카테고리: 기타 팁

nginx rewrite

• nginx HttpRewriteModule

도메인이 www 로 시작하지 않는 것을 www로 가게

• Nginx rewrite non-www-prefixed domain to www-prefixed domain 참조
• 서브 도메인이 없을 경우
  # 서브 도메인을 모두 무시하게 만든다.
  if ($host !~* ^www\.) {
  rewrite ^(.*)$ http://www.$host$1 permanent;
  }
• 서브 도메인이 있다면 www 서브 도메인이 지정 안됐을 경우만 처리
  # .com .net .org 에 대해서도 마찬가지 처리
  if ($host ~* ^([a-z0-9\-]+\.(com|net|org))$) {
  set $host_with_www www.$1;
  rewrite ^(.*)$ http://$host_with_www$1 permanent;
  }

Query Parameter 삭제

• nginx rewrite는 rewrite 후에 쿼리 파라미터를 자동으로 붙여버린다.
• 쿼리 파라미터가 붙는 것을 막으려면 타겟 URL의 끝에 물음표(?)가 있어야 한다.
  rewrite ^ http://www.example.com/? last; # 쿼리 파라미터를 무시하고 무조건 http://www.example.com 으로 보내버림

http로 온 것을 모두 https로

• redirect – In Nginx, how can I rewrite all http requests to https while maintaining sub-domain?
• 예제
  server {
  listen 80;
  server_name    my.domain.com;
  rewrite ^(.*) https://$host$1 permanent;
  }

  server {
  listen 443;
  server_name    my.domain.com;
  # …..
  }

 

Php를 이용해서 아래와 같이 편하게 할 수 있음

#!/bin/bash -e INPUT=$1;   if [ -z $INPUT ]; then echo ” Input your encoding Plain text” else php -r “echo base64_encode($INPUT);”; echo “\n”; fi

 

 

예전엔, 이렇게 openssl을 이용했엇따.

 

[root@jinstalk ~]# printf “mail.shhong” | openssl base64

bWFpbC5zaGhvbmc=

 

Decode는 해당 openssl을 이용해서 이런식으로 가능합니다.

#!/bin/bash -e

INPUT=$1;

 

if [ -z $INPUT ];

then

echo ” Input your decoding Base64Encoded text”

else

echo $INPUT | openssl base64 -d;

echo “”;

fi

 

#RPM BUILD INSTALL

yum install rpm-build

yum install redhat-rpm-config

#STATUS FOR RPM-BUILD

rpm -qs rpm-build

#Environment for BUILD

mkdir -p ~/rpmbuild/{BUILD,RPMS,SOURCES,SPECS,SRPMS}

# rpm 설치시 /etc/rpm/macro.dist 에 설정

#아래 매크로는 따로 설정하지 않아도 동작함.

echo ‘%_topdir %(echo $HOME)/rpmbuild’ > ~/.rpmmacros

#COMPILER Install

yum install make gcc

# 쌘트 6에서 공식 지원하는건 gcc 4.4

# RH 프로젝트를 통해서 비공식적으로 파이선 2.7 버전과, gcc 4.8을 Virtual ENV 형태로 제공 받을 수 있음.

Nginx에서 HTTPS Optimizing

1. 연결 인증서 캐싱(Connection credentials caching)

SSL/TLS의 대부분 오버헤드는 초기의 연결 setup이다.

 

이 연결을 캐싱하면 다음 요청들이 좀 더 빨라진다.

 

설정에 다음을 추가한다.

 

ssl_session_cache shared:SSL:20m;
ssl_session_timeout 10m;

이는 모든 워커 프로세스들 사이에 공유되는 캐쉬를 생성한다.

캐쉬 사이즈는 bytes이고 4000 세션은 1MB에 저장된다고 한다. 20MB는 80000 세션을 저장하게 될 것이다.

 

2. SSL을 사용하지 않기~

 

SSL은 TLS에 의해 대체된다. SSL을 계속 이야기 하는 건 오래된 습관과 관습이 아닐까 한다.(이 건 원본 저자의 의견)

 

SSL은 몇 가지 약점을 가지고 있기 때문에(이건 찾아봐야 함) 실지적으로 다양한 공격이 있었다.

 

TLS를 지원 안 하는 브라우저는 IE 6이다. (굿바이 했으니~ 패스)

 

TLS의 최신 버전은 1.2다. 그러나 새로운 브라우저들과 라이브러리들이 여전히 TLS 1.0을 사용한다.

 

따라서 설정에 다음을 추가한다.

 

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

3. 암호화 모듈들을 옵티마이징

 

저자가 왜 이것을 옵티마이징 해야하는지.. 사용할 때 안전한 것만 지정해서 쓰면 될 거 같은데.. 여튼 한 번 해봤다.

