geoip, referer, user agent로 nginx 접근 제어 하기

nginx는 몇가지 방법으로 접근 제어를 할 수 있는데 여기서는 geoip, referer, user agent로 제어하는 방법을 알아본다.

geoip

nginx에서 geoip를 이용하기 위해서는 nginx 컴파일 시에 –with-http_geoip_module 옵션을 줘야한다. nginx -V로 컴파일 옵션을 알 수 있다.

먼저 geoip.dat 파일의 위치를 nginx에 알려줘야 한다.

geoip_country /var/lib/GeoIP/GeoIP.dat;

예로 중국 아이피를 차단해 본다.

if ($geoip_country_code = CN) {
return 403;
}

return 다음에는 클라이언트에 응답할 http status code 를 적으면 된다.

다음 예는 한국 아이피를 제외한 아이피 모두를 차단한다.

if ($geoip_country_code != KR) {
return 403;
}

referer

무단 링크 방지를 위해 referer로 차단하는 방법을 보자.

location /photos/ {
valid_referers none blocked www.mydomain.com mydomain.com;

if ($invalid_referer) {
return   403;
}
}

valid_referers는 허락할 referer의 목록을 나열해주면 된다.
none : 클라이언트가 직접 접속 하는 경우 referer가 존재하지 않는다.
blocked: 방화벽에 의해 표시된 referer 헤더
도메인 목록은 1개 이상 적어줄 수 있으며 와일드카드(*)를 사용할 수 있다.

위에 예는/photos/에 대해  클라이언트가 직접 접속하거나 방화벽에 의해 표시된 referer, www.mydomain.com mydomain.com 에서의 접속을 허락하고 나머지 요청은 403을 리턴한다.

user agent

마지막으로 클라이언트의 user agent로 접근을 제어하는 방법을 알아보자. 다음은 daum의 검색엔진 로봇인 daumoa를 차단 하는 예이다. robots.txt를 무시하고 마구 긁어가서 막아버렸다.

if ($http_user_agent ~* daumoa) {
return 403
}

mock을 이용해 chroot 환경에서 rpm 빌드하기

rpm 빌드를 할 때 의존성 때문에 사용하지 않는 패키지를 설치해야 했거나 의존성 문제로 다른 시스템에 제대로 설치가 안되는 문제를 겪어본 경험이 있다면 mock을 이용해 보기를 권한다.

mock은 chroot 환경에 빌드에 필요한 최소한의 패키지를 설치하고 빌드할 수 있게 도와주는 프로그램이다. 여기에서는 CentOS 5 64비트 시스템을 기준으로 설명한다.

mock을 설치한다.

yum install mock

/etc/mock/centos-5-x86_64.cfg 이 설정 파일이다. CentOS 5 32비트 패키지를 빌드하려면 centos-5-i386.cfg 파일을 수정하면 된다.  기본값으로 빌드해도 되지만 기본 저장소 이외의 패키지가 필요하면 설정파일 내에 저장소를 추가한다.  또한 %packager나 %dist 같은 rpm macro를 추가해줄 수 있다.

mock으로 빌드하려면 계정이 mock그룹에 속해야 하는데 보안상 새로운 계정을 생성해주는게 좋다. 다음 예는 mockbuild라는 계정을 만든다.

adduser -m -G mock mockbuild

mock은 리빌드만 할 수 있기 때문에 srpm을 미리 만들어줘야 한다. rpmbuild -bs 명령어로 srpm을 만들 수 있다. 의존성을 무시하기 위해 –nodeps 를 추가해준다. darchon 이라는 패키지를 빌드하려 하고 darchon.spec 파일이 있다면 다음과 같이 srpm을 만들 수 있다.

rpmbuild -bs –nodeps darchon.spec

아까 만들었던 mockbuild로 로그인 해서 mock -help 를 하면 기본적인 도움말을 볼 수 있다. darchon.src.rpm을 리빌드하는 기본적인 명령어는 다음과 같다.

mock -r centos-5-x86_64 rebuild darchon.src.rpm

이럴경우 명령어를 실행할 때 마다 base 시스템을 구축하게 되는데 매번 yum 저장소에서 패키지를 가져와서 설치하기 때문에 비효율적이다. 그래서 –autocache를 추가하면 /var/lib/mock/root-cache 에 base 시스템을 하나의 압축 파일로 저장했다가 mock을 실행하면 압축을 풀어서 사용한다.

mock –autocache -r centos-5-x86_64 rebuild darchon.src.rpm

기본적으로 별다른 메시지를 보여주지 않는데 –debug 옵션을 추가하면 빌드되는 과정을 볼 수 있다.

mock –autocache –debug -r centos-5-x86_64 rebuild darchon.src.rpm

CentOS 5 64비트 시스템은 /var/lib/mock/centos-5-x86_64/result 에 rpm이 생성된다. mock에서 -r 옵션 다음에 설정파일과 같은 이름이다.

64비트 시스템에서 32비트 패키지를 빌드하고 싶다면 다음과 같은 방법을 사용하면 된다.

setarch i386 mock –autocache –debug -r centos-5-i386 rebuild darchon.src.rpm

base 시스템을 새로 생성하고자 하면 –autocache 대신에 –rebuildcache를 사용한다.

mock –rebuildcache -r centos-5-x86_64 init

리빌드 중 문제가 생겨 srpm을 새로 생성했다면 –no-clean 옵션을 줘서 이전 chroot 환경을 그대로 사용하면 시간을 절약할 수 있다.