back to top
-2.3 C
New York
금요일, 12월 27, 2024

Buy now

우분투 20.04와 PHP 8 기반 워드프레스 설치 방법

근래 사이트 운영 환경이 급격하게 변동되면서 우분투 20.0와 PHP 8 등 최신 버전을 적용 가상 서버 설치 및 워드프레스 설치 가이드를 재 작성해 기존 정보들을 업데이트할 필요가 있었습니다.

오래 전부터 우분투와 PHP를 적용한 서버 설치 및 이 서버에서 워드프레스 설치 및 워드프레스 운영 가이드를 작성해 공유해 왔습니다. 그렇지만 시간이 흐르면서 이 사이트에서 제공하는 정보가 낡았다는 지적이 있기도 했습니다. 그럼에도 정보가 유용하다는 병주고 약주는 그런 평가도 있기도 했습니다.

그래서 이번 PHP 8 출시 및 이에 맞춘 워드프레스 5.6버전이 나왔기 때문에 이를 모두 반영한 설치 가이드를 정리해 보기로 했습니다.

여기 설치 가이드에서는 2020년에 출시한 운영체제 20.04 LTS와 PHP 8 그리고 MariaDB 10.5를 반영했습니다. 그리고 그 동안 업데이트 된 보안 관련 내용도 반영하였습니다.

Table of contents 목차 보이기

1. 운영체제 우분투 20.04을 선택하다.

리눅스를 기반 운영체제 중에서 우분투가 상대적으로 업그레이드가 빠르다는 평이 많기 때문에 선택했습니다.

새로운 리눅스 버전이 나오면 각 운영체제들은 그들이 가진 비즈니스 전략과 운영 전략에 따라 적절한 시기에 업데이트를 진행하는데요.

우분투는 상대적으로 이런 업데이트가 빠르기에 바로 사용하고 싶은 욕구가 크기 때문에 선택 했습니다. 그리고 가장 많은 사용자는 아니지만 상대적으로 많은 사용자가 있어 관련 정보 획득에 용이하다는 점도 고려했습니다.

우분투 20.04 LTS, ubuntu 20.04 LTS

1.1. 20.04는 18년 4월 버전이라는 의미이다.

우분투 버전은 출시한 연도와 월에서 따옵니다. 만약 우분투 24.08이 있다면 이는 2024년 8월에 출시한 버젼입니다.

마찬가지로 최근에 출시된 우분투 20.10은 2020년 10월에 출시한 우분투 버전을 의미합니다.

1.2. 우분투 20.04는 LTS 버전이다.

우분투의 탄생 배경은 기존 데비안의 업데이트가 너무 느리기 때문에 이에 불만을 품고 우분투가 시작되었기 때문에 업데이트가 잦은 편이며 이에 따라 잦은 판올림이 이루어 집니다.

그런데 우분투 버젼이 빠르게 변하기 때문에 지원 기간이 짧아질 수 밖에 없습니다.

우분투 자체로 어떤 비즈니스 모델을 만들고 이를 통해서 떼돈을 버는 것이 아닌 비영리기관에서 운영하는 것이기 때문에 버젼별로 무한정 지원할 수 없기때문에 짧을 수 밖에 없습니다. 최근에는 평균 지원기간이 9개월 정도로 짧습니다.

그런데 서버 운영 입장에서는 그렇게 자주 서버 운영체제를 업그레이드 할 수 없습니다. 대규모 사이트에서는 업그레이드하려면 챙겨야 하는 점들이 많을 수 밖에 없기 때문에 조금만 잘못해도 커다란 비즈니스 손실을 봐야 하기 때문에 조심스러울 수밖에 없습니다.

그렇게 때문에 우분투에서는 기업용으로 5년동안 지원하는 LTS(Long Term Support) 버젼을 출시합니다. 이 LTS 버젼은 짝수년도 4월에 출시합니다.

현재 사용 가능한 LTS 버전은 16.04, 18.04 그리고 20.04가 있습니다.

1.3. 버전명과 코드네임이 다 활용된다.

일반적인 프로젝트에서 코드네임은 프로젝트가 끝나면 사용되지 않죠.

그렇지만 우분투에서 코드네임은 패키지 저장소나 관련 앱 버젼 관리 시 사용되므로 서버를 관리하려면 버젼명과 코드네임을 알고 있어야 합니다.

지금 현재 설치 가능한 버젼은 16.04, 18.04, 20.04, 20.10이 있는데 이들의 코드 네임은 아래와 같습니다.

  • 16.04 : Xenial Xerus
  • 18.04 : Bionic Beaver
  • 20.04 : Focal Fossa
  • 20.10 : Groovy Gorilla

2. Vultr에서 우분투 20.04 설치 준비

여기에서는 Vultr에서 서버 설치를 위해 서버 위치, 서버 종류, 운영체제 선택, 운영 플랜 등 기본적인 사항을 선택하는 방법을 소개합니다.

Vultr를 사용하지 않고 다른 회사를 선택한다면 넘어가 주세요.

Vultr에서는 개개의 서버를 Instance라고 부릅니다. 서버 세팅, Vultr에서 이야기하는 Deploy New Instance 화면의 Vultr Cloud Compute(VC2)화면에서 세팅을 시작할 수 있습니다.

아래는 간단히 서버 세팅 과정을 보여주고 있습니다.

2.0. 서버 종류 선택

예전 Vultr 서버 종류는 그리 복잡하지는 않았지만 지금은 High Frequency가 추가되어 Cloud Compute, High Frequency, Bere Metal, Dedicated Cloud의 4가지 종류를 선택할 수 있습니다.

우리가 가장 일반적으로 저렴한 버전은 Cloud Compute이구요.

이보다 더 나은 CPU와 NVme라는 고성는 디스크를 사용해 성능을 높인 High Frequency를 선택할 수 있습니다. 다면 가격이 20% 더 비쌉니다.

독립형 서버를 사용하고 싶다면 Dedicated Cloud를 선택할 수 있지만 지원 지역이 많지는 않습니다. 당근 가격도 비싸겠죠.

면서버 설치, 가상서버호스팅 vultr 서버 종류 선택 장면, Cloud Compute, High Frequency, Bere Metal, Dedicated Cloud의 4가지 종류를 선택 가능

2.1. 서버 위치 선택

서버 위치는 2020년 12월 6일 현재 18년 1월 현재 글로벌로 17군데가 있는데요. 아시아권에는 서울, 일본 도쿄 그리고 싱가폴에 있습니다.

주요 비즈니스 영역이 한국이라면 당연 서울을 선택하면 될 것 같습니다. 그렇지만 한국과 북미를 비슷한 비중으로 운영한다면 LA 지역도 좋을 것 같습니다.

서버 설치, 가상서버호스팅 vultr 서버 위치 선택 장면
▽ 서버 위치를 설정 장면

2.2. 서버 운영 체제

이번에는 서버 운영 체제를 선택합니다.
서버를 선택, 설치하는 데에는 여러가지 방법이 있는데요. 아래를 보시면 알겠지만 굉장히 다양한 방법을 제공하고 있습니다.

2.2.1. Vultr에서 제공하는 서버 운영 체제 설치 방법

첫째, 일반 프로그램 설치하듯이 자신에게 맞는 운영 체제를 선택해 설치하고, 이어서 필요한 프로그램을 설치하는 방식

둘째, Application이라고 해서 운영체제 + 제반 프로그램을 일괄 설치하는 방법

셋째, 다른 곳에서 만들어 놓은 ISO 파일을 업로드해서 그대로 사용하는 방법

넷째, Vultr에서 제공하는 ISO 파일을 그대로 사용하는 방법

다섯째, 이미 Vultr을 이용하는 상태라면 유료로 백업 서비스를 받고 있다면 이 백업 파일로부터 서버를 생성하는 방법

여섯째, 이미 Vultr을 이용하는 상태라면 기존에 만들어 놓은 Snapshot으로 그대로 서버를 떠주는 방법

Application 설치 방식은 운영 체제과 관련 프로그램을 한꺼번에 설치해주므로 편하긴 하지만 원하는 프로그램을 선택할 수 없고 최신 프로그램은 지원하지 않은 경우가 많습니다.

