SFTP 비활성화

Q: SFTP를 막고 SSH로만 접속하게 하고 싶다.

A: sftp-server 파일의 실행권한을 없애라.

인터넷 검색해보면 sshd 설정파일에서 sftp subsystem 내용을 지우면 된다는 결과가 많이 나오지만, sftp 명령의 ‘-s’ 옵션으로 sftp-server 경로를 지정하면 SFTP 접속 된다. 쉘 접속 가능한 사용자는 해당 파일 경로를 찾아낼 수 있으므로 설정파일 수정만으론 SFTP 비활성화를 할 수 없다.

sftp subsystem 관련 내용 지운 상태에서 sftp 접속 시도. sft-server 지정하면 접속 잘 되는 것을 볼 수 있다.

Q: SSH(22)와 SFTP(10022) 포트 분리하여 각 포트별로 SSH, SFTP 포트 구성하기는 가능한가?

A: 불가능. SFTP 만 사용가능한 포트는 구성 가능하나, SSH 만 사용 가능하게는 할 수 없다.

SFTP를 사용 못하게 sftp-server 실행권한을 없애면 SSH 만 사용 가능함.

  • Port 22 SFTP disable, SSH enable: 불가능함
  • Port 10022 SFTP only, SSH disable: 가능함

참고: https://serverfault.com/questions/653812/enable-ssh-shell-access-but-disable-sftp-access

나의 리눅스 역사

알짜 레드햇 5.2로 처음 접했다. 아마 컴퓨터 잡지 등에서 다룬 내용을 봤던걸로 기억하고, GNU 자유소프트웨어 사상에 크게 경도되어 기회가 되는대로 사용해보려 했다. 그 때는 마이크로 소프트를 까는게 놀이처럼 유행하고 있었던 때라… 돈 받고 파는게 당연시 되던 소프트웨어를 그냥 준다는게 뭔가 대단해 보였다. 그것도 엄청 비싸게 팔던 xNIX류 OS 를 소스까지 공개하다니…

당시엔 YUM(2011년에 공개) 도 없었고 rpmfind 등에서 적당히 패키지 파일 받아다 쓰다 라이브러리 죄다 꼬이면 OS 날리고 다시 까는게 다반사였다. 컴퓨터 사면 부트로더 lilo에 윈도 / 리눅스 듀얼부팅 설정이 기본 소양이었다. 리눅스 커뮤니티가 어디에 있는지도 모르고, PC 통신도 없이 동봉된 메뉴얼 보면서 OS 깔았다가 할 것 없어서 게임하려고 다시 윈도 깔고 하던게 반복이었다.

rpm 패키지 관리에 골머리를 썩다가 패키지를 중앙 관리한다는 데비안을 알게 되어 게임 서버를 데비안에서 실행했었고, 당시 데비안 기본 이미지의 리눅스 커널은 듀얼 CPU 기능(SMP 였던가?)이 들어있지 않아 원격에서 직접 커널 컴파일을 했던 적도… 제일 두려웠던건 네트워크 드라이브 모듈이 안 올라오는 일이었다. 당시엔 Board Management Controller(BMC)도 모르던 시절.

Redhat Linux 가 RHEL 가 되고, Debian GNU/Linux 기반으로 우분투(Ubuntu)가 나오고… (과거 우분투는 신청만 하면 설치용 CD 를 공짜로 보내줘서 수십장 씩 신청하는 사람들이 있었다). fedora, CentOS… 이 정도부턴 PC 데스크탑 환경에서 리눅스 쓸만하지 않냐는 말이 나오기 시작했다(…사실 GNOME, KDE 새 버전이 나올 때마다 나오는 말이다. 더 과거에도 데스크탑으로 리눅스 쓸만하다는 말은 계속 있었다…).

중간에 coLinux(Cooperative Linux)도 잠시 사용했었고… User Mode Linux(UML) 를 사용한 방식인데, 윈도우에서 실행 가능한 기본 리눅스 커널을 만들고 그 위에 UML을 하나 더 실행하는 방식인데… 현재 Windows Subsystem Linux(WSL)과 유사하다고 봐야 하나? 1번 프로세스를 마음대로 못 바꾸는 것도 그렇고. (참고 링크: What is the difference between Windows Subsystem for Linux (WSL), Cooperative Linux (coLinux), and Cygwin?)

