메그넘

[디스크 쿼터 설정]

[쿼타(Quota)설정]
쿼타는 디스크의 용량 및 아이노드 수(파일 및 디렉토리 수)를 사용자, 그룹별로 제한하기 위해 사용된다. CentOS 7에서 기본파일시스템으로 제공되는 xfs의 경우 사용자, 그룹뿐만 아니라 프로젝트, 디렉토리별로 제안할 수 있어 유용하게 사용된다. 
홈페이지를 만들어 웹호스팅 서비스에 가입하면 디스크용량을 제한적으로 제공한다. 이 때 쿼타가 사용되는 것이다. 또, 여러 사용자가 파일 저장용도로 서버를 사용할 때 한 사용자가 모든 공간을 사용하지 못하도록 나누기위해 사용된다.

먼저 CentOS 7의 기본 파일시스템인 xfs에서 쿼타 설정에 대해 알아보고, 예전방식의 쿼타에 대해 알아보도록 하자.


[XFS 쿼타(Quota)]
CentOS7부터는 기본파일시스템으로 xfs가 사용된다. xfs에서 제공하는 쿼타는 사용자, 그룹뿐만 아니라 프로젝트, 디렉토리별로 제안할 수 있다. 하지만, 일반적인 쿼타 설정법과는 다르다.
예전방식에서 제공되는 쿼타는 사용자, 그룹을 기준으로 용량 및 파일수를 제안할 수 있었다. 그래서 웹서비스를 제공하기에 불편한점이 있었다. Apache 웹서버의 경우 nobody 또는 daemon 사용자권한으로 작동한다. 웹을 사용하여 파일을 업로드 하는 경우 nobody 또는 daemon 사용자 소유가 되어 쿼타에서 사용되는 용량으로 측정되지 않았다. 이러한 부분을 해결하기 위해 각 사용자의 권한으로 Apache 웹서버를 실행되도록 하였지만, 이는 보안에 취약하였다. xfs 쿼타의 디렉토리별 제한은 이러한 문제를 해결해 준다.

[마운트 옵션 설정 : /etc/fstab]
쿼터를 사용하기 위해서는 파일시스템 마운트 과정에서 옵션을 넣어야 한다. 마운트 옵션은 다음과 같다. 

xfs 쿼타관련 마운트옵션은 제한는 하는 경우와 제한은 하지 않고 모니터링을 위해 사용하는 각 2가지 옵션을 제공한다. 웹호스팅의 경우 제한을 하게되면 웹사이트 장애까지 유발할 수 있어 제한은 하지 않고 모니터링만 하기도 한다. 그룹쿼타와 프로젝트 쿼타는 동시에 사용할 수 없다.

서버 부팅될 때 파일시스템 마운트옵션을 넣기 위해 /etc/fstab에 다음 내용을 추가한다.

/dev/mapper/centos-data /data          xfs     uquota,pquota,defaults      0 0

위 내용은 이미 생성된 /dev/mapper/centos-data 볼륨을 /data 디렉토리에 마운트한다. /dev/mapper/centos-data 볼륨은 xfs 파일시스템으로 포맷되어 있어야 한다. 마운트 옵션으로 사용자쿼타(uquota), 프로젝트쿼타(pquota)옵션을 추가하였다.
/data 디렉토리르 생성하고 /etc/fstab 설정 내역에 따라 마운트 해보자.

~] # mkdir /data
~] # mount /data

만약 이미 마운트가 되어 있다면 다음과 같이 다시 마운트를 한다.

~] # mount -o remount /data

마운된 내용을 확인한다.

~] # mount |grep data
/dev/mapper/centos-data on /data type xfs (rw,relatime,attr2,inode64,usrquota,prjquota)

앞에서 설정한 uquota(usrquota), pquota(prjquota)옵션이 설정된 것을 확인하였다.

[사용자 쿼타 설정]
앞에서 쿼타를 사용할 파티션이 준비되었다면 사용자 쿼타를 설정해 보자. xfs 파일시스템의 쿼타는 xfs_quota 명령어를 이용하여 설정하거나 확인한다. xfs_quota는 기본적으로 대화형 환경을 제공한다. 다음은 xfs_quota 명령어 실행 후 help를 입력하여 사용법을 확인한 것이다.