예를 들어 20년 12월 현재 wordpress 설치 Application은 우분투 18.04를 설치하도록 되어 있습니다. 센토스를 선택하거나 우분투(Ubuntu) 최신 버젼, 20.04 또는 20.10를 선택하고 싶다면 사용할 수 없지요.

전문가라면 다른 곳에서 만들어 놓은(제대로 잘 세팅된) ISO를 업로드 하는 것도 괜찮을 겁니다. 그렇지만 초심자에게는 너무 먼 이야기이지요.

Vuktr에서 제공하는 ISO는 일반 프로그램 설치와 거의 같은 방식입니다.

따라서 저는 일반 프로그램처럼 설치하는 첫번째 방식을 사용했습니다.

2.2.2. 32비트? 64비트?

윈도우즈도 32비트 64비트가 있듯이 리눅스계열도 32비트와 64비트로 나누어져 있습니다. 그래서 64비트를 설치할 것 인지, 32비트를 설치할 것 인지를 선택해야 합니다.

일반적으로 RAM이 512MB, 765MB 적을 경우 32비트를 설치하는 게 좋다고 하네요. 32비트가 최소 메모리를 사용하기 때문이라고 합니다.

그리고 최소 1GB정도 되어야 64비트가 아주 원활합니다. 실제로 워드프레스 등 운영 시 최소 메모리를 1GB로 권장하고 있습니다.

2.2.3. 어떤 운영 체제, 어떤 버전을 선택할 것인가?

운영체제를 무엇으로 할 것 인지도 고민인데요. 센토스나 우분투등이 일반적으로 많이 사용되므로 둘 중 하나를 고르면 됩니다. 저는 최근 뜨고 있다는 우분투를 선택했습니다.

우분투 버전을 선택해야하는데, 우분투는 16.04, 18.04 그리고 20.04 버젼이 출시 후 5년동안 지원하는 LTS 버젼이므로 가능하면 이를 선택하라고 조언하고 있습니다. 이외에 가장 최근에 나온 20.10을 사용해 볼 수 있습니다.

버젼별로 새로운 기능이 추가되기는 했지만 성능에 큰 영향을 미치지는 않은 것 같습니다. 최신이면서 오랬동안 지원되는 LTS 버젼을 사용하면 될 듯 합니다.

이 글을 업데이튼 하는 20년 12월 현재 저는 20.04 버전을 적용하고 하고 있습니다. Vultr는 항상 최신 버전을 설치할 수 있도록 빠르게 대응하고 있습니다. 국내 서버 업체들을 보면 대부분 최신 버전 지원 시기는 출시 한참 시간이 지낭 후 지원하는 것 같습니다.

최신 버전에 민감하고 이를 빨리 테스트해보고 싶다면 그런 의미에서 Vultr도 좋은 대안이 될 듯 하네요.

서버 운영체제로 우분투 버전 선택 모습

서버 설치, 가상서버호스팅 vultr 서버 운영체제 선택 장면

서버 운영체제를 어플리케이션과 함께 선택

서버 설치, 가상서버호스팅 vultr 서버 운영체제와 어플리케이션 선택 장면
▽ 서버 타입 선정 화면 – Application을 중심으로 선택, 설치 할 수 있다.
서버 설치, 가상서버호스팅 vultr 서버 운영체제 ISO 라이브러리에서 선택 장면
▽ 서버 타입 선정 화면 – Vultr에서 제공하는 ISO List에서 선택, 설치할 수 있다.

2.3. 플랜 결정 – 서버 크기

이 단계에서는 가장 중요한 가격대를 선택해야 합니다.
국내의 많은 웹호스팅과 마찬가지로 상위 플랜으로 업그레이드는 가능하지만, 다운그레이드는 허용하지 않기 때문에 처음에는 당장 사용할 수준 정도로 시작하고 점차 업그레이들 하면 좋습니다.

나중에 다시 정리하겠지만 상위 플랜으로 업그레이드는 서버를 유지한 채 버튼 하나만 눌러서 몇분 내에 끝납니다. 아주 쉽고 간단합니다.

저는 데이타베이스 크기가 300MB 정도이고 하루 방문객이 5,000명이 안되기 때문에 처음에 5$ 플랜으로 시작했었습니다. 아무래도 워드프레는 램을 비롯한 자원을 많이 사용하는 경향이 있어서 충분한 속도를 내기 위해서 4GB 램과 120GB 스토리지의 월 24$ 플랜으로 업그래이드 하려고 합니다.

▽ 서버 크기를 선정 화면

면서버 설치, 가상서버호스팅 vultr 서버 크기, 플랜 선택 장면
서버 설치, 가상서버호스팅 vultr 서버 크기, 플랜 선택 장면

2.4. 추가 기능 설정

이어서 추가 기능을 선택할 수 있습니다.

  • IPv6를 추가할 수 있고(무료)
  • 자동백업 선택(이는 요금 플랜의 20%가 붙습니다. 위에서 5$ 플랜을 선택 시 1$, 10$ 플랜을 선택 시 2$ 등)
  • DDOS Protection 항목이 있는데 이는 미국 일부 지역만 현재 가능하다고 함
  • Private Networking 선택, 이는 Vultr에 여러 개 서버를 운영하는 경우 서버별 내부 IP를 할당받아 내부 트랜지션을 할 수 있는 기능
서버 설치, 가상서버호스팅 vultr 서버 추가 기능(Additional Features) 선택 장면

3. 웹서버 보안 기본 설정

위에서 서버가 설치되면 가장 먼저 해야할 것이 바로 웹 서버 보안 설정입니다.

일반적으로 웹 서버 세팅이 끝난 후 보안 설정을 하는 경우가 있는데 그동안에는 무방비 상태이므로 가능하면 SSH에 처음 접속하는 순간부터 바로 보안 설정을 하도록 합니다.

3.1. ssh 포트 변경

일반적으로 ssh포트s는 22번으로 할당됩니다. 그렇기 때문에 너무 잘 알려쟜기 때문에 이를 이용해 공격해오는 경우가 있다고 합니다.

따라서 자기만 아는 포트 번호로 변경 사용하는 게 필요합니다. 이렇게 개인만 아는 포트로 변경하면 서버 공격이 확 줄어듭니다.

특정 서버를 목표로 공략한다면 또 다른 강력한 보안 정책이 더 필요하지만 일반적으로는 22포트를 기반으로 무작위적 공격하는 경우가 많기 때문에 포트 변경 시 상대적으로 공격을 덜 받을 수 있습니다.

22번 포트를 변경하려면 먼저 sshd_config에서 22번대신 사용할 포트 번호로 바꾸어 준다. 즉

/etc/ssh/sshd_config 에서 Port 22 를 찾아서 자기가 사용할 포트 숫자를 기억하기 쉽고 10,000자리이상에서 임의의 숫자를선택한다. 예를 들어 58722, 65322 등등

Port 번호는 1에서 65535 사이의 사용하지 않는 포트를 사용할 수 있습니다. 루트에서만 사용할 수 있는 권한있는 포트 (포트 1-1024)를 선택하는 것이 좋다는 의견이 있습니다만 저의 경우 루트를 10000이상 포트를 사용하는데 별다른 기능 사용 한계를 느낄 수 없었습니다.

nano /etc/ssh/sshd_config Code language: PHP (php)

아래는 ssh 포트로 26977을 사용하겠다고 수정한 경우입ㄴ다.

#Port 22
<span class="highlight">Port 26977</span>
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::Code language: PHP (php)

이렇게 포트를 변경한 후 ssh 서비스를 재시작 합니다.

service ssh restartCode language: PHP (php)

3.2. ssh 사용자 및 사용 ip 제한

더욱 더 강력한 조치는 ssh 사용자 또는 ip 자체를 제한하는 방법입니다.

특정 ip만 허용

저의 경우는 집에서 사용하는 ip와 태블릿에서 사용할 수 있는 ip만으로 제한했습니다. 다만 태블릿은 LTE 데이타를 사용하는 관계로 일정 ip대를 제한했는데요. 계속 변경되기 때문에 막히기 일수 입니다.

그러면 집에 가서 허용 ip를 변경해 주거나 급하면 vultr.com 계정 터미널 접속해 ip를 변경해 주어야 합니다. 아마 Vultr가 아닌 다른 회사들도 계정을 통해서 현재 접속 ip와 상관없이 서버에 접속할 수 있는 방법이 있을 것으로 보입니다.