집에선 Mac mini에 우분투를 깔아서 쓰다가, 릴리즈 버전 업그레이드 할 때마다 환경설정 다시 봐줘야 하고 기본 패키지 외의 설치 패키지들 관리에 시간이 많이 들어서 Arch Linux 설치해 현재에 이르게 되었다.

Arch Linux, neofetch

지나고 보니 롤링 업데이트로 수시로 업데이트 되며 조금씩 관리하는 방식이 크게 업그레이드 하는 방식 보다 관리면에서 나은 것 같다. 한 번에 업그레이드 하면 설정을 다 까먹어서 기억이 안나서 곤란하다. 오히려 총 관리 시간이 더 많이 들어간다.

예전 xNIX들을 x86 하드웨어에 설치해서 네트워크 연결까지가 큰 도전이었고, 내가 HW 에 직접 설치해본 OS들이 Redhat Linux, fedora, CentOS(Rocky Linux AlmaLinux…), openSUSE, Debian, Ubuntu, Arch Linux, FreeBSD… 요즘은 가상머신에 쉽게 설치 되고 노트북이 아니고선 하드웨어 문제도 크게 없는 편인 것 같다. 물론 3D 그래픽 드라이버까지 잡는건 여전히 쉽진 않지만…(그나마 nvidia가 리눅스 드라이버가 있긴 있다.)

16색, 256색… 16비트 컬러, 24비트 컬러… PC통신부터 인터넷 태동기, 스마트폰 까지. 직접 겪은 일이라는게 신기하다. 그리고 이런 엄청난 발전 가운데에 리눅스가 스마트폰으로, 데이터센터 x86 하드웨어의 주요 OS로 실행 되고 있다는 것은 더 신기하다…

지금은 집에 Arch Linux, CentOS 7을 각각 실제 HW 에서 실행 중이고, Win11 WSL 에 Ubuntu 잠깐잠깐 사용 중.

Windows 는 Linux X window 를 대체하는 wayland 까지 실행 가능 https://docs.microsoft.com/ko-kr/windows/wsl/tutorials/gui-apps 세상이 어떻게 돌아가는건가. (Windows 11 에서 WSLg( Windows Subsystem for Linux GUI ) 사용하기)

CentOS 7 에서 EL 8 계열로 이전(migration)

AlmaLinux 에서 ELevate https://almalinux.org/elevate 공개.
  • leapp 기반. leapp 은 RHEL 7 을 8 로 이전할 때 쓰는 툴.
  • 데이터 유지한 채로 이전 가능
  • CentOS 7 에서 아래 OS 들로 이전 가능.
    • AlmaLinux OS 8
    • CentOS Stream 8
    • Oracle Linux 8
    • Rocky Linux 8
  • 두 번 리부팅

테스트용으로 가상머신에 CentOS 7 설치하고 ELevate 실행하여 AlmaLinux 8 전환 성공.

실제 HP Microserver Gen8 에서 실행 중인 CentOS 7 을 마이그레이션 시도 -> 실패

ELevate 첫 시도. 다수 문제 발생
  1. NFS 사용 중이어서 발생. systemctl stop nfsd 및 umount /proce/fd/nfsd
  2. kernel-devel 패키지 전부 삭제
  3. 절대경로로 지정된 /bin /sbin 심볼릭 링크를 상대경로로 변경.
    1. cd / ; ln -snf usr/bin bin; ln -snf usr/sbin sbin
  4. EL 8 계열 OpenSSH 는 Root 원격접속을 지정하지 않으면 패스워드 사용한 접속을 차단함. 일단 허용 해야 함
  5. /boot 용량 부족. 100 MB 이상 확보 필요 (불필요한 커널 최대한 삭제)
  6. answer 파일에 필요한 내용 부족. 1-5 해결하면 됨.
ELevate 두 번째 시도. 용량 부족

두 번째 시도에서 용량 부족이 뜸. 시스템 / filesystem 용량은 충분.

디스크 용량 상태. 용량은 충분하다.

https://access.redhat.com/solutions/5057391 보고 문제 해결.

저 로그에서 말하는 ‘/ filesystem’은 시스템 자체의 rootfs 가 아니라, scratch root-boot overlay disk 의 크기이다. 기본값이 2048 MB 이니 기본값 + 부족한 용량 이상을 할당하면 됨.

export LEAPP_OVL_SIZE=4096

용량 할당 이후 설치용 scratch 이미지까지 완성되면 리부팅 하여 설치 과정을 더 진행하면 됨. 내 경우 HP Microserver Gen8의 컨트롤러 b120i 의 드라이버가 EL8 용이 없어서 EL 8 로 이전 불가! (HW RAID 뭉개고 LVM 구성 해야 함)

총평: 특수한 상황(HW, 클라우드) 아니면 에러 로그에서 해결할 수 있는 명령어까지 알려주니 쉽게 전환 가능.