~] # xfs_quota
xfs_quota> help
df [-bir] [-hn] [-f file] -- show free and used counts for blocks and inodes
help [command] -- help for one or all commands
print -- list known mount points and projects
quit -- exit the program
quota [-bir] [-gpu] [-hnNv] [-f file] [id|name]... -- show usage and limits

Use 'help commandname' for extended help.

사용법을 확인해 보아도 별 내용이 없어 보인다. xfs_quota 명령은 일반 사용자도 사용할 수 있다. 기본적으로 쿼타 설정된 내용을 각 사용자가 확인하기 위해 사용하며, 설정을 하기 위해서는 -x 옵션을 사용하여 전문가 모드로 접근하여 설정한다. 일반 사용자도 -x 옵션을 사용할 수 있지만 대부분의 명령이 실행되지 않는다.

~] # xfs_quota   -x
xfs_quota> help
df [-bir] [-hn] [-f file] -- show free and used counts for blocks and inodes
disable [-gpu] [-v] -- disable quota enforcement
dump [-gpu] [-f file] -- dump quota information for backup utilities
enable [-gpu] [-v] -- enable quota enforcement
help [command] -- help for one or all commands
limit [-gpu] bsoft|bhard|isoft|ihard|rtbsoft|rtbhard=N -d|id|name -- modify quota limits
off [-gpu] [-v] -- permanently switch quota off for a path
path [N] -- set current path, or show the list of paths
print -- list known mount points and projects
project [-c|-s|-C|-d <depth>|-p <path>] project ... -- check, setup or clear project quota trees
quit -- exit the program
quot [-bir] [-gpu] [-acv] [-f file] -- summarize filesystem ownership
quota [-bir] [-gpu] [-hnNv] [-f file] [id|name]... -- show usage and limits
remove [-gpu] [-v] -- remove quota extents from a filesystem
report [-bir] [-gpu] [-ahnt] [-f file] -- report filesystem quota information
restore [-gpu] [-f file] -- restore quota limits from a backup file
state [-gpu] [-a] [-v] [-f file] -- get overall quota state information
timer [-bir] [-gpu] value -d|id|name -- get/set quota enforcement timeouts
warn [-bir] [-gpu] value -d|id|name -- get/set enforcement warning counter

Use 'help commandname' for extended help.

전문가 모드에서는 설정할 수 있는 부분이 보인다. 

또는 다음과 같이 -c 옵션을 사용하여 비대화형 모드로 명령을 내릴 수 있다.

[root@localhost ~]# xfs_quota -x -c 'df' /data
Filesystem           1K-blocks       Used  Available  Use% Pathname
/dev/mapper/centos-data
                      31441920      32940   31408980    0% /data

다음과 같이 설정해 보자.

1. 사용자 쿼타 설정
먼저 설정할 파일시스템을 선택한다. path를 입력하여 파일시스템 리스트를 확인하고, path 아이디를 입력하여 파일시스템을 선택한다. 우리는 /data 파일 시스템을 선택하기 위해 path 001을 입력한다.

~] # xfs_quota -x
xfs_quota> path
      Filesystem          Pathname
[000] /                   /dev/mapper/centos-root
 001  /data               /dev/mapper/centos-data (uquota, pquota)
 002  /boot               /dev/vda1
xfs_quota> path 001
      Filesystem          Pathname
 000  /                   /dev/mapper/centos-root
[001] /data               /dev/mapper/centos-data (uquota, pquota)
 002  /boot               /dev/vda1
xfs_quota> limit  -u  bsoft=1g  bhard=1126m  isoft=1000  ihard=1100   doly

다음으로 limit 를 입력하여 각 항목에 대해 설정한다.
  -u : 사용자 쿼타 설정
  bsoft : 블록 soft 제한 용량 (단위는 k, m, g, t 사용가능, 정수만 가능)
  bhard : 블록 hard 제한 용량
  isoft : 아이노드 soft 제한
  ihard : 아이노드 hard 제한
  doly : 제한 할 사용자 

쿼타 설정을 하기위해서는 limit를 사용한다. 다음과 같이 help limit로 사용법을 확인할 수 있다.