항상 태블릿에서 사용할 필요가 없기 때문에 이런식으로 대응할 수 있지만 업무상 항상 접속해야 한다면 문제가 생기면 ip 제한을 푸는 방법도 고려해 볼 수 있습니다.

먼저 편집기를 이용해 /etc/hosts.allow에 접속합니다.

nano /etc/hosts.allowCode language: PHP (php)

여기에서 허용하려는 ip를 추가해 줍니다.

sshd:124.50.187.177
sshd:211.36.Code language: PHP (php)

그리고 나머지 ip는 모두 사용 중지 시킵니다. 이는 /etc/hosts.deny 파일을 수정합니다.

nano /etc/hosts.denyCode language: PHP (php)

여기에서 ALL을 추가합니다. 허용된 ip외는 모두 거부하라는 명령으로 아주 강력합니다.

sshd: ALLCode language: PHP (php)

3.3. 특정 사용자만 허용 또는 금지

또 sshd_config 파일에서 특정 사용자를 허용하든지 금지시킬 수 있습니다.

nano /etc/ssh/sshd_configCode language: PHP (php)

이 파일에서 아래처럼 AllowUsers 다음에 허용할 사용자를 추가합니다. 예를 들면 daisy 사용자만 추가한다면 다음과 같은 명령을 사용합니다.

AllowUsers daisyCode language: PHP (php)

4. 웹서버 보안 설정

여기에서는 웹서버 보안 설정 방법에 대해서 설명합니다.

우분투에서 기본적으로 사용할 수 있는 ufw를 사용할 수 있고 아니면 조금 더 정교하게 보안을 설정하기 위해서는 iptales을 이용할 수도 있습니다.

4.1. 웹서버 보안 ufw 설정

ufw는 우분투에서 제공하는 방화벽 도구로 아래에서 설명하는 iptales를 간단히 사용할 수 있도록 만든 것입니다.

운영체제별로 이와 같은 간단히 편하게 사용할 수 있는 보안 설정 방법을 제공하고 있습니다.

전는 아래에서 사용하는 iptales를 이용하려고 하기 때문에 기본적인 ufw 설명만 소개하고 넘어가도록 하겠습니다.

ufw enable # 방화벽을 활성화한다.
ufw allow 80/tcp  # 일반 웹 정보 관련 입출력 통로
ufw allow 443/tcp  # SSL 설치 시 웹 정보 관련 입출력 통로 
ufw allow 26977/tcp  # ssh용 신규 포트 위에서 개인적으로 설정한 포트 번호Code language: PHP (php)

4.2. 우분투에서 IPtables 사용하기

우분투에서는 기본 방화벽으로 UFW(Uncomplicated Firewall)를 사용하고 있습니다. UFW는 아주 간단하고 명료한 방화벽을 구성할 수 있고, 무엇보다도 쉽기 때문에 초보가 사용하기에 좋습니다.

그러나 UFW는 IPtables를 조금 더 편리하게 사용할 수 있도록 만든 것에 불과하므로 조금 더 복잡하고 디테일한 방화벽을 구성하려면 IPtables를 사용하는 것도 좋습니다.

IPtables 사용전에 UFW 사용 중지

처음 서버 세팅 시라면 UFW를 적용하지말고 바로 IPtables을 설치하면됩니다.

그러나 방화벽으로 UFW를 사용하다가 IPtables로 바꾼다면, 우분투 서버에서 Iptables를 설정하기 전에 먼저 UFW를 사용 중지합니다.

UFW 중지 명령은 아래와 같습니다.

ufw disableCode language: PHP (php)

그리고 UFW를 기반으로 설정되어 있는 방화벽 설정을 모두 초기화 시킵니다. 이는 UFW도 IPtables를 기본으로 활용하므로 아래와 같은 명령을 사용합니다.

iptables -FCode language: PHP (php)

IPtables를 안정적으로 사용하기 위한 패키지 설치

IPtables이나 Fail2Ban과 같은 보안 프로그램들은 다시 시작하면 기존 설정이 초기화됩니다. IPtables도 마찬가지로 시스템을 다시 시작한다든지 다시 시작하게되면 설정이 초기화됩니다.

최신 버전의 우분투(Ubuntu)에서 이는 특히 피할 수 없이 나타는 현상이므로 이를 해소할 수 있는 패키지를 설치합니다.

이러한 패키지로 추천되는 것이 바로 iptables-persistent입니다. 여기서는 이를 사용하도록 합니다.

그리고 netfilter-persistent도 같이 설치합니다. netfilter는 IPtabels를 이용하면서도 이를 뛰어넘을 솔류션으로 인기를 끌고 있다고 하네요.

apt-get install iptables-persistent netfilter-persistentCode language: PHP (php)

설치 도중에 ip4/ip6 저장 여부를 묻는데 yes를 선택합니다. 설정파일은 /etc/iptables 폴더에 저장됩니다.

이 설치를 마치고나면 /etc/iptables 라는 폴더에 rules.v4와 rules.v6가 생성됩니다.

IPtables 설정을 변경했다면 netfilter-persistent save 명령어로 저장하고, 나중에 netfilter-persistent reload 명령어로 다시 설정을 불러올 수 있습니다.

sudo netfilter-persistent save
sudo netfilter-persistent reloadCode language: PHP (php)

재부팅 후 iptables -S 로 정책이 유지되는지 확인해 봅니다. 혹시나 정책이 제대로 유지되지 않았다면 netfilter-persistent reload 명령으로 다시 방화벽 정책을 불러올 수 있습니다.

sudo  iptables -SCode language: PHP (php)

우분투 Iptables 기본 설정

이제 안정적으로 IPtables를 사용할 수 있게되었기 때문에 본격적으로 방화벽을 설정해 보기로 하죠.

일반적으로 아래와 같은 기본 설정등을 합니다.

established and related 접속 허용

일반적으로 네트워크 트래픽은 양방으로 흘러야 합니다. 때문에 established and related 접속 허용합니다.

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPTCode language: PHP (php)

loopback 허용

일반적으로 많은 소프트웨어들이 localhost 어댑터와 통신이 되어야 하기때문에 필요합니다.

sudo iptables -A INPUT -i lo -j ACCEPT Code language: PHP (php)

핑을 허용

만약 핑(ping)을 허용하려면 아래 명령을 추가합니다.

sudo iptables -A INPUT -p icmp -j ACCEPT  Code language: PHP (php)

HTTP/HTTPS 허용

80포트 및 443포트 허용

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPTCode language: PHP (php)

SSL/SFTP용 포트

SSL/SFTP를 이용하기 위한 포트를 엽니다.

sudo iptables -I INPUT -p tcp --dport (SSL/SFTP용 포트) -j ACCEPT Code language: PHP (php)

INPUT과 FORWARD 차단

위에서 기본적인 것을 허용했기 때문에 나머지는 차단합니다.

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROPCode language: PHP (php)

~

어느 정도 기본 설정을 했으면 저장합니다.

netfilter-persistent save Code language: PHP (php)

Iptables 방화벽 설정 방법에 대해서는 아래 글을 참조하세요.

5. Fail2ban을 설치하여 보안을 강화

로그를 분석해 의심스러운 접근을 금지시키는 방법이 DenyHosts나 Fail2Ban이라는 프로그램입니다.

이 중 Fail2ban은 DenyHosts보다 훨씬 진보된 방식으로 SSH, Apache, Courier, FTP 등등에서 의심스러운 접근을 차단할 수 있는 프로그램입니다.

Fail2ba은 로그 파일을 모니터링해서 넘 많은 패스워드 입력 실패나 공격 감행 징후들이 보이면 IP를 차단합니다.

예전에도 Fail2Ban을 소개한적이 있지만 오늘은 Fail2Ban을 보다 적극적으로 활용해 서버 보안을 한단계 업그레이드해보도록 하죠.

기본적으로 Fail2Ban 설치를 다시 해보면서 시작하도록 합시다.

apt-get install fail2banCode language: PHP (php)

5.1. Fail2Ban 설정 변경 옵션 설명

그 다음 설정을 변경합니다. 보통 세팅 시 다음과 같은 항목을 중점적으로 설정합니다.