차세대 에너지

에너지(전기)에 대한 기본 전제.

  1. 가장 좋은 방법은 소비량을 줄이는 것: 불가능. 블록체인, 전기차, 각종 가전제품이 더 늘어나면 늘어났지 줄지 않고, 저전력 칩이 나오면 기본적인 설계가 전력소모를 줄이는 것이 아닌 칩을 더 묶어 기존 전력 소모량 기준 성능 향상을 하기 때문.
  2. 개발도상국의 전력소모를 줄일 수 없음. 사다리 걷어차기가 되기 때문. 그리고 개발도상국은 돈이 없어 비싼 재생에너지로 생산을 못한다.
  3. 그렇다면 늘어나는 전력소모 + 이산화탄소 배출량을 줄이는 방향을 선진국에서 부담해야 하는데… 이게 가능한 발전이 현재 수준의 풍력/태양열 발전으로 가능할지?

환경 운동가들이 오래 전부터 활동해왔는데, 정치권에서 환경문제가 본격적으로 논의 시작은 기후변화로 인한 2021년 정도부터인 것 같다. – 재생에너지 비율 높이고 급격하게 화석연료 발전 줄여놓은 바람에 기후 변화로 풍력 발전이 안되어 석탄, LNG 발전…

일정 토지 크기에서 안정적으로 발전할 수 있는 용량이 계산 될 거고, 기저발전은 역시 원자력 발전만한 것이 없다 생각한다. 핵융합이 나오면 가장 좋겠지만, 그리고 2021년 갑자기 발전 용량이 늘어나고는 있다지만 지금 당장 발전 용량을 대체를 시작해야 한다면 SMR이 가장 유망하지 않을까?

발전량이 불안정한 재생에너지를 안정적 공급하기 위해 ESS에 전력 저장하거나 수소 전기분해하는 방안 등이 구상 중이나 갖춰야 할 인프라가 너무 많고 복잡하다.

여러 요건을 봤을 때 SMR이 가장 유망하다고 봄.

빌 게이츠가 투자한 회사로 알려진 테라폼파워는 BEPC(브룩필드)에 인수되어 상장폐지 됨.

송전 인프라도 엄청나게 투자해야 할 것. 현재 지어지는 아파트조차 전 세대 전기차 보유 시, 완속 충전으로도 변전기 용량이 감당 안되지 않나?

CentOS 8 -> Rocky Linux 전환 실패

2021-06-25 ~ 2021-06-26 간에 CentOS 8 최소 설치버전을 Rocky Linux 전환 하는데 실패했다. 원인은 FTP 미러 데이터 정합성 문제로 보이며 일시적인 문제일듯. 작업에 사용한 스크립트는 https://github.com/rocky-linux/rocky-tools

1. 기본 설정 시, Rocky Linux mirrorlist 의 미러들의 repodata 못 받아와서 실패 https://pastebin.com/L6XeY3CD

2. baseurl mirror.navercorp.com 으로 지정했을 때 특정 패키지 사이즈 문제로 실패 https://pastebin.com/u571jjgH

migrate2rocky.sh 실행하는 동안 /etc/yum.repo.d 하위 파일들이 자꾸 변경 되고, mirrorlist 를 기본으로 작업 진행 되기 때문에 baseurl 설정으로 바꿔주는 무식한 스크립트로 해결. 링크 참조.

https://gist.github.com/jellygit/f39160d969a520db25524dbc21473212

Rocky Linux VS AlmaLinux

‘VS’ 는 어그로 끌어보려는거고… “EL8 파생판이지만 기본 외의 주변부 구현에 차이가 있다.”가 결론.

https://www.redhat.com/ko/blog/faq-centos-stream-updates

두 배포판 모두 RHEL 1:1 동일하게 구현한다고 적어놓음.

Rocky Linux is a community enterprise operating system designed to be 100% bug-for-bug compatible with America’s top enterprise Linux distribution now that its downstream partner has shifted direction. It is under intensive development by the community. Rocky Linux is led by Gregory Kurtzer, founder of the CentOS project. Contributors are asked to reach out using the communication options offered on this site.