~] # xfs_quota -x
xfs_quota> help limit
limit [-gpu] bsoft|bhard|isoft|ihard|rtbsoft|rtbhard=N -d|id|name -- modify quota limits

 modify quota limits for the specified user

 Example:
 'limit bsoft=100m bhard=110m tanya

 Changes the soft and/or hard block limits, inode limits and/or realtime
 block limits that are currently being used for the specified user, group,
 or project.  The filesystem identified by the current path is modified.
 -d -- set the default values, used the first time a file is created
 -g -- modify group quota limits
 -p -- modify project quota limits
 -u -- modify user quota limits
 The block limit values can be specified with a units suffix - accepted
 units are: k (kilobytes), m (megabytes), g (gigabytes), and t (terabytes).
 The user/group/project can be specified either by name or by number.

제한을 할 수 있는 항목은 블록, 아이노드, 실시간 블록 제한이 있다. 실시간 블록 제한(rtbsoft, rtbhard)는 CentOS 7에는 구현되지 않아 사용될 수 없다.

2. 설정내역을 확인

[root@localhost ~]# xfs_quota  -x  -c   'report -b'   /data
User quota on /data (/dev/mapper/centos-data)
                               Blocks
User ID          Used       Soft       Hard    Warn/Grace
---------- --------------------------------------------------
root                0          0          0     00 [--------]
doly                0    1048576    1153024     00 [--------]

[root@localhost ~]# xfs_quota -x -c 'report -i' /data
User quota on /data (/dev/mapper/centos-data)
                               Inodes
User ID          Used       Soft       Hard    Warn/ Grace
---------- --------------------------------------------------
root                3          0          0     00 [--------]
doly                0       1000       1100     00 [--------]

report를 사용하여 블록 및 아이노드 사용량 제한설정을 확인할 수 있다.


[프로젝트 쿼타 설정]
원하는 디렉토리를 묶어 특정 디렉토리 단위로 쿼타설정을 할 수 있는 프로젝트 쿼타를 설정해 보도록 하자. 

위와 같이 2개의 디렉토리를 proj1이라는 이름으로 프로젝트 쿼타 설정을 해보도록 하자.

1. /etc/projects 파일 생성
  /etc/projects 파일은 존재하지 않으며, 생성하여야 한다. 다음과 같이 프로젝트에 사용될 디렉토리를 작성작성한다.

1:/data/proj1
1:/data/proj2

숫자:디렉토리 형식으로 작성한다. 위 설정은 1이라는 프로젝트 ID에 2개의 디렉토리를 할당하는 것이다.

2. /etc/projid 파일 생성
  /etc/projid 파일은 존재하지 않으며, 생성하여야 한다. 다음과 같이 프로젝트에 ID와 이름을 매핑한다.

proj1:1

프로젝트이름:숫자 형식으로 작성한다. 위 설정은 프로젝트 ID 1의 이름을 proj1으로 할당하는 것이다.

3. 프로젝트 쿼타 설정

[root@localhost ~]# xfs_quota -x -c 'project -s proj1' /data
Setting up project proj1 (path /data/proj1)...
Setting up project proj1 (path /data/proj2)...
Processed 2 (/etc/projects and cmdline) paths for project proj1 with recursion depth infinite (-1).

앞에서 설정한 프로젝트 이름(proj1)으로 프로젝트를 생성하였다. 생성 과정에서 앞에서 등록한 디렉토리가 설정되는 것을 확인할 수 있다.

4. 프로젝트 제한 설정

[root@localhost ~]#  xfs_quota -x -c 'limit -p bsoft=1g bhard=1126m isoft=1000 ihard=1100 proj1' /data

사용자 쿼타와 비슷하게 쿼타 설정을 한다. 단, 프로젝트 쿼타는 -u 대신 -p 옵션을 사용하였고, 사용자 이름 대신 프로젝트 이름이 사용되었다.

5. 쿼타 설정 확인

[root@localhost ~]# xfs_quota -x -c 'report -p' /data
Project quota on /data (/dev/mapper/centos-data)
                               Blocks
Project ID       Used       Soft       Hard    Warn/Grace
---------- --------------------------------------------------
proj1               0    1048576    1153024     00 [--------]


[root@localhost ~]# xfs_quota -x -c 'report -p -i' /data
Project quota on /data (/dev/mapper/centos-data)
                               Inodes
Project ID       Used       Soft       Hard    Warn/ Grace
---------- --------------------------------------------------
proj1               2       1000       1100     00 [--------]

report를 사용하여 쿼타 설정 내역 및 사용 내역을 확인할 수 있다.

