letsencrypt – certbot(python) ssl 적용 (1부)

  • 환경
    CentOS 7 / Python 2.7
  • 시작하기전에
    환경이나 조건별로 설치 방법이 다른 부분이 있으니 certbot 을 참고 하기 바랍니다.
    본 글은 python pip 를 사용하여 certbot 을 설치 하는 방법으로 certbot 내용과 다른점이 있으니 참고 사항으로만 확인 부탁드립니다.
  • python pip 를 이용한 certbot 설치
    ] pip install certbot

letsencrypt SSL 신규 발행

] certbot certonly
Saving debug log to /var/log/letsencrypt/letsencrypt.log
#
How would you like to authenticate with the ACME CA?
--------------------------------------------------
1: Spin up a temporary webserver (standalone)
2: Place files in webroot directory (webroot)
--------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
##
# 1 : 임시 웹서버를 구동하여 진행
# 2 : 사용중인 웹서버를 이요하여 진행 
##
Plugins selected: Authenticator webroot, Installer None
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
to cancel): test.com
##
# 인증서를 발급받을 도메인 주소
##
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for test.com
#
Select the webroot for test.com:
--------------------------
1: Enter a new webroot
--------------------------
Press 1 [enter] to confirm the selection (press 'c' to cancel): 1
Input the webroot for pic.huubro.com: (Enter 'c' to cancel): /tmp/www
Waiting for verification...
Cleaning up challenges
#
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/test.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/test.com/privkey.pem
Your cert will expire on 2018-02-04. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by: 
Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
Donating to EFF:                    https://eff.org/donate-le

인증서 발급 완료
/etc/letsencrypt/live/{도메인} 디렉토리에 아래 (인증서)파일이 생성됨을 확인

] ls /etc/letsencrypt/liv/test.com
privkey.pem  
fullchain.pem  
chain.pem  
cert.pem  
  • 웹서버 SSL 설정
    생락
  • letsencrypt SSL 갱신
    ] certbot renew

2부에서 계속

Created slice User Slice of root.

  • 환경
    CentOS 7 / RHEL 7
  • 내용
    /var/log/message 로그에 다음 메시지 생성.

     

    session_start_scope() 의 함수로 출력되는 로그으로 시스템 문제로 인한 로그는 아니라고 한다.

Nov  3 19:00:01 localhost systemd: Created slice User Slice of root.
Nov  3 19:00:01 localhost systemd: Starting User Slice of root.
Nov  3 19:00:01 localhost systemd: Started Session 711 of user root.
Nov  3 19:00:01 localhost systemd: Starting Session 711 of user root.
Nov  3 19:00:01 localhost systemd: Removed slice User Slice of root.
Nov  3 19:00:01 localhost systemd: Stopping User Slice of root.
Nov  3 19:01:01 localhost systemd: Created slice User Slice of root.
Nov  3 19:01:01 localhost systemd: Starting User Slice of root.
Nov  3 19:01:01 localhost systemd: Started Session 712 of user root.
Nov  3 19:01:01 localhost systemd: Starting Session 712 of user root.
Nov  3 19:01:01 localhost systemd: Removed slice User Slice of root.
Nov  3 19:01:01 localhost systemd: Stopping User Slice of root.
Nov  3 19:10:01 localhost systemd: Created slice User Slice of root.
  • 해결
    • rsyslog 삭제 필터 사용
      ] echo 'if $programname == "systemd" and ($msg contains "Starting Session" or $msg contains "Started Session" or $msg contains "Created slice" or $msg contains "Starting user-" or $msg contains "Starting User Slice of" or $msg contains "Removed session" or $msg contains "Removed slice User Slice of" or $msg contains "Stopping User Slice of") then stop' >/etc/rsyslog.d/ignore-systemd-session-slice.conf 
      ] systemctl restart rsyslog
    • systemd log level 조정
      • 명령을 통한 즉시 적용
        ] systemd-analyze set-log-level notice
      • systemd 설정 파일 수정 및 재 실행을 통한 영구 적용
        # 설정파일 수정
        ] vi /etc/systemd/system.conf
        ...
        [Manager]
        #LogLevel=info
        LogLevel=notice
        ...
        # Reexecute systemd manager
        ] systemctl daemon-reexec

        or

        # Reload systemd manager configuration
        ] systemctl daemon-reload

참고 : redhat customer portal , Doug’s Blog , RnDiT

bash script 문자 / 숫자 구분

bash script 를 사용할때 어디에선가 받거나 가져온 값이 문자인지 숫자인지 구분이 필요했던 적이 있어서 남겼던 글을 옴겨 본다.

nums=$1
if [ $nums -eq $nums ] 2>/dev/null ; then
    echo "숫자입니다."
else
    echo "숫자가 아닙니다."
fi

bash 의 if 구문의 숫자 비교식을 이용하여 에러 여부로 숫,문자를 판단하는 작은 트릭.

원본