AlmaLinux (opens new window) is an Open Source and forever-free enterprise Linux distribution, governed and driven by the community, focused on long-term stability and a robust production grade platform. AlmaLinux OS is a 1:1 binary comptible with RHEL® 8 and it was founded by the team behind the well-established CloudLinux OS (opens new window).

실제론 차이가 좀 있다. BaseOS, AppStream, extras 는 동일하지만 기본 소스가 아닌 SSG (SCAP Security Guide), SIG(Special Intrest Group) 지원에서 RL와 AL 이 차이가 보임.

보안설정(hardening): OpenSCAP

Rocky Linux: 존재하긴 하나, 적용 불가. CPE dictionary 의 문제인지 전 항목이 ‘notapplicable’. 8.4 RC1 버전은 아예 룰이 없었고… 8.4 GA 버전은 존재하지만 결과는 캡쳐와 같다.

AlmaLinux: 존재하며, Anaconda oscap plugin 도 정상 동작해 설치 단계부터 보안 설정 가능, 설치 후 적용 및 검사 가능.

Rocky Linux PCI-DSS
AlmaLinux PCI-DSS

SIG 패키지 설치된 CentOS 8 에서 전환(migration)

glusterfs 사용 시, Rocky Linux 전환 불가 (참고 링크), AlmaLinux 전환 가능

왜 이런가?

두 배포판 모두 RHEL 의 변형이지, CentOS 의 변형이 아니다. ‘같은 소스로 생성한 배포판이라 똑같을줄 알았다’고 이야기하니, AlmaLinux 의 릴리즈 엔지니어링 책임자 Eugene Zamriy 님의 대답이 인상이어서 요약하자면

동일 소스로 빌드해도 잘못될 부분이 존재한다. 다른 빌드 순서, 잘못된 RPM 매크로, 기타 등등. 때론 레드햇의 구현을 재현하기 어려운 경우도 있다.

어떤 사람은 EL8 파생 배포판을 sed 와 koji(RPM 빌드 시스템)만 있으면 만들 수 있다고 하지만, 현실은 그렇지 않다.

2021-02-09 테슬라 비트코인 매수

경제 동향 #1 비트코인 상승

2021-02-09 새벽(KST) 테슬라의 비트코인 매수 공시 이후 비트코인 급격히 상승.

다른 암호화폐는 몰라도 비트코인은 ‘디지털 공회전’ 그 자체. 인간 탐욕으로 소모적인 행위를 하고 있는데… 시간 당 전력소모가 원전 7개 발전 분량이란 뉴스도 있었다. 그래픽 카드 가격 오르는 것도 포함. 그 비용까지 포함되어 가치가 계속 오른다는 논리.

경제 동향 #2 기아자동차 – 애플 협상 잠정 중단

‘자율주행 전기차’ 협업 검토를 하고 있으나, 애플과 ‘자율주행차랑’ 개발에 대한 협의를 진행하고 있지 않습니다.

공시란게 거짓말을 하면 안되지만 앞으로 할 일을 모두 까발릴 수 없는거(협상이 엎어질 수도 있으니까)니까… 자율주행은 빠진 그냥 애플 전기차는 나올 수도 있다는 소리인가? 어차피 애플한테 자율주행 기술도 없을거고. 이렇게 해석한 사람들이 행복회로 돌리면서 기아차 매수해서 2021-02-08 에 약 -15% 하락했던 기아차가 2021-02-09 상승 마감함.

자동차 및 안전기술 관련인들 자극하는 트윗이 있었는데 지금 찾으려니 못 찾겠다. 자동차쪽에 8bit, 16bit 칩셋 쓰면서 구형 기술 쓴다고 극딜하는거였는데…

읽은 글

많은 반박을 받은 글이고, 저기 동의하지 않지만 많은 사람들이 저걸 믿고 있으니 일단 기록.

2021-02-08 승리호

본 영상: 승리호

비쥬얼은 나무랄 곳이 없고 훌륭했다. 뭔가 요즘 외국영화(어벤져스) 의식한듯한 선율의 배경음악이나 뭔가 어디선가 본 듯한 무난한 캐릭터, 무난한 스토리.. 는 아쉬웠지만 큰 모험하기는 힘들었을거라 다들 이야기 하고 있는 부분이고.

전세계, 우주, 외계에서 영어를 쓰는 헐리우드 영화보다 각자 자기네 말 하는 점도 좋았다. 대자본 투자 받아서 사극이나 SF 영화 계속 만들었으면 좋겠다.

