Tmux 시리즈:

1. Tmux Start (202605)
2. Tmux Cheatsheet (202605)
3. Tmux Plugins (202605)

이 내용은 tmux 2.x, 3.x 에서 사용 가능하다.

2026-05-29: 내용 문맥 조정, 설치 부분 삭제.
- OLD Tmux Start(20170504)
2017-07-10: tmux-continum 추가

Tmux는 terminal multiplexer로 서버에 여러 프로그램을 세션에 저장하고, 다른 작업 혹은 연결을 끊었다 다시 접속해서 세션을 열어 작업을 이어갈 수 있다.

[그림. Tmux 실행 모습 (tmux.github.io)]

설치 관련 (OLD machines)

최신 리눅스는 대부분 내장으로 설치된 듯 하다: WSL, Ubuntu 24.04/26.04 …

• Ubuntu 14.04, Raspbian Jessie, Armbian 등에서 tmux가 1.8, 1.9 버전이 제공
• Ubuntu 15, 16 Xenivior 버전은 Tmux 2.1
• Old 버전 Ubuntu 14.04, Raspbian 등에서 tmux가 1.8, 1.9 버전이 제공되는데 package manager 같은 기능을 사용할 수 없다. 소스로 빌드해서 사용할 수 있다.
• Ubuntu 14.04 desktop, orangepi plus, raspberry pi jessie 초기 버전은 빌드 필요

시작

tmux 명령으로 시작할 수 있다.

tmux 를 시작하면 하나의 세션에 하나의 윈도우가 만들어 진다.

1
2

$ tmux                   # 세션을 시작하고 참가한다.
$ tmux new -s foo        # 세션 foo를 시작하고 참가한다

세션에 참가하면 하나 혹은 그 이상의 윈도우에서 Pane을 배치해 사용할 수 있다.

[그림. Tmux window layout]

세션 연결

세션은 하나 혹은 그 이상 만들고 attach 명령으로 세션에 참가할 수 있다.

1
2
3
4

$ tmux new -s foo        # 세션 foo를 시작
$ tmux ls                # 세션 목록을 출력한다.
0: 1 windows (created Fri May 12 10:26:00 2017) [80x24] (attached)
foo: 1 windows (created Fri May 12 10:34:18 2017) [80x24]

터미널에서 세션에 참가하려면 attach 명령과 대상 세션을 지정해 준다. 대상 세션은 tmux ls 명령에 표시되는 세션번호 혹은 세션이름을 지정한다.

1
2
3

$ tmux attach
$ tmux attach -t 0       # 세션 0번에 참여한다
$ tmux attach -t foo     # 세션 foo에 참여한다.

세션을 완전히 종료 시키려면, tmux 세션에서 명령모드 C-: 에서 kill-session 명령을 실행한다.
혹은 다른 터미널에서 세션번호 혹은 세션 이름으로 종료한다.

1

$ tmux kill-session -t 3   # 세션번호 3을 종료한다.

Control와 Meta key

Tmux 세션 시작후 Prefix key 를 통해 세션, 윈도우와 tmux 내장 명령을 실행할 수 있다.

즉, Prefix key로 Session, Window, Pane 관련 명령을 키로 조합해 사용한다.

기본 Prefix key는 Control+b key고 옵션으로 사용하는 Meta key는 Alt 키 이다.

여기서 Prefix key는 C와 조합으로 표기하고, Meta key인 Alt는 M으로 표기한다.

윈도우 명령 control, meta 키 조합과 병행해 윈도우에서 명령모드를 사용할 수 있다.

명령모드는 C-: 키로 시작하고, 명령모드에서 명령 자동 완성 이 지원된다.

[그림. Window command mode]

Pane 다루기

윈도우는 수직/수평으로 구획을 나눌수 있다. C-“ 키로 현재 Pane 아래에 수평으로 새 Pane을 나눈다. 그리고 **C-%**키로 수직으로 새 Pane을 나눌 수 있다.

[그림. Tmux Window Pane]

• C-q : pane 번호를 표시하고 번호를 눌러서 이동
• C-o : pane을 순서대로 이동
• C-방향키 : 해당 방향으로 이동
• C-M-방향키 : 해당 방향으로 크기 조절
• C-M-1~5 : 몇 가지 미리 설정된 레이아웃을 고를 수 있고, prefix space로 이 레이아웃을 순서대로 - 돌아가며 선택 가능
• C-z : 특정화면만 확대하기 다시 예전 Panes상태로 돌아오기

Pane을 지우려면 C-x 키로 종료 혹은 터미널에서 exit로 터미널을 종료한다

Window 다루기

윈도우는 명령모드에서 new-window 혹은 C-c 키로 새 윈도우를 추가할 수 있다.

[그림. new Window ]

윈도우 목록은 C-w로 목록을 표시, 방향키로 윈도우 선택해 이동할 수 있다.