 

설정에 다음을 추가하고

 

ssl_prefer_server_ciphers on;

아래 설정 중에 하나면 선택해서 쓰면 된다. (옵션 1과 옵션 2의 차이는 원본 참조)

 

# Cipher suite option 1:
ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:!ADH:!AECDH:!MD5;

# Cipher suite option 2:
#ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;

# If you absolutely need IE8 compatibility, use this:
#ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:RSA+3DES:!ADH:!AECDH:!MD5;

4. OCSP stapling

Online Certificate Status Protocol(OCSP) 는 현재 인증서의 폐지 상태를 체크하는 프로토콜이다. 브라우저가 인증서를 볼 때 해당 인증서가 폐지 안 됐는지 체크하기 위해 인증서를 발행한 곳과 접촉한다. 물론 이 것은 연결을 초기화하는데 오버헤드가 된다. 또한 이 과정에서 3자(인증서를 발행한 곳)가 포함되어서 프라이버시 이슈가 있다.

 

이것을 적용하려면 Nginx 1.3.7 이상이 필요하다.

그리고 인증서를 발행하는 사이트에 가서 아래 파일을 다운 받는다.

AddTrustExternalCARoot.crt PositiveSSLCA2.crt

우리는 Comodo 인증서를 다운 받기 때문에 아래 URL에서 다운받았다.

https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/853/74/addtrustexternalcaroot

https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/943/74/intermediate-positivessl-ca-2

 

그런 다음 한개의 파일로 합친다.

 

cat AddTrustExternalCARoot.crt PositiveSSLCA2.crt > trustchain.crt

이제 적절한 위치(예: /etc/nginx/cert/trustchain.crt)에 넣고 Nginx의 설정을 아래와 같이 추가한다.

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
resolver 8.8.8.8 8.8.4.4;

stapling과 관련 없이 resolver가 들어가 있다. 이건 DNS 주소이고 2개의 DNS주소는 구글의 public DNS 주소이다. 다른 DNS 주소를 넣어도 상관없다.

 

5. Strict Transport Security

SPDY를 사용할 때 모든 HTTP 요청을 HTTPS로 redirect하고 싶다면 Strict Transport Security를 사용하고 싶을 거라고 하는데 SPDY를 사용 안 하므로 패스 했다.

 

6. 적용 결과

적용해보니 https로 사용하는 우리 사이트에서는 약 400ms 정도 빨라졌다.

 

좀 더 정확한 내용을 보고 싶으면 아래 원본을 읽어 보시길~

 

 

원본:

https://bjornjohansen.no/optimizing-https-nginx

 

원본 위치 <http://chickenlabs.blogspot.kr/2014/08/nginx-https-optimizing.html>

Redis-cli

 

SCAN 0 COUNT 100 MATCH *

# 100개 제한 읽어오기. Keys * 보다 효율적임..

 

DEBUG OBJECT 키

# 해당 정보의 사이즈 lru , expire 정보등을 읽어옴

 

SETEX 키 시간 키밸류

# expire time을 걸어 아이템을 set 한다.

# setex hong 60 sungho 라고 입력하면, 60초간 hong이라는 키가 저장된다.

 

 

SLOWLOG GET

# get 으로 시작하는 카운트 중 시간이 오개걸리는 값을 반환한다..

# 일반적으로 겟 명령어에서 슬로우 로그가 발생하는 경우 해당 키값의 데이터가 용량이 가장 큰 (메모리를 많이 잡아먹는) 키 값이다..

# 레디스 운영 시 OOM redis Out Of Memory 같은 경우, 해당 키 또는 리스트의 값이 너무 큰 (보통 팝 과정 없이  잘못 쌓이는 push LIST에서 발생한다. )

# GET , RESET, LEN  등을 확인 할 수 있다.

 

Lpush, Lpop, Rpush , Rpop

# push 는 데이터를 입력하며, Left, Right로 데이터를 입력한다.

# pop 은 데이터를 읽는 개념이 아닌, 가져간다는 표현으로 pop을 통해 꺼내어진 데이터는 해당 데이터테이블에서 삭제된다.

# Lrange 명령을 통해서 대상이 지정된 범위의 리스트를 읽어온다. 0 은 시작점을 의미하고, -1 은 리스트의 끝 (오른쪽 마지막) 을 의미하므로, 모든 리스트에 저장된 데이터를 확인 할 때 사용한다.

# 모든 리스트에서 데이터를 꺼내어 쓰면, 데이터가 없다는 의미의 nil 을 표시한다.

# 예시 )

Rpush hong A B C

 

LRANGE hong 0 -1

“A”

“B”

“C”

 

Rpop hong

“C”

 

Rpop hong

“B”

 

Rpop hong

“A”

 

Rpop hong

(nil)

 

 

Redis-cli -h HOSTNAME –stat

# 레디스의 key count, memory Usage, clinet, blocked, requests, connections 정보를 알려줌..

 

Redis-cli -h HOSTNAME -c ‘keys hong*” | xargs redis-cli -h HOSTNAME DEL

# hong으로 시작하는 모든 키를 검색하여, 한번에 지우는 방법..