2021-02-06 k8s

읽은 글 #1 지방균형 발전

중단기 관점에선 메가시티 유지가 더 나아보일 수 있어도, 장기적으론 균형 발전 없이 메가시티만의 국가 존립은 어려울거라 생각함.

읽은 글 #2 Chrony 323 포트는 뭔가

https://forums.docker.com/t/chronyd-listening-on-udp-323/14987

cmdport, 끌려면 설정파일에 ‘cmdport 0’. 보안문제로 사라진 ntp peer 기능에서 쓰던 포트.

본 영상

2021-02-05 국민연금은 폰지 사기인가, 이탈리아 남자가 옷 잘 입는 이유

본 영상

요약: 국민연금은 폰지 사기가 맞다, 노후자금을 스스로 모아놓는 각자도생을 해야 한다. (난 국민연금을 아예 못 받을거라고 생각하지 않음)

저 영상의 논거: 2050년에 30세가 되는 사람까지 지금 현재 다 태어나 있기 때문에 2050년 연령대별 인구를 대략 알 수 있기 때문.

국민연금 고갈 될거라며 자기 노후자금은 알아서 잘 모아놓아야 한다는데… 애초에 난 국민연금이 노후 용돈 정도밖에 안 될거라고 생각함. 국민연금만으로 노후 대비하는 사람이 있…나? 어쨌든 못 받을거라고는 생각하지 않음.

국민연금이 폰지사기라는 주장에 동의하지 않는 이유

  1. 현재 인구구조, 정책이 그대로 갔을 때의 경우의 수이기 때문. 사회는 계속 변화함. 국가 정책에서 30년이면 멀지 않은 미래이나, 그렇다고 해서 아무것도 안할 리 없기 때문.
  2. 외국인 이민을 굳이 ‘중국인, 동남아, 이슬람 받아들일 각오’ 라고 해놓아서 혐오적 비하적 시각을 드러내는데… 이미 공단과 농업은 외국인 노동자로 지탱되고 있음. 이민 1세대들 50-60세 도달해서 동화되어 잘 살고 있는데 뭔 각오… 대규모 이민은 당연히 받아야 함. 이민을 오고 싶어하지 않는 나라가 되는걸 걱정해야 하지.
  3. 오히려 걱정해야 할 것은 소득격차. 2020, 2021년 출생자가 31, 30세가 됐을 때 현재 GDP 연평균 성장률만큼 성장한다면, 자동화나 ML 관련 직종 종사자의 1인당 소득은 엄청날 것. 제조업은 사람이 없으니 자동화로 대체될 거고… 그 수혜를 받지 못한 직종이 문제되지 않을까.
  4. 국민연금이 폰지사기가 될 가능성 vs 개인이 직접 투자 시 원금 잃을 가능성 어느쪽이 더 높은가?

다른 영상을 보면 아이 / 자동차 / 반려동물 소유하면 안되고, 연애하면 돈 나간다며 다 하지 않고 돈을 모아야 한다는 주장을 하고 있는데… 지나치게 저축/투자만 하는 것도 좀… 뭐든 극단은 별로란 느낌. 인생에서 소비와 저축은 적당한 균형점을 찾는게 어렵긴 해도 나이들었을 때 다 쓰지도 못하고 죽으면 자기는 써보지도 못하고 고생해서 모은 자산이 100% 손실이 되어버리는데?

버는 족족 다 써버리는건 하수, 모두 저축/투자만 하는건 중수, 적당한 균형을 찾아 자신에게 주어진 자원(돈과 시간)을 잘 소비하는게 삶에 있어서 고수 아닌가 싶다.

수명과 젊음은 유예한다고 해서 나중에 꺼내 쓰거나 더 행복하지 않으니까.

저 사람의 영상을 쭉 봐왔지만, 나이들었을 때 자산이 없어 고생하는걸 지나치게 두려워한다는 느낌이다. 국가와 사회에 대한 신뢰를 좀 더 가져도 되지 않을까. (언제 죽을지 모를)장수가 리스크란 말은 동의하지만…

요약: 이탈리아 남부 남자들이 화려하게 입는다(북부는 정장).. 고대 로마부터 기후가 좋고 자원이 풍부하여 옷을 화려하게 입었고, 주변 사람들이 우쭈주해주며 자라서 마마보이다… 정도 내용. 프랑스OEM으로 성장하다 자체 브랜드화 했다는 이야기도 있다.