6. 프로젝트 쿼타 디렉토리 확인

[root@localhost ~]# xfs_quota -x -c 'path'
      Filesystem          Pathname
[000] /                   /dev/mapper/centos-root
 001  /data               /dev/mapper/centos-data (uquota, pquota)
 002  /boot               /dev/vda1
 003  /data/proj1         /dev/mapper/centos-data (project 1, proj1)
 004  /data/proj2         /dev/mapper/centos-data (project 1, proj1)

등록된 프로젝트의 디렉토리는 위와 같이 path 명령어로 쉽게 확인할 수 있다.

다음과 같은 방법으로 각 디렉토리 사용량을 확인할 수 있다.

[root@localhost proj1]# xfs_quota -x -c 'df' /data
Filesystem           1K-blocks       Used  Available  Use% Pathname
/dev/mapper/centos-data
                      31441920     557180   30884740    2% /data
/dev/mapper/centos-data
                       1048576     524224     524352   50% /data/proj1
/dev/mapper/centos-data
                       1048576     524224     524352   50% /data/proj2

[참 고]
REJECT와 DROP
방화벽 설정에서 패킷을 거부(reject) 또는 폐기(drop)할 수 있다. 거부와 폐기의 차이는 다음과 같다.
REJECT(거부) : 패킷을 받으면 거부한다는 ICMP패킷을 보내게 된다. 기본은 port-unreachable이며 icmp-net-unreachable,   icmp-host-unreachable,   icmp-port-unreachable, icmp-proto-unreachable, icmp-net-prohibited, icmp-host-prohibited, icmp-admin-prohibited등을 선택해서 거부할 수 있다.
DROP(폐기) : 패킷을 받으면 아무런 응답을 하지 않고 버린다.

④ 서비스(service)
각 서비스별 정의된 프로토콜, 포트, 모듈, 목적지에 대해 정의가 된 서비스이다. 여기서 서비스는 /etc/service에 명시된 내용과는 조금 다르다. firewalld의 서비스는 /usr/lib/firewalld/services/*.xml 파일에 명시되어 있다. 여러 서비스 중 ftp 서비스 파일(ftp.xml) 내용을 살펴보자.

~]# cat /usr/lib/firewalld/services/ftp.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>FTP</short>
  <description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You need the vsftpd package installed for this option to be useful.</description>
  <port protocol="tcp" port="21"/>
  <module name="nf_conntrack_ftp"/>
</service>

위 내용을 보면, FTP 서비스에 대한 설명과 프로토콜(tcp), 포트(21)가 명시되어 있고, FTP passive 모드를 위해 사용하는 nf_conntrack_ftp 모듈이 설정되어 있다. FTP 서비스를 선택하게되면 nf_conntrack_ftp 모듈이 로드된다

[방화벽 CUI 설정 (firewall-cmd)]
firewalld의 CUI인터페이스인 firewall-cmd에 대해 알아보기 이전에 웹서버를 운영하기 위해 HTTP, HTTPS 포트를 허용하는 방법에 대해 알아보자.

터미널 창에서 다음과 같이 입력한다.

~]# firewall-cmd   --permanent   --add-service=http   --add-service=https
success
~]# firewall-cmd --reload
success
~]# firewall-cmd --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client http https ssh
  ports: 5900-5910/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

firewall-cmd명령을 사용하여 위와 같이 룰을 추가할 수 있다. --permanent 옵션은 영구적인 설정을 의미하며 옵션을 주지 않으면 런타임 환경에서 적용되기 때문에 서버를 리부팅하면 룰이 없어진다. --add-service 옵션을 사용하여 오픈하고자 하는 서비스를 지정한다. 만약 이미 추가된 서비스를 제거하기 위해서는 --remove-service 옵션을 사용한다. 다음으로 --reload 옵션을 사용하여 영구적으로 설정된 룰을 런타임 환경에 적용시킨다. 적용이 완료된 후 --list-all 옵션으로 설정된 룰을 확인한다.

방화벽 오픈 여부를 위해 다른 리눅스 컴퓨터에서 다음과 같이 확인해 보자.

