따라서 서버 환경이 다르면 세팅 방법이 다소 상이할 수 있습니다.

사람들은 해외에서 국내에서만 접속 가능한 사이트 이용을 원한다거나 보안상의 필요성 등 다양한 이유로 가상 사설망(VPN, Virtual Private Network)을 사용한다. 상용 VPN 서비스가 더 간편하지만, 직접 구축하면 적은 비용과 탄력적 사용이 가능한 이점이 있다.

(0) Outline은 무엇인가

Outline은 언론사와 기자들의 안전한 인터넷 엑세스를 표방하며 Jigsaw사가 내놓은 오픈소스 VPN 소프트웨어로 전문 지식 없이도 손쉽게 사용할 수 있다.

(1) 인스턴스 생성

구축에 앞서 Amazon Lightsail에 인스턴스를 생성해준다. 이미지는 Ubuntu 18.04 LTS 버전을 고르되, 위치와 플랜은 용도에 맞게 선택한다.

AWS의 기본 전송량은 인바운드, 아웃바운드 트래픽이 각각 차감된다.

(2) 인스턴스 설정

인스턴스에 고정 IP를 연결해준다.

터미널 접속 후 모든 패키지 최신 버전으로 업그레이드(권장)

• $ sudo su
• $ apt update
• $ apt upgrade

Outline 사이트에 접속해서 Outline Manager을 다운로드 후 설치한다.

Amazon Web Services 탭을 누른다.

2번란의 내용을 클립보드에 복사한다.

우측 하단 아이콘을 누르면 나오는 창에 복사한 내용을 붙여넣은 후, 터미널 화면에서 마우스로 우클릭하면 위와 같이 터미널상에 명령어가 입력된다.

Docker를 설치하라는 메시지가 나온다. y를 입력해 설치한다.

랜덤 할당된 Management와 Access key의 포트를 확인한다. 위에서는 TCP 8119, TCP/UDP 13525

방화벽 설정에서 할당된 포트를 열어준다.

연두색으로 표시된 부분을 드래그해 복사 후, 우측 하단 아이콘을 누르면 나오는 창에서 다시 복사한다.

Outline Manager로 돌아가 3번란에 복사한 내용을 붙여넣으면 서버 설정은 끝난다.

(3) 기기 연결하기

엑세스 키 옆의 아이콘을 누르면 위와 같은 창이 뜬다. 엑세스 코드를 복사한다.

Outline 사이트에서 OS별 소프트웨어를 다운로드 후 설치한다. 그다음 실행하여 복사한 엑세스 코드를 입력하면 된다. (Android나 iOS의 경우 플레이스토어나 앱스토어에서 Outline을 검색)

(4) 확인 및 참고사항

연결된 기기의 IP주소가 서버의 고정 IP와 일치하는지 확인한다.

Outline Manager에서 엑세스 키별 트래픽을 확인할 수 있다.

(0) 우분투 업그레이드

• OS 버전 확인 $ lsb_release -a
• 우분투의 모든 패키지를 최신 버전으로 업그레이드 $ sudo apt update $ sudo apt upgrade $ sudo apt dist-upgrade
• 업데이트 매니저 설치 후 릴리즈 업그레이드 $ sudo apt install update-manager-core $ sudo do-release-upgrade -d

(1) 서버 정보 확인 및 설정

• OS 버전 확인 $ lsb_release -a
• 운영체제 확인 $ getconf LONG_BIT
• CPU 정보 확인 $ cat /proc/cpuinfo CPU 코어 수만 확인 $ cat /proc/cpuinfo | grep processor | wc -l
• 메모리 확인 $ free -m
• 저장소 용량 확인 $ df -h

• $sudo apt update $sudo apt upgrade
• 시스템 시간 설정 $ dpkg-reconfigure tzdata

(2) 루트 로그인 및 비밀번호 설정

• 기본 계정 확인 $ whoami
• 루트 로그인 $ sudo su

• 비밀번호 설정 $ passwd root $ passwd 기본계정 Amazon Lightsail에서 우분투 기본 계정은 ubuntu다.

