서 올해 SSL을 무료로 제공하겠다고 발표했다. 지금은 이 Lets’ Encrypt에 Facebook, 워드프레스를 만드는 Automattic, shopify 등 많은 회사가 스폰서로 참여하고 있다.
우리가 지금까지 구축한 서버의 환경은 운영체제가 Ubuntu Server 14.04 LTS 이고, 웹 서버는 Apache2 를 이용하고 있다. 같은 환경이 아니면 설치 방법이 달라질 수 있으니 유의해야 한다. 설치과정은 Let’s Encrypt 사이트의 Getting Started 문서를 따라 진행된다.
먼저 git 패키지를 설치한다. 설치되어 있지 않으면 GitHub에서 소스를 내려받을 수 없다.
~$ sudo apt-get install git
콘솔을 이용하여 서버에 SSH로 접속을 한 후 다음 명령어를 순서대로 입력한다.
~$ git clone https://github.com/letsencrypt/letsencrypt ~$ cd letsencrypt ~$ ./letsencrypt-auto --help
한줄 한줄 순서대로 설명을 하면,
1) GitHub에 있는 Let’s Encrypt 소스를 내려받고, (letsencrypt 디렉토리에 내려받는다)
2) letsencrypt 디렉토리에 들어가서,
3) letsencrypt-auto 를 실행한다.
세 번째 줄을 입력하게 되면, 알아서 의존성 관련 패키지들을 다운받고 설치한다. 꽤 많다.
여기까지 왔으면 거의 다 했다.
이제 다음 명령을 사용하면 끝이다(?).
~$ ./letsencrypt-auto
자신이 설정한 가상호스트에 따라서 목록은 많을 수도 있고 적을 수도 있다. HTTPS를 설정하고자 하는 도메인을 체크한 후, OK를 누른다.
이메일을 입력하라는 창이 뜨는데 이메일을 잘 기입한다. 마지막으로는 Easy와 Secure가 뜰 것이다.
Easy는 HTTP와 HTTPS 연결 모두를 허용하는 것이고,
Secure는 HTTPS 연결만 되도록 하는 것인데, 상황에 따라 결정하면 될 것이다.
나는 후자를 선택했다.
일단은 이게 끝이다. 간단해서 좋다.
만약 가상호스트 설정에서 HTTPS 연결을 위한 설정을 해놨다면 알아서 수정을 해놨을 것이다.
이전에 설정해 놓지 않았다면, /etc/apache2/sites-available 디렉토리에 들어가서 파일 목록을 확인해 보라.
가상호스트 파일의 이름이 owncloud.conf 인 경우, owncloud-le-ssl.conf 가 새로 생겼을 것이다. 알아서 HTTPS 연결을 위한 설정 파일을 생성해 준다. (새로 생성한 파일 끝에는 -le-ssl가 붙는다)
그래서 끝이다.
덧글, 2016년 3월 16일 기준으로 이 블로그에도 HTTPS 보안 연결이 설정 되었다.
xianchoi.kr이 나스와 연결되었다.
cloud.xianchoi.kr도 나스와 연결되었다.
blog.xianchoi.kr도 나스와 연결되었다.
같은 나스이기 때문에 할당된 아이피 주소가 동일하다.
원래는 하나의 아이피에 하나의 도메인만 연결이 가능하지만,
가상호스트는 하나의 아이피 주소에 여러 개의 도메인을 연결할 수 있게 해준다.
역시 ssh에서 작업한다.
우선 가상호스트에 연결할 디렉토리를 Apache 서버에 등록해줘야 한다.
sudo vi /etc/apache2/apache2.conf
중간 쯤으로 내리면 아래와 같은 폼의 내용이 나온다.
다음 내용을 복사하여 해당사항에 맞게 수정해서 중간에 대충 삽입한다.
<Directory 연결할경로>
Options FollowSymlinks
AllowOverride All
Require all granted
</Directory>
그리고 이제 가상호스트 정보를 포함한 사이트 설정을 추가하여 Apache 서버에 사이트를 등록한다.
기본 사이트 설정을 복사해서 새로운 사이트 설정을 만들어준다.
cd /etc/apache2/sites-available sudo cp 000-default.conf 사이트명.conf sudo vi /etc/apache2/sites-available/사이트명.conf
해당사항에 맞게 ServerName, ServerAlias, ServerAdmin, DocumentRoot를 수정한다.
다음은 실제 owncloud를 위해 사용하고 있는 설정이니 참고한다.
<VirtualHost *:80>
# The ServerName directive sets the request scheme, hostname and port that
# the server uses to identify itself. This is used when creating
# redirection URLs. In the context of virtual hosts, the ServerName
# specifies what hostname must appear in the request's Host: header to
# match this virtual host. For the default virtual host (this file) this
# value is not decisive as it is used as a last resort host regardless.
# However, you must set it for any further virtual host explicitly.
#ServerName www.example.com
ServerName cloud.xianchoi.kr (연결할 도메인 주소를 쓴다)
ServerAlias cloud.xianchoi.kr
ServerAdmin 이메일주소
DocumentRoot 연결할 폴더 경로
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
# error, crit, alert, emerg.
# It is also possible to configure the loglevel for particular
# modules, e.g.
#LogLevel info ssl:warn
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
# For most configuration files from conf-available/, which are
# enabled or disabled at a global level, it is possible to
# include a line for only one particular virtual host. For example the
# following line enables the CGI configuration for this host only
# after it has been globally disabled with "a2disconf".
#Include conf-available/serve-cgi-bin.conf
</VirtualHost>
설정을 마쳤으니 사이트를 등록하고 아파치 서버를 재시작 해준다.
sudo a2ensite 사이트명.conf sudo service apache2 restart
이것이 앞으로 여러 곳에서 유용하게 쓰일 용도에 따른 서브도메인을 연결하는 기본 과정이다.