또한 윈도우 번호에 따라 단축키 C-0,1,2…9를 사용해 윈도우 사이의 이동 가능.

• C-n, C-p : 다음 윈도우, 이전 윈도우로 이동
• C-l : 직전 사용하던 윈도우로 이동
• C-w : 윈도우 리스트를 띄우고 선택
• C-, : 윈도우 이름 바꾸기

세션 사용중에 세션을 빠져 나오려면 C-d 로 Tmux 를 detach 할 수 있다.

detach는 명령모드 C-:에서 detach 명령을 사용할 수 있다.

복사와 스크롤

Tmux 터미널 화면 버퍼는 한 화면만 표시가 가능하다.

이전 화면 내용을 보려면 스크롤 기능을 켜야 한다. C+[ 로 스크롤 켜면, 우측상단에 페이지 표시가 나타난다.

키보드 방향키나 Page Up/Down키로 스크롤이 가능하다.

설정 사용

Tmux 의 환경 파일은 tmux 설정을 위힌 default 파일이 존재하지 않는다. 그래서 사용자가 별도의 설정파일에 작성해서 사용하면 된다.

보통 사용자 홈디렉토리에 .tmux.conf 파일에 tmux에 대한 설정을 명시할 수 있다.

설정 탑재:

1. tmux 세션 사용중, 설정 재탑재

현재 사용중인 세션에서 C+r 로 재탑재가 가능하다.

1

C-r : 설정 파일을 새로고침합니다 

2. tmux source 사용

변경한 설정을 적용하려면 터미널에서 다음 명령을 사용한다.

1

tmux source ~/.tmux.conf

현재 설정 추출과 백업:

tmux 기본 설정을 백업 혹은 확인하려면 tmux show 명령으로 확인이 가능하다.

1

tmux show -g

현재 tmux에 설정된 값을 백업:

1

tmux show -g | sed 's/^/set-option -g /' > ~/.tmux/tmux.current.conf

Prefix key 조합 변경

Prefix 키를 Control + a 키 조합이 편하다. 설정파일에 키 조합을 지정한다.

1
2
3
4
5

#Control+a에 'prefix' 연결
set -g prefix C-a
#send-prefix를 Control+a에 전달
bind C-a send-prefix
unbind C-b

설정을 다시 탑재하면 prefix는 C-a 로 재배치된다.

관리자들은 Capslock키를 Control 키도 선호한다.

참고

1. OLD Tmux 시작
2. OLD Tmux cheatsheet

Tmux 시리즈:

1. Tmux Start (202605)
2. Tmux Cheatsheet (202605)
3. Tmux Plugins (202605)

Plugin manager

Tmux Pluin Manager 를 설치하고, tmux 기능을 확장할 수 있다.

tpm 설치

먼저 사용자 홈 디렉토리에 저장한다.

1

git clone https://github.com/tmux-plugins/tpm ~/.tmux/plugins/tpm

다음 설정을 tmux.conf 에 저장한다.

1
2
3
4
5
6
7
8
9

# List of plugins
set -g @plugin 'tmux-plugins/tpm'
set -g @plugin 'tmux-plugins/tmux-sensible'

# other plugins ...

# Initialize TMUX plugin manager 
# (keep this line at the very bottom of tmux.conf)
run '~/.tmux/plugins/tpm/tpm'

그리고 tmux 환경설정을 다시 탑재한다.

1

tmux source ~/.tmux.conf

plugin 설치와 키 바인딩

새 플러그인을 .tmux.conf 에 set -g @plugin 로 입력한다.

1. 플러그인 설치를 위해서 C-I (대문자) 를 실행
2. 플러그인 업그레이드를 위해서 C-U (대문자) 를 실행
3. 플러그인 삭제:
   • .tmux.conf 에서 플러그인 삭제
   • C-M-u (소문자)

tpm 으로 해당 플러그인은 ~/.tmux/plugins/ 디렉토리에 패치된다.

주요 plugins

https://github.com/tmux-plugins/list

몇가지 플러그인을 설치해서 사용해 보자

tmux-sidebar

tmux 화면에 sidebar 로 tree 형식의 디렉토리 구조를 보여준다.

1. .tmux.conf 에 플러그인을 추가한다.

1

set -g @plugin 'tmux-plugins/tmux-sidebar'

2. tmux source 나 C-r 로 설정을 재 탑재한다.

3. C-I 로 플러그인 설치를 시작한다.

1
2
3
4
5
6
7
8
9

Already installed "tpm"
Installing "tmux-sensible"
  "tmux-sensible" download success
Installing "tmux-sidebar"
  "tmux-sidebar" download success

TMUX environment reloaded.

Done, press ESCAPE to continue.