(3) vsftpd 설치 및 설정

• vsftpd 설치 $ apt install vsftpd $ vi /etc/vsftpd.conf white_enable=yes 주석제거 local_umask=022 주석제거 chroot_local_user=YES 주석제거 $ service vsftpd restart

• Lightsail sftp 루트 로그인 설정 $ vi /etc/ssh/sshd_config PermitRootLogin yes로 변경 PasswordAuthentication yes로 변경 $ service sshd restart

(3) apache2 설치 및 모듈설정

• apache2 설치 $ apt install apache2
• 버전 확인 $ apache2 -v

• 기본 파일 삭제 $ rm /var/www/html/index.html
• 모듈 설정 $ a2enmod rewrite $ a2enmod headers $ a2enmod ssl $ a2dismod -f autoindex $ systemctl restart apache2
• apache2 기본 언어셋 설정 $ vi /etc/apache2/conf-available/charset.conf UTF-8 라인의 주석을 제거한다.

• apache 추가 보안 설정 $vi /etc/apache2/conf-available/security.conf

(4) PHP 설치 및 설정

• php 설치 $ apt install php
• 다국어처리, 이미지처리 모듈을 설치 $ apt install php-mbstring php-gd php-curl php-xml
• 원격지 불러오는 모듈 설치 $ apt install php-curl php-xml
• 버전 확인 $ php -v

• php 권한설정 $ apt-cache search mpm-itk $ apt install libapache2-mpm-itk $ chmod 711 /home $ chmod -R 700 /home/*
• PHP Default timezone 설정 $ vi /etc/php/7.2/apache2/php.ini $ vi /etc/php/7.2/cli/php.ini date.timezone 값을 찾아서 주석 제거 후 Asia/Seoul 설정

(5) MariaDB 설치 및 기본 언어셋 설정

• MariaDB 설치 $ apt install mariadb-server
• MariaDB 초기화 $ /usr/bin/mysql_secure_installation 비밀번호만 설정한 후 다른 항목은 엔터를 누른다. 실수하면 명령어를 재실행하면 된다.
• DB연동 모듈 설치 $ apt install php-mysql
• 버전 확인 $ mysql -V

• 언어셋 설정 $ vi /etc/mysql/mariadb.conf.d/50-server.cnf [mysqld] 항목 아래에 두 줄 추가한다.
  character-set-server = utf8mb4
  collation-server = utf8mb4_unicode_ci $ service mysqld restart

• root의 인증 플러그인 정보 제거하기 $ mysql $ use mysql; $ update user set plugin='' where User='root'; $ flush privileges; $ exit;

(6) 보안 설정

• php 실행 확장자 변경 (.php를 제외한 확장자의 접근을 차단한다) $ vi /etc/apache2/mods-available/php7.2.conf

  <FilesMatch ".+\.ph(p3|p4|p5|p7|t|tml)$">
      Require all denied
  </FilesMatch>

  
• apache2 보안패치 (파일 및 폴더 보호, Web Access가 되어서는 안 될 파일들의 접근 제어) /etc/apache2/apache2.conf 파일 <FilesMatch “^\.ht”> 구문 아래에 추가

  # deny file, folder start with dot
  <DirectoryMatch "^\.|\/\.">
      Require all denied
  </DirectoryMatch>
    
  # deny (log file, binary, certificate, shell script, sql dump file) access.
  <FilesMatch "\.(?i:log|binary|pem|enc|crt|conf|cnf|sql|sh|key|yml|lock|gitignore)$">
      Require all denied
  </FilesMatch>
    
  # deny access.
  <FilesMatch "(?i:composer\.json|contributing\.md|license\.txt|readme\.rst|readme\.md|readme\.txt|copyright|artisan|gulpfile\.js|package\.json|phpunit\.xml|access_log|error_log|gruntfile\.js|config)$">
      Require all denied
  </FilesMatch>
   
  # Allow Lets Encrypt Domain Validation Program
  <DirectoryMatch "\.well-known/acme-challenge/">
      Require all granted
  </DirectoryMatch>

  

(7) phpMyAdmin 설치

• phpmyadmin 설치 $ apt install phpmyadmin $ sudo vi  /etc/apache2/apache2.conf Include /etc/phpmyadmin/apache.conf $ service apahce2 restart