~]#  nmap 192.168.0.201 -p 443,80,22,25

Starting Nmap 5.21 ( http://nmap.org ) at 2015-03-24 19:57 KST
Nmap scan report for 192.168.0.201
Host is up (0.00041s latency).
PORT    STATE    SERVICE
22/tcp  open     ssh
25/tcp  filtered smtp
80/tcp  closed   http
443/tcp closed   https

Nmap done: 1 IP address (1 host up) scanned in 0.03 seconds

nmap명령어를 방화벽 설정 내역을 확인할 수 있다. 22/tcp(SSH)는 오픈된 것이 확인되고, 25/tcp(SMTP)는 filtered되었다. 웹서비스 포트 80/tcp(HTTP), 443/tcp(HTTPS)는 방화벽에서 차단된 것은 아니지만 닫혀 있다고 나타난다. 

[참 고]
firewall-cmd 자동완성 기능
CentOS7의 통합된 명령어들은 자동완성 기능을 제공한다. 자동완성이란 옵션의 몇몇 단어만 입력하고 <TAB>키를 누르게 되면 관련 옵션의 단어가 자동완성된다. 또 여러개의 가능한 옵션이 있을때는 <TAB>키를 여러번 누르면 옵션 리스트가 나타난다. 아래와 같이 옵션을 모를 때는 <TAB>키를 여러번 누르면 사용할 수 있는 옵션 리스트가 나타난다.

~]#  firewall-cmd --permanent --
--add-forward-port=                   --list-rich-rules
--add-icmp-block=                     --list-services
--add-interface=                      --list-sources
--add-lockdown-whitelist-command=     --query-forward-port=
... 

[영역(zone) 변경]
앞에서 설명한 영역(zone)은 다음과 같은 방법으로 변경할 수 있다.

~]#  firewall-cmd --set-default-zone=block
success

기본 영역을 block으로 변경하였다. 설정 가능한 영역은 영역값을 입력하지 않고 <TAB>키를 여러번 누르면 다음과 같이 확인할 수 있다.

~]#  firewall-cmd --set-default-zone=<TAB><TAB>
block     dmz       drop      external  home      internal  public    trusted   work

설정된 내역은 다음과 같이 확인할 수 있다.

~]#  firewall-cmd --list-all
block (default, active)
  interfaces: eth0
  sources:
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

위 결과를 보면 기본영역이 block으로 변경된 것을 확인할 수 있다. 물론 --get-default-zone 옵션으로 기본영역을 확인할 수 있다.

[서비스(service) 수정]
GUI와 다르게 firewall-cmd는 서비스 추가/수정 방법을 제공하지 않는다. 다음과 같은 방법으로 미리 정의된 서비스를 편집하여 사용할 수 있다. 리눅스 서버 접속을 위해 SSH를 가장 많이 사용한다. 많이 사용되는 만큼 인터넷에 공개된 서버의 경우 사전(dictionary) 공격을 통해 접속정보를 획득하려는 시도가 많이 일어난다. 이러한 접근 시도를 회피하기 위해 SSH 기본포트(tcp/22)를 1024이후 잘 알려지지 않은 포트로 변경한다. 이러한 경우 SSH 서비스에 대한 서비스 포트 또한 변경이 되어야 하기에 다음과 같이 방화벽 설정을 변경해 보도록 하자.

~]#  cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/

서비스가 정의된 파일(ssh.xml)을 /usr/lib/firewalld/services 디렉토리에서 /etc/firewalld/services 디렉토리로 복사한다.
/etc/firewalld/services/ssh.xml 파일을 열어 다음과 같이 수정한다.

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="15322"/>
</service>

필자는 SSH포트로 15322를 입력하였다.

~]#  firewall-cmd --reload
success
--reload옵션으로 변경내역을 반영한다. 

~]#  iptables -nL |grep 15322
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0      tcp dpt:15322 ctstate NEW

firewall-cmd으로는 서비스의 변경내역을 확인할 수 없었다. iptables명령을 사용하여 변경된 서비스 포트를 확인하였다.

[포트 및 프로토콜 직접 추가]
앞에서 다뤘던 서비스를 이용하여 방화벽을 관리하기도 하지만, 앞 예와 같이 미리 정의된 서비스의 포트를 변경하는 경우는 포트 및 프로토콜을 직접 추가하는 것이 방화벽 관리에 더 효율적이다. SSH 포트를 변경한 경우 서비스 리스트에서는 바로 확인하기 어렵기 때문에 서버를 이전하는 경우 실수할 수 있다. 
 VNC접속을 위해 포트 및 프로토콜을 직접 추가해 보도록 하자.