4. side-bar 키 바인딩

• prefix + Tab - toggle sidebar with a directory tree
• prefix + Backspace - toggle sidebar and move cursor to it (focus it)

plugin 삭제

1. .tmux.conf 에서 해당 플러그인을 삭제한다.
2. C-M-u 로 플러그인을 삭제한다.

여기서는 tmux-cpu 를 삭제하고 있다.

1
2
3
4
5
6

Removing "tmux-cpu"
  "tmux-cpu" clean success

TMUX environment reloaded.

Done, press ESCAPE to continue.

Tmux-Resurrection

_tmux-resurrect_는 tmux 세션을 백업/복구 할 수 있는 플러그인이다. tmux.conf에 다음을 추가

1

set -g @plugin 'tmux-plugins/tmux-resurrect'

플러그인 설치를 위해서 C-I 를 실행하면 설치를 시작한다.

Resurrection 플러그인으로 백업/복구하는 키는 다음 같이 지정되어 있다:

• C-s : save
• C-r : restore

Tmux-continuum

tmux-continuum은 tmux-resurrect 플러그인과 연동하여 tmux 세션 상태를 주기적으로 자동 저장하고, 시스템 부팅 시 복원해주는 플러그인입니다.

• tmux-continuum

tmux-continuum 의 주요 기능은:

• tmux 환경을 15분 마다 자동 저장
• 컴퓨터/서버 시작시 tmux 자동 시작 가능
• tmux 시작시 자동 복구 가능
• tmux 1.9 이상, bash, tmux-resurrect plugin

설치

1. 설치는 .tmux.conf 파일에 mux-resurrect 와 tmux-continuum 플러그인을 추가:

1
2
3
4
5
6
7
8
9
10
11
12

set -g @plugin 'tmux-plugins/tpm'
set -g @plugin 'tmux-plugins/tmux-resurrect'
set -g @plugin 'tmux-plugins/tmux-continuum'

# (continuum) tmux 시작 시 마지막 세션 자동 복원
set -g @continuum-restore 'on'

# (continuum) 자동 저장 간격 변경 (기본값: 15분)
set -g @continuum-save-interval '15'

# (continuum) continuum 상태표시
set -g status-right 'Continuum status: #{continuum_status}'

2. tmux source 나 C-r 로 설정을 재 탑재한다.

3. C-I 로 플러그인 설치를 시작한다.

1
2
3
4
5
6
7
8
9
10
11

Already installed "tpm"
Already installed "tmux-sensible"
Already installed "tmux-sidebar"
Installing "tmux-resurrect"
  "tmux-resurrect" download success
Installing "tmux-continuum"
  "tmux-continuum" download success

TMUX environment reloaded.

Done, press ESCAPE to continue

이제부터 15분 마다 자동 저장하고 서버를 재시작한 후에 tmux를 다시 시작하면 저장한 환경을 자동으로 복구해 준다.

4. 키 바인딩

• 세션 수동 저장: Ctrl + b 누른 후 Ctrl + s (Resurrect 기능)
• 세션 수동 복원: Ctrl + b 누른 후 Ctrl + r (Resurrect 기능)

tmux 세션을 모두 나와서 tmux 서버를 모두 kill-session 같은 명령으로 종료시킨후 tmux를 다시 시작하면 .tmux/resurrect 에 저장된 마지막 세션이 복구되는 것을 확인할 수 있다.

CLI 로 플러그인 관리

https://github.com/tmux-plugins/tpm/blob/master/docs/managing_plugins_via_cmd_line.md

Tmux 시리즈:

1. Tmux Start (202605)
2. Tmux Cheatsheet (202605)
3. Tmux Plugins (202605)

• 2026-05 : 수정
• 2017-07-14: 윈도우에서 session 관리
• 2017-07-10: tmux copy & paste

세션 사용

tmux 세션을 만들고, 세션에서 window를 구성하고, window 안에 pane에 대해서 요약

새로운 세션 시작하기

1
2

$ tmux                        #새로운 새션
$ tmux new -s session_name    #session_name으로 새로운 세션

세션을 dettach하면 세션은 저장된다. 사용하지 않으면 kill로 종료한다.

세션 이용하기

1
2
3

$ tmux ls
$ tmux list-session
$ tmux list-windows         # Window 목록

열린 세션에 붙기.

• 세션 번호중 낮은 번호에 우선해서 접속한다.

1
2
3

$ tmux attach
$ tmux at
$ tmux a

특정 세션에 접속하기

• 세션 번호 혹은 이름으로 접속한다.

1

$ tmux a -t session_name

세션 마감하기

1

$ tmux kill-session session_name

Tmux pane

Tmux로 접속한 session은 처음 한개의 Window를 갖는다. window 안에서 session, window, pane을 관리한다. 각 윈도우는 한 개 이상의 Pane 구획으로 나누어 사용할 수 있다.

Tmux window를 여러 분할면 pane으로 나눠 사용한다.