내가 만약 owncloud를 설치했다. 그렇다면 접속하는 주소로써
xianchoi.kr/owncloud
cloud.xianchoi.kr
이 둘 중에 어느 것이 더 좋겠는가?
서브도메인을 활용하는 것이 더 좋다고 생각된다. 서비스에 따라서 3차 도메인으로 구분을 짓는 것이 웹서버 운용에 있어서 편리하다.
xianchoi.kr/blog, xianchoi.kr/cloud, xianchoi.kr/wiki 보다는
blog.xianchoi.kr, cloud.xianchoi.kr, wiki.xianchoi.kr 이 미관상으로도 좋다.
굳이 서브도메인으로 연결하지 않아도 되겠다면 이 부분은 지나가도 상관없다.
지난 시간에는 웹서버 운영을 위해 필수적인 APM을 설치했다. 그중에서도 가장 기본적이고 필수적인 것은 아파치(Apache) 서버다. 아파치 서버가 있어야 웹페이지를 보여줄 수 있다.
이 블로그에 연결된 xianchoi.kr 도메인의 기본 접속 주소인 xianchoi.kr과 www.xianchoi.kr에 접속하면 “Hello, World!” 라는 글자만 써있다. 아파치 기본 디렉토리에 “Hello, World!”가 쓰여진 index.php 밖에 없기 때문이다. 이렇듯 아파치 기본 디렉토리는 최상위 도메인과 www 서브도메인과 연결된다.
아파치를 설치하게 되면 기본적으로 설정되는 디렉토리는 다음과 같다.
/var/www/html/
이제 이 디렉토리를 변경할 것이다. 변경하지 않아도 된다! 그러나 관리의 편리함을 위하여 사용자 홈 디렉토리 밑으로 이동시킬 것이다. NAS에서 중요한 건 파일 관리니까 말이다.
수정해야할 파일은 다음과 같다.
/etc/apache2/apache2.conf /etc/apache2/sites-available/000-default.conf
나의 경우는 웹서버 관리를 편하게 하고자 다음과 같은 경로로 했다.
/home/사용자이름/apm(임의로 지은 이름)/www
그리고 앞으로 설치할 ownCloud며 WordPress며 모두 apm디렉토리 밑에 두었다.
/apm/owncloud 나 /apm/wordpress 같이 말이다.
이 부분은 각 프로그램을 설치하면서 다시 이야기할 부분이다.
변경할 디렉토리를 만들어준다.
mkdir /home/사용자이름/apm mkdir /home/사용자이름/apm/www
이제 apache2.conf를 수정한다.
sudo vi /etc/apache2/apache2.conf
페이지 다운으로 넘어가다 보면 다음과 같은 부분이 나온다.
<Directory /var/www/html>
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
/var/www/html 이 부분을 원하는 경로로 수정한다.
<Directory /home/사용자이름/apm/www>
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
이제 다음 파일을 수정한다.
sudo vi /etc/apache2/sites-available/000-default.conf
ServerAdmin에 관리자 이메일을 쓰고
DocumentRoot에 apache2.conf에서 수정한 경로를 쓴다.
도메인을 연결해야 하니 다음을 추가한다.
ServerName 도메인주소 ServerAlias 도메인주소
그러면 다음과 같이 된다.
ServerName 도메인주소 ServerAlias 도메인주소 ServerAdmin 이메일주소 DocumentRoot /home/사용자이름/apm/www
이제 재시작해준다(다음 부분까지 작업한다면 지금 재시작 할 필요는 없다).
sudo service apache2 restart
아파치 기본 디렉토리를 사용자 홈 디렉토리로 옮겼다. 여기서 문제가 발생한다.
권한 문제가 발생하게 되는데, 웹에서 접근하려면 권한이 필요한데 사용자 홈 디렉토리는 사용자 본인이 아닌 제삼자가 아무렇게나 접근할 수 없기 때문이다.
소유자와 소유그룹을 www-data로 변경해야 웹에서 누구나 접근할 수 있다.
sudo chown -R www-data:www-data /home/사용자이름/apm/www
그런데 이렇게 소유자와 소유그룹을 변경하게되면 사용자계정에 권한이 없어지기 때문에 파일과 폴더를 수정할 수 없게 된다. 그래서 ftp로 접속했을 때나 삼바로 접속했을 때 수정이 불가능하다.
이를 해결하기 위해 사용자 계정을 www-data 그룹에 추가하고, 해당 디렉토리의 쓰기 권한을 그룹에도 허용해준다.
sudo usermod -a -G www-data 사용자이름 sudo chmod -R 775 /home/사용자이름/apm/www
이제 아파치 서버를 재시작 해준다.
sudo service apache2 restart
기본 디렉토리가 제대로 변경되었는지 확인해보자.
변경한 디렉토리 안에 index.php를 생성할 것이다.
sudo vi /home/사용자이름/apm/www/index.php
다음 내용을 입력한 후 저장한다.
<?php phpinfo(); ?>
웹브라우저를 열어 도메인주소 혹은 내부 IP 주소를 입력하여 확인해 본다.
다음과 같이 PHP 정보가 뜨면 제대로 변경된 것이다.
