랜섬웨어 2차 피해 예방 및 보안 강화를 위해 3Rabbitz 서버(docs.mantech.co.kr)를 새로 구축합니다.
이 문서에서 모든 작업(명령)은 root 계정을 전제하지만, 불가할 경우 sudo를 사용하여 진행하십시오.
VM 정보
항목 | 내용 |
|---|---|
위치 | vcenterdev.mantech.co.kr > docs.mantech.co.kr |
CPU | 4 Core |
Memory | 8GB |
HDD | 1(시스템): 80GB, 2(3rabbitz): 40GB, 3(백업): 40GB |
백업
OS 준비 및 사전 작업
3rabbitz 설치
기존 서버에서 3rabbitz 파일을 제어하기 전에 3rabbitz 서비스를 중지하십시오.
Case 1) 서버 변경 시 
참고 링크: 3rabbitz 서버 옮기기
서버(VM)만 번경할 경우 별도의 설치 과정 없이, scp와 같은 명령을 통해 아래 3rabbitz 관련 디렉터리를 통째로 복사합니다.
# 예시) 기존 서버의 /3rabbitz/를 새 서버의 /로 복사 scp -r mdrm@docs.mantech.co.kr:/3rabbitz/ /
/3rabbitz/ (기본 설치 및 저장 파일)
/3rabbitzbackup/ (백업 파일)
/home/tomcat/ (derby DB 파일)
Case 2) 신규 구축 시
Certbot 설치 및 SSL 인증서 발급
무료 SSL 인증서인 Let’s Encrypt 인증서를 자동으로 발급(갱신)해주는 Certbot을 설치하고 인증서를 발급합니다.
Certbot 설치(Ubuntu 20.04 기준)
Certbot은 설치 방법과 패키지가 다양합니다. 여기서는 apt를 사용하여 certbot과 python3-certbot-apache를 설치합니다.
Certbot 설치에 실패할 경우 다음 작업을 수행 후 진행하십시오.
방화벽 해제
80, 443 포트 미사용
# certbot, python3-certbot-apache 설치 apt install -y certbot python3-certbot-apache
인증서 발급 및 자동 갱신
인증서 발급
다음 명령과 캡쳐 이미지를 참고하여 SSL 인증서를 발급합니다.
# 인증서(apache용)만 발급 certbot certonly --apache -d docs.mantech.co.kr
Saving debug log to /var/log/letsencrypt/letsencrypt.log Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): user@mantech.co.kr - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server. Do you agree? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing, once your first certificate is successfully issued, to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: N Account registered. Requesting a certificate for docs.mantech.co.kr Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/docs.mantech.co.kr/fullchain.pem Key is saved at: /etc/letsencrypt/live/docs.mantech.co.kr/privkey.pem This certificate expires on 2022-08-24. These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. ...
인증서 확인
ls /etc/letsencrypt/live/docs.mantech.co.kr/
인증서 갱신
1. 인증서 발급 명령 후 '2' 입력(Enter)
certbot certonly --apache -d docs.mantech.co.kr ... Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
2. keystore.p12 인증서 교체 (아래 “keytool로 keystore.p12 생성” 참고)
→ 기존 파일 삭제 후 새 인증서 생성
3. 3rabbitz 서비스 재시작
/3rabbitz/bin/shutdown.sh /3rabbitz/bin/startup.sh
keytool로 keystore.p12 생성
기존 데이터 복사로 인해 /3rabbitz/keystore.p12 파일이 있다면 삭제 후 인증서를 생성하십시오.
이때 입력한 비밀번호를 기억하여 이후에 server.xml 파일 설정 시 입력하십시오.
keytool -genkey -alias tomcat -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore keystore.p12 -validity 3650 새 비밀번호 다시 입력: (예:roqkf2xla) 이름과 성을 입력하십시오. [Unknown]: 조직 단위 이름을 입력하십시오. [Unknown]: 조직 이름을 입력하십시오. [Unknown]: 구/군/시 이름을 입력하십시오? [Unknown]: 시/도 이름을 입력하십시오. [Unknown]: 이 조직의 두 자리 국가 코드를 입력하십시오. [Unknown]: CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown이(가) 맞습니까? [아니오]: yes
pkcs12 형식으로 변경
openssl pkcs12 -export -in /etc/letsencrypt/live/docs.mantech.co.kr/fullchain.pem -inkey /etc/letsencrypt/live/docs.mantech.co.kr/privkey.pem -out /3rabbitz/keystore.p12 -name tomcat -CAfile /etc/letsencrypt/live/docs.mantech.co.kr/chain.pem -caname root
3rabbitz의 tomcat 설정 파일에 https 적용
https 적용을 위해 server.xml과 web.xml 파일을 수정합니다.
Apache derby DB
3rabbitz는 데이터베이스로 Apache derby DB를 사용합니다. 자동 번역기를 사용하려면 DB 모드 변경이 필요하고, 이를 위해 관련 설정이 적용된 기존 서버의 /home/tomcat/ 디렉터리를 이관해야 합니다.
자동 번역기 사용을 위한 DB 모드 변경
3rabbitz에 내장된 derby DB는 "Embedded Derby" 모드를 기본으로 사용합니다. 자동 번역 프로그램을 사용하려면 외부(타 애플리케이션)에서 접속할 수 있어야 하지만, 이 모드는 오직 해당 JVM instance 하나만 데이터베이스에 접속 가능합니다. 따라서 derby DB를 별도로 설치하고 3rabbitz의 DB 연결 옵션을 "Derby Network Server" 모드로 변경해야 합니다.
작업 절차
서버 변경 시, 기존 서버에 관련 설정이 적용되어 있어 아래 작업 없이 관련 데이터만 이관합니다.
apache derby 설치파일 다운로드
다운로드 주소: https://db.apache.org/derby/releases/release-10_14_2_0.cgi
서버 내 다운로드 위치: /home/tomcat/db-derby-10.14.2.0-bin/3rabbitz/tomcat/conf/server.xml에서 database 연결옵션 변경
# 변경 전(기존 내용) <Resource name="jdbc/Base" auth="Container" type="javax.sql.DataSource" maxTotal="100" maxIdle="30" maxWaitMillis="10000" username="database" password="database" driverClassName="org.apache.derby.jdbc.EmbeddedDriver" url="jdbc:derby:database;create=true" />위 내용을 다음과 같이 변경합니다.
# 변경 후 <Resource name="jdbc/Base" auth="Container" type="javax.sql.DataSource" maxTotal="100" maxIdle="30" maxWaitMillis="10000" username="database" password="database" driverClassName="org.apache.derby.jdbc.ClientDriver" url="jdbc:derby://127.0.0.1:1527/;create=true" />
DB 동작 스크립트 및 MCCS 적용
/home/tomcat/dbScripts/에 작성된 스크립트를 실행하여 외부에서 DB에 접속할 수 있도록 합니다.
또한 아래의 시작/종료/모니터링 스크립트를 MCCS 복합 응용 리소스로 등록하여 서비스 동작을 제어합니다.
참고
/wiki/spaces/QA/pages/959578623