  • ignoreip : 절대로 믿을 수 있는 white ip 리스트, 예를들어 관리자가 항상 접속하는 ip 등등
    이는 123.123.123.123/32와 같은 형태로 적고 스페이스바로 구분
  • bantime : 접속을 차단할 시간, 기본은 86400초
    영구 접속 차단을 원할 경우 -1을 사용
    영구 차단 또는 차단 시간을 길게 주면 재부팅시 fail2ban 다시 ip차단 리스트를 읽어오기 때문에 느려질 수 있다고 합니다. 그러나 요즘 서버 컴퓨터 성능도 좋아지고 있으므로 이는 어느정도 감수할 만한 수준으로 보여집니다.
  • findtime : 통계를 찾을 시간, 기본 10m
  • maxretry : 허용 fail 횟수, 기본은 5
  • banaction : ip 차단 방법
    이는 /etc/fail2ban/action.d 폴더에 있는 action을 입력할 수 있습니다.
    firewalld 을 사용한다면 “firewallcmd-new” 값 입력.
    iptables 을 사용한다면 “iptables-multiport” 값 입력.
    기본은 banaction = iptables-multiport로 설정되어 있음
  • banaction_allports
    기본은 iptables-allports
  • action : 알림 메일등을 받을 것인지 결정
    action에 “%(action_mw)s” 값 입력 시 ip차단하면 알림메일이 전송.
    알림메일을 받지않으려면 “%(action_)s” 값으로 변경
  • [sshd] enabled : sshd를 모니터링 할것인지 결정
    fail2Ban에서 가장 중요한 설정으로 설치 시 기본 사용토록 되어 있습니다.
    우분투에서는 /etc/fail2ban/jail.d 폴더에 있는 defaults-debian.conf에서 설정되어 있습니다.

5.2. 기본 설정 변경 파일

Fail2Ban의 기본 설정 파일은 /etc/fail2ban/jail.conf 입니다.

대부분 여기서 수정해도 문제가 없지만 몇가지 경우에는 업데이트 시 기본 설정 파일이 초기된다고 합니다. 예를 들어 yum을 사용해서 설치한 경우 yum업데이트 시 자동으로 기본 세팅으로 바뀝니다.

이럴경우 기본설정 파일을 직접 수정하지 않고, 기본 설정파일을 참조하여 새로 생성한 사용자 설정파일에서 설정해주는 방법으로 하면 업데이트가 되는 경우에도 사용자 설정 파일을 덮어쓰지 않게 됩니다.

이 파일은 /etc/fail2ban/jail.d 폴더에 위치하게 됩니다. 보통 local.conf라는 이름으로 많이 사용하네요.

우분투를 설치하면 defaults-debian.conf를 수정하면 됩니다.

nano /etc/fail2ban/jail.d/defaults-debian.confCode language: PHP (php)
[wordpress]
enabled  = true
port     = http,https
filter   = wordpress
action   = iptables-multiport[name=wordpress, port="http,https", protocol=tcp]
logpath  = /var/log/nginx/access.log
maxretry = 3
findtime  = 86400
bantime  = -1Code language: PHP (php)

보다 자세한 Fail2Ban 설정 방법에 대해서는 아래 글을 참조하세요.

6. 기본 확인

6.1. 쉘 기본 언어값 확인

거의 가능성이 없기는 한데 쉡 기본 언어가 영어가 아닌 다른 특정 언어로 된 경우가 있다고 합니다. 저는 한번도 본적이 없습니다만.

그래서 제일 먼저 쉘 기본 언어값 확인합니다. apache2 명령어을 적용 시 영어로만 나오면 그냥 넘어가고 중국어나 일본어 나온다면 영어로 바꾸면 됩니다.

apache2Code language: PHP (php)

이번 작업의 경우 아래처럼 영어로 나와서 문제없이 넘어갈 수 있습니다.

Command 'apache2' not found, but can be installed with:
apt install apache2-binCode language: PHP (php)

만약 영어가 아닌 다른 언어가 나온다면 /etc/default/locale 의 파일 내용을 변경한다.

# vi /etc/default/localeCode language: PHP (php)

에서 아래 내용을 반영한다.

LANG="en_US.UTF-8"
LANGUAGE="en"Code language: PHP (php)

6.2. 현 운영체제의 프로그램을 최신으로 업데이트

apt-get update && apt-get upgrade -yCode language: PHP (php)

6.3. 시스템 시간 설정

여기는 서버 시스템의 시간을 한국 시간에 맞춥니다.

dpkg-reconfigure tzdataCode language: PHP (php)

GUI 환경에서 Asia를 선택하고 이어서 Seoul을 선택합니다. .

서버 시간 세팅_Seoul

그러면 아래와 같은 결과를 출력하죠.

Current default time zone: 'Asia/Seoul'
Local time is now:      Mon Jun 18 21:57:36 KST 2020.
Universal Time is now:  Mon Jun 18 12:57:36 UTC 2020Code language: PHP (php)

6.4. 메일 발송 프로그램 설치하기

메일을 발송할 수 있는 sendmail 프로그램을 설치, 압축 해제 프로그램 그리고 SSL을 위한 letsencrypt도 같이 설치합니다.

다만 메일발송 프로그램으로 요즘 핫하다는 Postfix를 이용한다면 여기서 설치할 필요는 없습니다.

메일 발송 프로그램은 시간이 조금 걸립니다. 잘못되었나 걱정하지 말고 인내를 가지고 기다리면 됩니다. 그렇다고 몇분이상 걸리는 것을 아닌데 다른 프로그램에 비해서 조금 더 걸립니다.

apt-get install sendmail unzip  letsencrypt -yCode language: PHP (php)

6.5. APT 소스리스트에 Nginx, MariaDB 저장소 추가

이는 웹서버 nginx와 PHP 그리고 데이타베이스 프로그램인 MariaDB를 설치하고 이후 업데이트 유지를 위해 원본 소스를 받아오기 위해서 sources.list를 업데이트 합니다.

이는 sources.list 파일을 열어서 파일 맨 끝에 소스리스트를 추가합니다.

nano /etc/apt/sources.listCode language: PHP (php)

파일 맨 끝에 아래 내용 추가

# Nginx로부터 NGINX 설치
# https://www.nginx.com/resources/wiki/start/topics/tutorials/install/
deb http://nginx.org/packages/mainline/ubuntu/ focal nginx
deb-src http://nginx.org/packages/mainline/ubuntu/ focal nginx


# MariaDB 10.5 repository list - created 2020-07-10 13:10 UTC
# http://downloads.mariadb.org/mariadb/repositories/
deb [arch=amd64] http://mirror.yongbok.net/mariadb/repo/10.5/ubuntu focal main
deb-src http://mirror.yongbok.net/mariadb/repo/10.5/ubuntu focal mainCode language: PHP (php)

6.6. 각 저장소 보안키 다운로드 후 시스템에 등록

우선 nginx 보안키 다운로드 후 적용합니다.

cd /root 
wget http://nginx.org/keys/nginx_signing.key && 
apt-key add nginx_signing.key 
rm nginx_signing.keyCode language: PHP (php)

다음으로는 MariaDB 보안키 다운로드 후 적용합니다.

아래는 MariaDB 재단에서 제공하는 Ubuntu 20.04에서 MariaDB를 설치하는 명령어입니다.

sourcelist에서 PPA와 키를 등록하지 않았다면 아래 명령을 사용합니다.

sudo apt-get install software-properties-common
sudo apt-key adv --fetch-keys 'https://mariadb.org/mariadb_release_signing_key.asc'
sudo add-apt-repository 'deb [arch=amd64,arm64,ppc64el] http://mirror.yongbok.net/mariadb/repo/10.5/ubuntu focal main'Code language: PHP (php)

다음으로는 PHP 저장소 추가 및 보안키 등록합니다.

apt-get install software-properties-common

add-apt-repository ppa:ondrej/phpCode language: PHP (php)

add-apt-repository ppa:ondrej/php를 실행하면 여기서 아래와 같은 메세지가 나오면서 엔터를 치라는 메세지가 나오는데요. 고민하지말고 엔터를 치면됩니다.