• phpMyAdmin 암호화 문자열 (blowfish secret) 오류 해결방법 /usr/share/phpmyadmin/config.sample.inc.php 파일을 수정해 $cfg['blowfish_secret'] = '쿠키값' 적용 후 config.inc.php로 파일명을 바꿔준다. 쿠키값 생성

(8) 기타 프로그램 설치 및 재시작

• Unzip 설치 $ apt install unzip
• Sendmail 설치 $ apt install sendmail
• 적용을 위해 서비스 재시작 $ service apache2 restart $ service mysqld restart 또는 $ reboot

(9) Let’s Encrypt SSL 인증서 발급받기

• 인증서 발급 프로그램 설치 $ apt-get install letsencrypt

• 명령어 예시

  $ letsencrypt certonly --webroot --webroot-path=/var/www/html -d urdomain.com -d www.urdomain.com

  
• 명령어 설명 -d 뒤쪽에 원하는 도메인명 입력, 한 인증서가 최대 100개의 도메인 인증이 가능하다. 일반적으로는 기본도메인과 www 도메인 두 개를 지정한다. 외부 인증프로그램이 -d에 지정된 도메인 사이트에 접속한다. -webroot-path는 웹루트 경로다. 보통 index 페이지가 위치하는 경로다. 인증 프로그램이 이 경로에 임시로 파일을 생성하고, 외부 인증프로그램이 이 파일에 접근할 수 있다면 Domain Validation이 되는 것이다.
• /etc/letsencrypt/live/[인증서명]/ 위치에 발급된다. cert.pem - 인증서 파일 chain.pem - 인증서 발급자 파일 fullchain.pem - cert.pem 과 chain.pen 을 하나로 합쳐놓은 파일 privkey.pem - 인증암호를 해독하는 개인키 Apache2 서버에서는 cert.pem, chain.pem, privkey.pem을 사용 Nginx 서버에서는 fullchain.pem, privkey.pem을 사용

• 인증서 갱신하기 $ letsencrypt renew
• 인증서 갱신 프로그램 주기적으로 실행하기 $ crontab -e 만약 에디터 선택 문구가 출력된다면 3번을 누른다. 10 5 * * 1 /usr/bin/letsencrypt renew >> /var/log/le-renew.log 15 5 * * 1 /usr/sbin/service apache2 reload 매주 월요일 새벽 5시 10분에 인증서 갱신, 5시 15분에 웹서버 프로그램 변경사항 적용이 설정됐다.

• $ a2dissite 환경설정파일명(10번 참고) $ systemctl reload apache2
• 사용 중인 인증서 목록 보기(인증서명 확인) $ cd /etc/letsencrypt/live $ ls
• 인증서 삭제 $ letsencrypt revoke --cert-path /etc/letsencrypt/archive/urdomain.com(인증서명)/cert1.pem
• 재발급

• <VirtualHost *:80>
   
      ServerName example.com
      ServerAlias www.example.com
       
      <IfModule mod_rewrite.c>
      RewriteEngine on
   
      RewriteRule ^ - [E=protossl]
      RewriteCond %{HTTPS} on
      RewriteRule ^ - [E=protossl:s]
   
      RewriteCond %{HTTPS} !=on
      RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
   
      </IfModule>
   
  </VirtualHost>
   
   
  <VirtualHost *:443>
   
      ServerName example.com
      ServerAlias www.example.com
       
      DocumentRoot /home/user/www
   
      <Directory /home/user/www>
          Options FollowSymLinks MultiViews
          AllowOverride All
          require all granted
      </Directory>
   
      AssignUserID user user
   
      ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
      CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
   
      Header always set Strict-Transport-Security "max-age=31536000"
   
      SSLEngine on
   
      SSLProtocol all -SSLv2 -SSLv3
   
      SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
   
      SSLHonorCipherOrder on
   
      SSLCertificateFile "/etc/letsencrypt/live/example.com/cert.pem"
      SSLCertificateKeyFile "/etc/letsencrypt/live/example.com/privkey.pem"
      SSLCertificateChainFile "/etc/letsencrypt/live/example.com/chain.pem"
   
  </VirtualHost>

  이후 수정은 터미널로 해도 좋다. $ vi /etc/apache2/sites-available/원하는파일명.conf
• 사이트 활성화 및 적용 $ a2ensite 환경설정파일명 (참고) 비활성화는 a2dissite
• 아파치 설정 다시 불러오기 $ service apache2 reload

(11) mysql 계정생성

• 도메인(IP)/phpmyadmin로 접속해 계정을 만들어준다.