~]# firewall-cmd --permanent --add-port=5900-5910/tcp
success
~]# firewall-cmd --reload
success
~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0
  sources: 
  services: dhcpv6-client http https ssh
  ports: 5900-5910/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 

firewall-cmd명령을 사용하여 위와 같이 룰을 추가할 수 있다. --permanent 옵션은 영구적인 설정을 의미하며 옵션을 주지 않으면 런타임 환경에서 적용되기 때문에 서버를 리부팅하면 룰이 없어진다. --add-port 옵션을 사용하여 오픈하고자 하는 포트 및 포트범위/프로토콜을 지정한다. 만약 추가된 포트를 제거하기 위해서는 --remove-port 옵션을 사용한다. 다음으로 --reload 옵션을 사용하여 영구적으로 설정된 룰을 런타임 환경에 적용시킨다. 적용이 완료된 후 --list-all 옵션으로 설정된 룰을 확인한다. 물론 추가된 포트는 --list-ports 옵션으로 확인 가능하다.

[마스커레이딩(Masquerading)]
리눅스 시스템을 인터넷 공유 목적의 라우터 기능을 사용하기 위해 마스커레이딩 기능을 활성화 시킨다. 
마스커레이딩을 사용하기 위해 공인망, 사설망 네트워크 구성을 미리 해 두어야 한다.

~]# firewall-cmd --permanent --add-masquerade
success
~]# firewall-cmd --reload
success
~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client http https ssh
  ports: 5900-5910/tcp
  masquerade: yes
  forward-ports: 
  icmp-blocks: 
  rich rules:

firewall-cmd명령을 사용하여 위와 같이 마스커레이딩을 활성화 시킬 수 있다. --permanent 옵션은 영구적인 설정을 의미하며 옵션을 주지 않으면 런타임 환경에서 적용되기 때문에 서버를 리부팅하면 룰이 없어진다. --add-masquerade 옵션을 사용 마스커레이딩을 활성화시킨다. 만약 마스커레이딩을 비활성화시고 싶다면 --remove-masquerade 옵션을 사용한다. 다음으로 --reload 옵션을 사용하여 영구적으로 설정된 룰을 런타임 환경에 적용시킨다. 적용이 완료된 후 --list-all 옵션으로 masquerade 활성화 유부를 확인한다. 

[포트 포워딩(port forwarding)]
앞에서 마스커레이딩 설정으로 인터넷 공유 라우터를 설정한 경우 외부에서 공인IP로 접속되는 연결에 대해서 포트에 따라 내부 서버로 연결시킬 수 있는 포트 포워딩 기능을 사용할 수 있다. 
또, 시스템으로 들어오는 포트를 포워딩하여 로컬의 다른 포트로 포워딩할 수 있다. 시스템의 각 서비스들은 보안을 위해 일반 사용자 권한으로 서비스를 실행하기를 권장한다. 예를 들어 Tomcat은 JSP 컨테이너이면서 웹서버 기능을 가지고 있다. Tomcat은 일반 사용자 계정으로 실행할 것을 권장한다. 하지만, HTTP기본포트 80을 사용할 경우 root권한이 아니면 80포트를 Bind할 수 없다. 이러한 경우 포트포워딩을 사용하여 80포트로 접속되는 패킷을 로컬의 8080(Tomcat의 기본 HTTP 포트)포트로 포워딩 시킴으로 root권한 없이 80포트를 사용하여 웹서비스를 할 수 있다.
80포트로 접속되는 패킷을 8080포트로 포워딩 설정해 보자.

~]# firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080
success
~]# firewall-cmd --reload
success
~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client http https ssh
  ports: 5900-5910/tcp
  masquerade: yes
  forward-ports: port=80:proto=tcp:toport=8080:toaddr=
  icmp-blocks: 
  rich rules:

firewall-cmd명령을 사용하여 위와 같이 포트 포워딩 하였다. --permanent 옵션은 영구적인 설정을 의미하며 옵션을 주지 않으면 런타임 환경에서 적용되기 때문에 서버를 리부팅하면 룰이 없어진다. --add-forward-port 옵션을 사용 포트 포워딩 규칙을 추가하였다. 다음과 같은 방법으로 입력된다.
--add-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=address[/mask]]
만약 포트포워딩을 제거하기 위해서는 --remove-forward-port 옵션을 사용한다.다음과 같은 방법으로 입력된다.
--remove-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=address[/mask]]
 다음으로 --reload 옵션을 사용하여 영구적으로 설정된 룰을 런타임 환경에 적용시킨다. 적용이 완료된 후 --list-all 옵션으로 포트포워딩 설정내역을 확인할 수 있다. 물론 --list-forward-ports 옵션으로 확인할 수 있다.