추가된 보안키 목록을 보려면 아래 명령어를 사용합니다.

apt-key listCode language: PHP (php)

지금까지 작업한 APT 패키지 정보를 업데이트 합니다.

apt-get update
apt-get upgrade -yCode language: PHP (php)

7. Nginx 설치

여기에서는 웹서버로 Nginx를 설치하기 했으므로 Nginx를 설치하고 nginx를 다시 가동(restart)시킵니다.

일반적으로 웹서버는 NGINX가 작은 자원을 가지고 효율적으로 운영될 수 있어서 처름 시작하는 소규모 사이트에서 각광을 받고 있으며 아파치(Apache)는 기준 풍부한 운영 경험을 토대로 대규모 사이트에서 선호된다고 합니다.

예전에서는 웹서버로 아파치를 가장 많이 사용했지면 최근 들어서는 가볍고 효율성이 좋은 NGINX가 가장 많이 사용하는 웹서버가 되었습니다.

코로나 팬데믹으로 쇼핑 사이트드링 증가해서인지 모르지만 지난 2020년 8월인가를 기점으로 NGINX가 가장 높은 점유율을 가진 웹서버로 등극했더군요. 2020년 11월 기준 NGINX 점유율 34%로 27%에 그친 아파치를 여유롭게 리드하고 있습니다.

웹서버 종류별 점유율 추이( ~2020년 11월), Graph by NETCRAFT
웹서버 종류별 점유율 추이( ~2020년 11월), Graph by NETCRAFT

Nginx를 설치하고 nginx를 다시 가동(restart)시킵니다.

apt-get install nginx 
service nginx restart 
nginx -v Code language: PHP (php)

7.1. nginx와 관련 몇 가지 이슈

최근 우분투 20.04에서 nginx를 재구동 하면 이미 메모리가 사용되고 있다고 하면서 nginx가 구동되지 않는 현상을 흔하지는 않지만 만날 수 있었습니다.

이 경우 메모리를 점유하고 있는 프로그램을 보니 apache2관련 된 것이라 apache2를 중단시켜 줍니다.

nginx를 설치해도 apache 기본 파일은 설되어 있더군요.

sudo /etc/init.d/apache2 stopCode language: PHP (php)

또 Nginx가 마스크되었다는 메세지와 함께 작동하지 않는 경우를 만날 수도 있습니다. 흔하지는 않습니다.

Failed to restart nginx.service: Unit nginx.service is masked.

이에 대한 해결책은 unmask는 것이라고 합니다. 아래 명령어를 사용합니다.

sudo systemctl unmask nginx.serviceCode language: PHP (php)

그리고 nginx를 다시 가동 시킵니다.

sudo systemctl start nginx
sudo systemctl enable nginxCode language: PHP (php)

7.2. NGINX 설정

다음 명령어를 사용해 기본 nginx 설정을 합니다.

sudo nano /etc/nginx/nginx.confCode language: PHP (php)

여기서 user nginx;를 user www-data;로 변경합니다.

저장 후 NGINX를 다시 시작합니다.

sudo systemctl reload nginxCode language: PHP (php)

8. PHP 8.0설치

지난 2020년 11월 26일 드디어 PHP 8.0이 발표되었기 때문에 여기에서는 PHP 8.0을 기준으로 설치합니다. PHP 최신 버전은 아래 링크에서 확인해 볼 수 있습니다.

PHP 최신 다운로드 버젼 확인 하러 가기

8.1. PHP 8 설치를 위한 PPA 등록

이는 앞에서 설명했기 때문에 별도로 자세한 설명을 생략합니다. 혹시 PPA 등록이 안되어 있다면 아래 명령어를 사용합니다.

sudo add-apt-repository ppa:ondrej/php 
sudo apt-get updateCode language: PHP (php)

8.2. PHP 8 기본 설치

다른 php 패키지와 마찬가지로 php 8 패키지는 “php8.0-NAME”과 형식으로 이름이 붙습니다.

php 8 기본 패키지 이름은 php8.0-common인데요. 여기에는 php8.0과 같은 기본 프로그램이 포함되어 있습니다.

그리고 php 8 패키지를 한번에 여러가지 설치 시 패키지 이름을 한 칸 띄워 적으면 됩니다. 아래는 php 8 기본 패키지와 CLI 패키지를 같이 설치할 때 아래와 같은 방식으로 적용합니다.

sudo apt install php8.0-common php8.0-cli -yCode language: PHP (php)

위 명령어는 위에서 설명한 대로 php8.0-common 명령에 따라 몇 가지 php 8 기본 패키지와 CLI 패키지를 설치합니다

PHP 8 로고와 데비안 및 우분투 로고 php 8 vs debian vs ubuntu logo
PHP 8 로고와 데비안 및 우분투 로고 php 8 vs debian vs ubuntu logo

8.3. PHP 8 서버 API 설치

사용하는 웹서버에 따라 php 8과 웹서버를 통합할 추가 패키지를 설치합니다.

웹서버로 NGINX를 사용 시 아래와 같이 php8.0-fpm을 설치합니다.

sudo apt install php8.0-fpmCode language: PHP (php)

8.4. PHP 8 extensions

이어서 php 8 추가 확장 프로그램(extensions)을 설치합니다.

여기서 PHP7에서 설치해야 했던 json을 따로 설치할 필요가 없어졌습니다. PHP 8에서는 php8.0-json이 기본으로 포함되어 있습니다.

sudo apt install php8.0-{bcmath,bz2,cgi,cli,curl,dba,dev,enchant,fpm,gd,gmp,imap,interbase,intl,ldap,mbstring,mysql,odbc,opcache,pgsql,phpdbg,pspell,readline,snmp,soap,sqlite3,sybase,tidy,xml,xmlrpc,zip,,xsl}Code language: PHP (php)

8.5. php handler 수정

NGINX를 사용한다면 php handler에서 서버 API를 연결하도록 되어 있는데요. 여기서 php 8로 변경 설정해야 합니다.

nginx에서 변경해야 하는 파일은 /etc/nginx/conf.d/default.conf 인데요.

사람에 따라선 이를 다른 이름으로 사용하는 분도 있습니다. 여러 개의 사이트를 운영하는 경우 사이트명을 변경하는 경우도 있습니다. 저도 이를 happist.com.conf라는 이름으로 사용하고 있습니다.

이 파일에서 fastcgi_pass unix:/run/php/php7.4-fpm.sock; 을 fastcgi_pass unix:/run/php/php8.0-fpm.sock;으로 바꾸어줘야 합니다. 그래야 php8.0을 인식하고 php8.0으로 작동합니다.

# Add PHP handler
    location ~ \.php$ {

    try_files $uri =404; # comment out this line if php-fpm is hosted on a remote machine
    include /etc/nginx/fastcgi.conf;
    fastcgi_cache WORDPRESS;
    # add_header X-Cache $upstream_cache_status;
    # fastcgi_pass unix:/run/php/php7.4-fpm.sock;   --> 아래로 변경
    <span class="highlight">fastcgi_pass unix:/run/php/php8.0-fpm.sock;</span> 
    fastcgi_no_cache $skip_cache;

    fastcgi_split_path_info ^(.+?\.php)(/.*)$;
    if (!-f $document_root$fastcgi_script_name) {
        return 404;
        }
    }Code language: PHP (php)

이렇게 php handler 수정이 끝나면 php8.0-fpm을 재가동합니다.

systemctl restart nginx.service php8.0-fpm.serviceCode language: PHP (php)

8.6. php.ini 파일 수정

PHP 8 설치가 끝났으면 php 설정을 변경합니다. 파일 수정은 fpm 폴더의 php.ini를 수정합니다.

nano /etc/php/8.0/fpm/php.iniCode language: PHP (php)
  • date.timezone을 찾아 Asia/Seoul로 변경
  • cgi.fix_pathinfo=0 값으로 변경
  • 쿠키값 보안을 위해서 session.cookie_httponly 와 session.cookie_secure 값을 1을 준다.

php.ini 파일 수정이 끝나면 PHP-FPM service를 다시 시작합니다.

systemctl restart php8.0-fpm.serviceCode language: PHP (php)

9. MariaDB 설치

안정화된 MariaDB는 10.5까지 출시되어 있습니다.

MariaDB Downloads, Setting up MariaDB Repositories

9.1. MariaDB 10.5 설치

위에서 키와 저장소 정보를 가져오게 되면 아래 명령어로 MariaDB를 설치할 수 있습니다.