(12) php.ini 설정

• php.ini 설정 $ vi /etc/php/7.2/apache2/php.ini (수정예시) max_execution_time = 1200 max_input_time = 1200 max_input_vars = 10000 memory_limit = 256M post_max_size = 2000M upload_max_filesize = 1024M max_file_uploads = 100
• 아파치 재시작 $ service apache2 restart

(13) SSL 테스트

• SSL Chain Test - 인증서가 올바르게 설치되었는지
• SSL Algorithm Test - 안전한 암호화 통신이 이루어지는지

(14) Amazon Lightsail 추가 디스크 마운트

• 연결된 디스크 확인 $ lsblk

• 파일 시스템이 있는지 확인 $ file -s /dev/xvdf

• ext4 파일시스템 생성(새로운 디스크만) $ mkfs -t ext4 /dev/xvdf
• 디스크 마운트 $ mount /dev/xvdf 마운트할위치

• 자동으로 디스크 탑재 $ vi /etc/fstab /dev/xvdf /data ext4 defaults, nofail 0 2 재부팅 시 /dev/xvdf 경로의 디스크를 /data에 탑재하도록 설정됐다.

(15) 명령어 참고

• 계정생성 $ adduser 계정명
• 계정삭제 $ userdel -r 계정명
• 디렉터리 생성 $ mkdir 폴더명
• 소유자와 그룹 변경 $ chown -R (예시) $ chown -R test:test /targetdirectory
• 권한 변경 $ chmod 옵션 모드 파일명
• 복사 $ cp -pr (예시) $ cp -pr /sourcedirectory/www /targetdirectory sourcedirectory에 있는 www 폴더를 targetdirectory 밑으로 복사한다. -p 시간과 권한을 그대로 보존하여 복사한다. -r 하위 디렉터리와 파일을 모두 복사한다.

(16) 참고사항

• 데이터베이스 기본경로 /var/lib/mysql

근래 아마존 라이트세일이 더 합리적인 인스턴스 플랜을 선보였다. 아래글은 이전 플랜을 바탕으로 쓰여졌으니 참고 바란다.

아마존 라이트세일(Amazon Lightsail)은 아마존 웹서비스(AWS, Amazon Web Services)에서 제공하는 가상사설서버(VPS, Virtual Private Server)다. AWS에는 라이트세일 이외에도 많은 서비스 제품이 있지만, 일단 비용면에서 저렴하지 않을 뿐더러 상대적으로 세팅도 어렵다. 반면 라이트세일은 월 $5로도 이용이 가능하며, 기본 데이터 전송량 허용량도 1TB 이상 제공한다.

라이트세일 인스턴스는 웹 서버, 개발자 환경 및 소규모 데이터베이스를 사용 사례로 설계되었는데 Amazon EC2 같이 일관되게 높은 CPU 성능을 보여주진 않지만, 기본 수준의 CPU 성능을 발휘하면서 기본 수준 이상으로 버스트하는 추가적인 기능을 제공하여 필요한 성능을 필요한 시점에 확보할 수 있다. 또한 제공되는 기능을 통해 손 쉬운 관리가 가능해서 간단한 VPS 솔루션이 필요한 개발자, 소규모 비즈니스, 학생 등에게 유용하다.

라이트세일 플랜은 온디맨드 방식으로 시간당 요금이 부과되므로 사용하는 만큼만 요금을 지불하면 된다. 2018년 5월에 서울이 선택가능한 리전에 추가되면서 접근성이 좋아졌다.

참고할 건 블로그 같은 가벼운 웹서버라도 최저 플랜($5)을 사용한다면, 테스트 목적이 아닌 실사용에 있어선 메모리 스와프 파일(swap file) 생성이 반쯤 강제된다는 점이다. 이는 물리 메모리 용량이 부족해서 MySQL이 쉽게 다운되기 때문인데 플랜 상향을 원치 않는다면 메모리 부족으로 발생할 수 있는 자잘한 문제를 해결하기 위해 설정하는 게 좋다.