[ping 응답 하지 않기]
시스템의 네트워크 상태를 확인하기 위해 ping명령어를 이용하여 응답 테스트를 한다. ping은 네트워크 확인을 위해 유용하게 사용되지만, 악의적으로 패킷크기를조절하여 네트워크의 과다한 트래픽을 유발하기도 한다. 이러한 공격을 차단하기 위해 ping에 대해 응답하지 않도록 설정하는 경우가 있다. 
다음은 ICMP 프로토콜 중 ping에 대해 응답하지 않게 설정하고 있다.

~]# firewall-cmd --permanent --add-icmp-block=echo-request
success
~]# firewall-cmd --reload
success
~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client http https ssh
  ports: 5900-5910/tcp
  masquerade: yes
  forward-ports: port=80:proto=tcp:toport=8080:toaddr=
  icmp-blocks: echo-request
  rich rules:

firewall-cmd명령을 사용하여 위와 같이 ping을 차단할 수 있다. --permanent 옵션은 영구적인 설정을 의미하며 옵션을 주지 않으면 런타임 환경에서 적용되기 때문에 서버를 리부팅하면 룰이 없어진다. --add-icmp-block 옵션을 사용 ICMP 차단할 유형을 추가하였다. 만약 차단할 유형을 제거하기 위해서는 --remove-icmp-block옵션을 사용한다. 다음으로 --reload 옵션을 사용하여 영구적으로 설정된 룰을 런타임 환경에 적용시킨다. 적용이 완료된 후 --list-all 옵션으로 차단된 ICMP 유형을 확인할 수 있다. 물론 --list-icmp-blocks 옵션으로도 확인할 수 있다.

[직접 방화벽 규칙 넣기]
리눅스 방화벽 iptables는 막강한 확장기능을 제공한다. firewalld에서 제공되는 기능은 확장 기능 중 일부만 사용할 수 있으며, 원하는 확장 기능 사용을 위해 다음과 같은 방법으로 직접 입력하여 사용할 수 있는 인터페이스가 제공된다.
웹서버를 대상으로 DOS공격이 많이 발생된다. 특정 클라이언트 IP에서 접속이 많이 발생된다면 특정 클라이언트 IP 차단을 위해 사용하는 모듈이 connlimit이다. 
다음은 connlimit를 사용하여 DOS공격을 막도록 설정해 보겠다.

~]# firewall-cmd --permanent --direct --add-passthrough ipv4 -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 -j REJECT
success
~]# firewall-cmd --reload
success

firewall-cmd명령을 사용하여 DOS공격을 막을 수 있다. --permanent 옵션은 영구적인 설정을 의미하며 옵션을 주지 않으면 런타임 환경에서 적용되기 때문에 서버를 리부팅하면 룰이 없어진다. --direct 옵션은 직접 입력한다는 설정이다. --add-passthrough는 통과 규칙을 직접 입력하는 옵션이다. 만약 통과 규칙을 제거하기 위해서는 --remove-passthrough을 사용한다. 다음으로 --reload 옵션을 사용하여 영구적으로 설정된 룰을 런타임 환경에 적용시킨다. 

~]# iptables -nL |grep conn
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 flags:0x17/0x02 #conn src/32 > 16 reject-with icmp-port-unreachable

firewall-cmd으로는 직접 설정한 규칙 확인이 어려워 iptables명령을 사용하여 직접 추가한 규칙을 확인하였다.

/etc/fstab

○ 디바이스명(레이블명) -->  디바이스명 연결 권장. ( 레이블의 경우 usb 장비 연결 후 리부팅시 꼬임)
○ 마운트 포인트  --> 장비와 연결하여 사용할 위치, 디렉토리명
○ 파일시스템 타입 --> file system Type
○ 파일시스템 속성 --> 속성 적용, quota 설정 적용 등...
○ dump 속성 설정 --> 0 또는 1  (0 : dump 명령으로 덤프되자 않는 파일시스템,  1: dump 가능)
○ fsck 속성 설정 -->  0, 1, 2  (0: 부팅 시 fsck 실행 안됨, 1: 루트 파일시스템,  2: 루트 이외의 시스템)