아래는 소스리스트에 MariaDB repository가 등록되지 않았다면 아래 명령어로 등록 가능합니다.

sudo apt-get install software-properties-common
sudo apt-key adv --fetch-keys 'https://mariadb.org/mariadb_release_signing_key.asc'
sudo add-apt-repository 'deb [arch=amd64,arm64,ppc64el] http://mirror.yongbok.net/mariadb/repo/10.5/ubuntu focal main'Code language: PHP (php)

아래 명령으로 MariaDB를 설치합니다. 그 이전에 먼저 업데이트를 시작합니다.

apt-get update 
apt-get -y install mariadb-server
service mysql statusCode language: PHP (php)

예전 MariaDB 버전 설치 시 설치 도중에 mysql 비밀번호 설정 화면이 나왔지만 최근 10.4부터는 그런 화면이 나오지 않습니다.

MariaDB는 서버 관리자와 권한을 공유하기로 정책을 변경했기 때문입니다.

9.2. PHP-FPM에 DB 연동관련 모듈설치

apt-get install php8.0-mysqlCode language: PHP (php)

기본 언어셋 설정

이는 매우 중요한 세팅으로 반드시 필요합니다. 우분투 18.04부터는 위치가 조금 바뀌었습니다.

예전에는 my.cnf 파일을 직접 편집하도록 되어 있지만 지금은 mariadb.cnf를 편집하면 my.cnf에 그대로 반영됩니다.

nano /etc/mysql/mariadb.cnfCode language: PHP (php)

아래 내용으로 변경한다.

# MariaDB-specific config file.
# Read by /etc/mysql/my.cnf

[client]
 Default is Latin1, if you need UTF-8 set this (also in server section)
 default-character-set = utf8mb4
 [mysqld]
 #
 * Character sets
 #
 Default is Latin1, if you need UTF-8 set all this (also in client section)
 #
 character-set-server = utf8mb4
 collation-server = utf8mb4_unicode_ci
 character_set_server = utf8mb4
 collation_server = utf8mb4_unicode_ciCode language: PHP (php)

변경 내용을 반영해 DB를 다시 시작합니다.

service mysql restartCode language: PHP (php)

9.3. Nginx와 PHP-FPM 연결

nginx는 기본적으로 nginx 사용자 권한으로 실행되고, PHP-FPM 프로그램은 기본적으로 www-data 사용자 권한으로 실행되므로 둘의 사용자 권한을 www-data로 일치시킨다.

nano /etc/nginx/nginx.confCode language: PHP (php)
  • user nginx; 를 user www-data; 로 변경
  • worker_processes 1; 를 worker_processes auto; 로 바꾼다. 고사양 서버에서 성능이 더 좋아진다고. 일반적으로 트래픽이 적은면 1을 사용하고 트래픽이 많아지면 auto를 사용한다.
service nginx restartCode language: PHP (php)

9.4. fastcgi_params 내용 수정

fastcgi_params를 열어서 아래 내용으로 변경합니다.

nano /etc/nginx/fastcgi_paramsCode language: PHP (php)

아래와 같이 변경
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 등이 추가하라고 합니다.

fastcgi_param   QUERY_STRING            $query_string;
fastcgi_param   REQUEST_METHOD          $request_method;
fastcgi_param   CONTENT_TYPE            $content_type;
fastcgi_param   CONTENT_LENGTH          $content_length;

fastcgi_param   SCRIPT_FILENAME         $document_root$fastcgi_script_name;
fastcgi_param   SCRIPT_NAME             $fastcgi_script_name;
fastcgi_param   PATH_INFO               $fastcgi_path_info;
fastcgi_param   PATH_TRANSLATED         $document_root$fastcgi_path_info;
fastcgi_param   REQUEST_URI             $request_uri;
fastcgi_param   DOCUMENT_URI            $document_uri;
fastcgi_param   DOCUMENT_ROOT           $document_root;
fastcgi_param   SERVER_PROTOCOL         $server_protocol;

fastcgi_param   GATEWAY_INTERFACE       CGI/1.1;
fastcgi_param   SERVER_SOFTWARE         nginx/$nginx_version;

fastcgi_param   REMOTE_ADDR             $remote_addr;
fastcgi_param   REMOTE_PORT             $remote_port;
fastcgi_param   SERVER_ADDR             $server_addr;
fastcgi_param   SERVER_PORT             $server_port;
fastcgi_param   SERVER_NAME             $server_name;

fastcgi_param   HTTPS                   $https;

# PHP only, required if PHP was built with --enable-force-cgi-redirect
fastcgi_param   REDIRECT_STATUS         200;Code language: PHP (php)

10. Let’s Encrypt SSL인증서 발급 – 서버를 통한 발급

Let’s Encrypt SSL인증서 발급 방법에는 여러가지가 있으나 여기에서는 서버를 통한 발급 방법을 선택합니다. 제가 여러 방법으로 설치해 보았는데 서버를 통한 Let’s Encrypt SSL인증서 발급이 가장 안정성이 높았습니다.

다른 방법을 적용 시 S전자와 같은 회사 방화벽과 충돌이 나서인지 사이트를 이용할 수 없는 경우가 발생했었습니다.

그리고 Let’s Encrypt SSL인증서 발급을 위해서 일부에서 안내하는 것 처럼 certbot을 추가로 설치할 필요가 없습니다. 앞에서 letsencrypt를 설치했다면 이를 이용하면 됩니다.

먼저 nginx를 중단시킵니다. 이는 인증서 설치 시 80포트를 사용하지 않도록 하기 위해 nginx를 중단 시키는 것이라고 해요.

service nginx stop   Code language: PHP (php)

그리고 certbot 명령으로 SSL 인증서를 발급하도록 합니다. 가장 안정적인 옵션이 certonly라서 이를 사용합니다.

certbot certonly --standalone -d happist.com -d www.happist.com Code language: PHP (php)

인증서 발급이 성공적으로 끝나면 다시 nginx를 가동 시킵니다.

service nginx restartCode language: PHP (php)

이 명령을 사용해서 여러 사이트를 동시에 인증받을 수 있습니다.

하지만 인증 파일이 특정 폴더에 한 파일로 묶여버리기 때문에 나중 관리가 어려울 수 있습니다.

따라서 사이트마다 별도로 폴더를 만드려면 따로 따로 인증 명령을 주어야 합니다.

Let’s Encrypt SSL 인증서의 만료일자 확인하기

아래 명령어를 사용합니다.

echo | openssl s_client -connect [your-hostname]:443 2>/dev/null | openssl x509 -noout -datesCode language: PHP (php)

DH Param 생성, 적용하기

앞의 작업으로 인증서 설치는 끝나지만 보다 보안을 강화하기 위해서 DH Param 생성합니다.

mkdir /etc/nginx/ssl  
cd /etc/nginx/ssl
openssl dhparam -out dhparams.pem 4096 

openssl rand 48 > session_ticket.key Code language: PHP (php)

nginx conf 파일에 추가

인증서를 획득하는게 중요한게 아니고 얼마나 철저한 암호화 설정을 하느냐가 중요하기에 암호화 알고리즘을 적용합니다.

이 중에서 중요한 것은 ssl_ciphers인데요. 이에 대해서는 모질라 재단에서 제공하는 SSL Configuration Generator를 사용하면 좋을 것 같습니다.

여기에서는 nginx 1.17.7을 기준으로 보안 설정을 추천하고 있습니다. 여기서는 NGINX 기준으로 모던 브라우저와 올드 브라오져 중간에 있는 Intermediate를 선택해 설정한 내용을 여기에 옮겨 봅니다.

server {
     listen 443 ssl http2;
     listen [::]:443 ssl http2;

     <code>ssl_certificate /path/to/signed_cert_plus_intermediates; </code>
     <code>ssl_certificate_key /path/to/private_key; </code>
     <code>ssl_session_timeout 1d; </code>
     <code>ssl_session_cache shared:MozSSL:10m;  # about 40000 sessions </code>
     <code>ssl_session_tickets off; </code>

     <code># curl https://ssl-config.mozilla.org/ffdhe2048.txt > /path/to/dhparam </code>
     <code>ssl_dhparam /path/to/dhparam; </code>

    <code># intermediate configuration </code>
    <code>ssl_protocols TLSv1.2 TLSv1.3; </code>
    <code>ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; </code>
    <code>ssl_prefer_server_ciphers off; </code>

    <code># HSTS (ngx_http_headers_module is required) (63072000 seconds) </code>
    <code>add_header Strict-Transport-Security "max-age=63072000" always; </code>

    <code># OCSP stapling ssl_stapling on; </code>
    <code>ssl_stapling_verify on; </code>

    <code># verify chain of trust of OCSP response using Root CA and Intermediate certs</code>
    <code>ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates; </code>

    <code># replace with the IP address of your resolver </code>
    <code>resolver 127.0.0.1;</code>
 }Code language: PHP (php)

SSL 인증서 발급 관련해 보다 자세한 내용을 아래 글을 참조해 보시면 좋을 것 같습니다.

참고 Let’s Encrypt SSL인증서 발급 관련 참고 – 1주일에 5번만 발급 가능

서버를 세팅하다보면 본의아니게 서버 설치를 반복하게 됩니다.

이런 저런 문제를 해결하고자 고민하다 문제 원인을 못 잡으면 다시 설치하고 또 다시 설치하고를 반복하게 되죠.

그런데 Let’s Encrypt SSL인증서는 1주일에 5번까지 발급 받을 수 있도록 제한되어 있습니다. 여러번 시행 착오를 통해서 5번이 넘어서면 아래와 같은 메세지가 나오면서 발급이 안됩니다.

An unexpected error occurred:
There were too many requests of a given type :: Error creating new cert :: too many certificates already issued for exact set of domains: test.com www.test.comCode language: PHP (php)

참고하시기 바랍니다.

11. FastCGI 캐시를 메모리에서 작동시키기

nano  /etc/fstabCode language: PHP (php)

fstab에서 아래와 같이 RAM 디스크를 등록해 줍니다.

tmpfs /dev/shm/fastcgi tmpfs defaults,size=1024M 0 0Code language: PHP (php)

다음에는 RAM Disk를 구성할 디렉토리와 소유권등을 정리해 줍니다. RAM Disk로 /dev/shm/fastcgi를 만들겠습니다.

mkdir /dev/shm/fastcgi
chown www-data:www-data /dev/shm/fastcgi
chmod +x /dev/shm/fastcgiCode language: PHP (php)

이러면 자동으로 디렉토리를 만들게 됩니다.
그리고 나서 NGINX 시스템을 다시 실행합니다. –> 이제 새로운 RAM Disk를 마운트합니다.

service nginx restart
mount -a  
df -h  # 메모리 및 저장 공간 사용 현황을 보여줍니다. Code language: PHP (php)

참고로 RAM Disk를 없애려면 /etc/fstab에서 Ram 디스크를 지우고, 터미널에서 umount 명령을 사용합니다.

umount /dev/shm/fastcgiCode language: PHP (php)

Object Cache Redis

조금 더 성능을 강화하기 위해서는 Object Cache를 설치하면 도움이 됩니다. 그렇지만 워드프레스에서 이 Object Cache를 할용하려면 별도 플러그인을 사용하라고 하는데요.

이 플러그인들은 워드프레스 업데이타나 PHP 업그레이드 등에서 충돌을 일으키는 경우가 종종 있어 불안정 합니다.

저도 사용하다가 지금은 중단한 상태입니다. 참고로만 보시기 바랍니다. PHP 8.0에서는 에러를 내기 때문에 조금 더 안정화되기를 기다리면 좋을 것 같습니다.

sudo apt install redis-server
sudo service php8.0-fpm restartCode language: PHP (php)

워드프레스에서 이 오브젝트 캐시를 사용하려면 edis Object Cache 플러그인을 사용합니다. Redis Object Cache by Till Krüss가 추천된다고 합니다.

[참고] MySQL tmp 디렉토리를 램에 올리면 안되는 이유

mysql을 최적화해도 상당수의 데이타를 처리하기 위해서 디스크에 temp 파일을 저장하면서 사용합니다.

이를 막기 위해서 tmp 폴더를 램으로 지정해 주는 것을 추천했었는데요. 이는 에러 요인이 되기 때문에 tmp 디렉토를 메모리에 올리면 안됩니다.

처음에는 아애 소개하는 방법대로 /tmp 디렉토리를 메모리에 올려 사용했으나 치명적인 문제는 없지만 지속적으로 에러가 발생한다는 것을 알았습니다.

여러 번 시행 착오와 error log 분석을 통해서 결국 리눅스 tmpfs 파일시스템은 일부 임시 파일생성을 허용하지 않기 때문에 에러가 발생하다는 사실을 확인하고 임시 파일 폴더를 메모리에 올리는 것을 포기 했습니다.

제가 받은 에러 메세지는 리눅스 커널에서 MariDB가 tmpfs 파일시스템에서 일부 임시 파일 생성하는 것을 허용하지 않아 에러가 발생하는 “mariadbd: O_TMPFILE is not supported on /dev/shm (disabling future attempts)” 였습니다.

아래는 기록용으로 잘못 가이드 내용을 휘소선을 추가해 남겨 놓았습니다.

이 폴더의 권한을 mysql이 사용할 수 있도록 변경합니다.

<s>chown mysql:mysql /dev/shm/mysql</s>Code language: PHP (php)

그리고 mysql 설정 파일에서 tmp 폴더를 변경합니다.

<s>nano /etc/mysql/my.cnf</s>Code language: PHP (php)
<s>[mysqld]
tmpdir = /dev/shm</s>Code language: PHP (php)

마지막으로 mysql을 다시 가동 시킵니다.

<s>service mysqld restart  

or

service mysql restart</s>Code language: PHP (php)

12. 워드프레스 설치

지금부터는 워드프레스를 설치해 보도록 하겟습니다.

12.1. 루트 폴더(document root) 지정

워드프레스를 설치하려면 어떤 위치에 설치할 것 인지를 정해야 합니다. 그리고 위치 폴더를 만들고 그 폴더 소유권을 변경합니다.

예를 들어 /home/etrend라는 위치에 워드프레스를 설치한다고 해보죠.

우선 워드프레스를 설치할 폴더를 만듭니다.

mkdir /home/etrend Code language: PHP (php)

다음으로는 폴더 소유권을 root에서 nginx로 바꿉니다. 그래야 nginx가 제대로 작동하면서 작업을 할 수 있습니다.

chown -R www-data:www-data /home/etrend/ Code language: PHP (php)

다음으로는 폴더 전체 권한을 755로 변경합니다.

chmod -R 755  /home/etrend/  Code language: PHP (php)

12.2. 워드프레스 설치를 위한 DB 생성

워드프레스가 사용한 데이타베이스를 만듭니다. 이는 아래 명령어를 사용합니다.

우선 mysql로 진입합니다. MariaDB 최근 버전부터는 시스템 비밀번호를 공유하기 때문에 이미 시스템에 들어와 있으면 별다른 비밀번호가 필요하지는 않습니다.

mysqlCode language: PHP (php)

아래와 같은 명령어를 사용해 db이름과 db 사용자 및 비밀번호를 등록합니다.

CREATE DATABASE wp; 
CREATE USER username@localhost; 
SET PASSWORD FOR happist@localhost= PASSWORD('password'); 
GRANT ALL PRIVILEGES ON wp.* TO username@localhost IDENTIFIED BY 'password'; 
FLUSH PRIVILEGES;Code language: PHP (php)

백업 방법

데이타베이스 백업은 아래와 같은 명령을 사용합니다.

mysqldump --opt --single-transaction -u username -ppassword dbname > backup_file_name.sql Code language: PHP (php)

복원 방법

위에서 백업 받은 데이타베이스는 아래 명령을 사용해서 복원할 수 있습니다.

mysql -u username -ppassword dbname < backup_file_name.sql Code language: PHP (php)

12.3. 워드프레스 설치

이제 워드프레스를 설치해 보시죠. .

워드프레스 관련 디렉토리 소유권을 nginx인 www-data로 넘겼지만 가끔 플러그인들이 제대로 설치가 안되는 경우도 나타납니다.

이럴 경우는 플러그인 설치 시 만들어진 폴더에 제대로 된 권한 부여가 안된 상태인 경우가 대부분입니다.

이때는 다시 한번 파일 권한 명령을 주면 대부분 해결됩니다.

chown -R www-data:www-data /home/etrend/ 
chmod -R 755  /home/etrend/  Code language: PHP (php)

워드프레스 파일 받아 설치하기

워드프레스 한국 버젼은 워드프레스의 공홈이라하 할 수 있는 https://ko.wordpress.org에서 다운 받을 수 있습니다.

워드프레스 최신 버젼을 릴리즈 하는 곳

우선 워드프레스를 설치하려는 폴더로 이동합니다. 위에서 이야기한 대로 /home/etrend에 설치한다고 해보죠,

cd /home/etrendCode language: PHP (php)

여기에서 최신 버젼의 워드프레스를 다운 받아 압추을 풉니다.

wget https://wordpress.org/latest.tar.gz

tar -xzf latest.tar.gzCode language: PHP (php)

그러면 /home/etrend/wordpress라는 폴더가 생기고 여기에 워드프레스 관련 파일들이 생깁니다.

그러면 이 파일 및 하위 폴더들을 전부 설치 폴더인 /home/etrend로 복사하도록 하죠.

이는 아래와 같은 명령을 사용합니다.

cp -r /home/etrend/wordpress/*  /home/etrendCode language: PHP (php)

그리고 다운받은 워드프레스 파일 및 wordpress 폴더를 삭제합니다.

rm -rf /home/etrend/wordpress Code language: PHP (php)

다시 한번 파일 권한을 지정합니다. 워드프레스에서 권장하는 권한은 폴더의 경우는 755 파일들은 644이며 wp-config.php파일은 매우 중요한 정보를 담고 있으므로 660으로 제한하고 있습니다.

chown -R www-data:www-data /home/etrend

find . -type f -exec chmod 644 {} +
find . -type d -exec chmod 755 {} +
chmod 660 wp-config.phpCode language: PHP (php)

12.4. nginx 설정에서 루트 폴더 지정

워드프레스 설치 위치가 정해지고 여기에 워드프레스 설치 파일들을 복사해 놓았다면 웹서버 nginx에서 이 위치를 루트 디렉토리로 지정해 줍니다.

기본적으로 루트 디렉토리는 /usr/share/nginx/html로 되어 있습는데요. 이를 설치하고자 하는 /home/etrend로 변경합니다.

그래야 nginx가 이곳에 와서 워드프레스 파일들을 실행시킵니다.

nano /etc/nginx/conf.d/도메인주소Code language: PHP (php)

여기서 아래와 같은 내용으로 변경합니다.

server_name happist.com www.happist.com;
root   /home/etrend;Code language: PHP (php)

12.5. 워드프레스 설치

워드프레스 설치파일을 /home/사용자계정/www에 올려놓았다면 인터넷상에서 사이트 주소를 치면 바로 워드프레스 설치 화면으로 들어 갑니다.

여기까지왔다면 거의 성공한 것이나 마찬가지 입니다.

여기서부터는 그 유명한 워드프레스 5분 설치가 가능합니다. 기존에 준비했던 정보들을 입력하면서 진행하면 됩니다.

아래 설치 단계별 이미지를 순서대로 소개한다. 이를 참조하면 된다.

워드프레스에 오신 것을 환영합니다.

처음으로 나오는 화면

워드프레스 설치 시작 화면_워드프레스에 오신 것을 환영합니다.

데이타베이스 연결 설정

위 장면에서 let’s go를 누르면 아래 화면이 나옵니다. 여기에서 데이타베이스 연결을 위한 세팅합니다.

  • db name
  • db user
  • 비밀번호
  • 데이타베이스 호스트 대개 그냥 localhost를 사용한다.
  • 데이타베이스 접두어, wp를 대부분 사용하는 듯
워드프레스 설치 시작 화면_데이타베이스 연결 설정

데이타베이스 설치과정 완료

데이타베이스 세팅이 완료되면 아래와 같이 설치과정을 마쳤다는 메세지가 나온다.
정말로 간단하게 설치가 끝난 것이다.

워드프레스 설치 시작 화면_데이타베이스 설치과정 완료

워드프레스 5분 설치과정에 오신 것을 환영합니다.

위에서 데이타베이스 설정이 끝나면 바로 본격적인 워드프레스 설치과정이 시작된다.
이 단계가 너무 쉽고 간단하기때문에 워드프레스에서는 5분 워드프레스 설치 과정이라고 홍보하고 있다.

여기에서는 관리자가 필요한 항목들을 입력하고 워드프레스 설치하기를 누른다.

  • 사이트제목
  • 사용자명
  • 비밀번호
  • 이메일주소
워드프레스 설치 시작 화면_워드프레스 5분 설치과정에 오신 것을 환영합니다

워드프레스 설치 완료

그러면 몇분 걸리지 않아 워드프레스가 설치되고 대시보드 화면이 나타납니다.

이제부터는 정상적으로 워드프레스로 사이트를 운영하면 됩니다.

워드프레스 설치성공 후 첫 시작 화면05

워드프레스 세팅

워드프레스가 설치 되었으면 몇가지 세팅 합니다.

  • 먼저 고유주소를 세팅, SEO에 좋다고 누가 그래서 ID와 이름으로 고유주소를 만들었다. 이는 생각보다 길어지고 한글 문제는 속을 썩힌다. – /%post_id%/%postname%/
  • 적절한 테마 설정
  • 테마에 따른 위젯 등 설정

12.6. 워드프레스 설치 시 가끔 나오는 에러들

워드프레스 설치 시 후 완전히 세팅되기 전에 만날 수 있는 몇가지 에러를 정리해 봤습니다.

FTP 증명서를 입력하세요.

워드프레스 설치 후 플러그인을 지운다든지 뭐가 영향을 미치는 행동을 할 시 아래와 같은 메세지가 나오면서 진행이 안되는 경우가 있습니다.

요청한 작업을 수행하려면, 워드프레스는 웹 서버에 접속해야 합니다. 계속 진행하기 위해 FTP 증명서를 입력하세요. 증명서가 기억나지 않는다면 웹 호스트에게 연락하세요.

이는 서버가 이 폴더에 대한 권한이 없기 때문이므로 nginx가 이 폴더를 소유할 수 있도록 권한을 변경하면 됩니다. 권한 변경은 위에서 설명한대로..

chown -R www-data:www-data /home/etrend/ 
chmod -R 755 /home/etrend/Code language: PHP (php)

403 error

나름 제대로 세팅했다고 생각하고 인터넷에서 주소를 입력하면 403에러가 뜨면서 연결이 아예 안되는 경우가 있습니다.

이에 대한 여러 이유가 있는데 그중 하나가 index.php파일 없을 때도 뜬다고 합니다.

워드프레스 파일을 올리는 과정에서 이 파일만 빠지거나 어떤 이유로 삭제되어서 발생하는 경우입니다.

기타

Postfix와 구글 지메일을 이용해 메일 보내기

postfix를 이용해 우분투에서 메일 서버를 구축하고 외부로 메일을 보내는 방법에 대해서는 아래 글을 참조하세요.

아래 글은 우분투 서버에서 직접 메일 서버를 구축해 메일을 보내는 것이 아니라 구글 지메일 메일 서를 이용해 메일이 보내 안전하고 안정적으로 메일을 보낼 수 있는 방법에 대한 소개입니다.

메일 서버 운영은 상당한 보안ㅇ위험이 따르기 때문에 메일을 받는 기능은 일반적으로 채택하지 않습니다.

참고

도쿄 리젼과 비교해 본 Vultr 서울 리젼 사용기

가성비가 뛰어난 Vultr 가상서버호스팅(클라우드호스팅,VPS) 사용기

Vultr 가상서버호스팅의 새상품 High Frequency 사용기

가상 서버를 운영하고픈 勇者에게 전하는 가상 서버 운영 입문 노하우 – Vultr 가상서버호스팅(VPS)를 중심으로

해외 가상서버호스팅(VPS)이 국내 호스팅보다 빠르다? – 아이비호스팅과 해외 가상서버호스팅 VULTR간 비교

사이트 운영을 위한 안내 – 웹서버 세팅에서 워드프레스 설치까지(우분투 17.10, NGINX 1.13.6, Marian DB 10.2, PHP7.2)

워드프레스 최적화를 위한 18개월간의 고민, 그 노하우를 담다.

spot_img

Latest articles

Related articles

spot_img