1
2
3
4
5
6
7
8
9
10
11

C-%          # 수직으로 나누기
C-"          # 수평으로 나누기
C-z          # 현재 pane 확대 및 돌아오기
C-{          # 현재 pane을 이전 pane 위치로 이동
C-}          # 현재 pane을 다음 pane 위치로 이동
C-Arrow      # 앞,뒤 pane을 방향키로 이동
C-M+Arrow    # pane 크기를 방향키에 따라 변경
C-spacebar   # pane 방향 전환 (수직<->수평)
C-!          # 현재 pane을 새 window로 분리
C-x          # 현재 pane을 종료
C-[          # pane에서 스크롤 기능을 활성화

Tmux copy & paste

tmux 는 자체 버퍼에 터미널에서 선택한 영역의 텍스트를 복사해서 사용할 수 있다.

1
2
3
4

C-[         # copy mode
Ctrl+space  # 복사할 영역을 선택한다. 터미널에 영역이 선택되어 보인다.
Ctrl+w      # 선택한 영역을 복사한다.
C-]         # 붙여 넣는다.

Tmux Window

현재 세션 이용

1
2

C-s            #Session 목록
C-$            #Session 이름 변경

세션에서 여러 윈도우를 추가 해서 사용할 수 있다.

1

C-c          #새로운 윈도우 생성

여러 윈도우는 윈도우 순서에 따라 현재 윈도우 화면을 교환 할 수 있다.

1
2
3
4
5
6
7

C-w          #윈도우 목록
C-1 ...      #지정 윈도우 번호로 전환: 0,1,...
C-p          #이전 윈도우로 이동
C-n          #다음 윈도우로 이동
C-l          #가장 마지막 윈도우로 이동
C-,          #현재 윈도우 이름 변경
C-&          #현재 윈도우 제거

현재 세션에서 나온다. 세션은 백그라운드에서 실행된다.

1
2

C-d          #현재 세션을 빠져 나온다 (detach)
C-D          #빠져나올 세션을 선택할 수 있다.

• detach 는 외부 터미널에서 tmux detach 를 실행하면 현재 tmux 세션이 분리된다.

Session transition

Tmux window 상태에서 여러 세션 사이의 전환 단축키;

1
2
3
4
5

C-$          # 현재 세션 이름 바꾸기
C-(          # 이전 세션으로 전환
C-)          # 다음 세션으로 전환
C-L          # 사용한 세션중 마지막 세션으로 전환
C-s          # 사용 가능한 세션 목록

단, 시스템 버퍼는 별도의 플러그인을 사용한다.

재미있는 설정

마우스 모드 활성화

설정에 mouse mode 활성화를 .tmux.conf 설정으로 지정.

1

set -g mouse on

설정을 탑재하면 1. 마우스 드래그로 선택한 버퍼 복사 2. Shift 마우스 드래그로 일반 Copy 수행.

버퍼 크기

1
2

# scrollback buffer size increase
set -g history-limit 100000

Pane 이동

M 와 방향키로 바인딩해서 prefix 없이 사용.

1
2
3
4
5

# Use Alt-arrow keys without prefix key to switch panes
bind -n M-Left select-pane -L
bind -n M-Right select-pane -R
bind -n M-Up select-pane -U
bind -n M-Down select-pane -D

상태바 컬러

1
2
3

# bar color
set -g status-bg black
set -g status-fg white

SSH 키 공유(Key-based Authentication) 는 Client과 서버(Server) 로그온 및 ssh 사용시 비밀번호를 매번 입력하는 번거로움을 없애줄 뿐만 아니라, 보안 측면에서도 훨씬 강력한 방식이다.

ssh 키공유

SSH 키-공유의 작동 원리

• 이 방식은 비대칭 암호화를 이용합니다.
• 비공개 키(Private Key): 노트북에 보관하며, 절대 외부로 유출되면 안 됩니다 (열쇠 역할).
• 공개 키(Public Key): 서버에 등록하며, 누구나 봐도 상관없습니다 (자물쇠 역할).

ssh를 사용하는 클라이언트에서 ssh-keygen 으로 비밀키와 공개키를 생성하고, 접속하는 서버 계정 밑에 클라이언트 공개키를 저장하면 ssh 접속시 비밀번호 응답 없이 처리되어 로그인 할 수 있다.

ssh-key 로 생성시 암호화는 RSA 와 ED2619 를 사용한다.

RSA 와 ED2619 에 대해서는 아래 별도 섹션 참고.

1. ssh 클라이언트 비밀키 생성

클라이언트에서 개인 비밀키를 생성한다. ssh-keygen 명령은 기본적으로 비밀키와 공개키 파일을 사용자 홈디렉토리 ~/.ssh 폴더에, 기본 파일이름 id_rsa.pub, id_rsa.prb 파일로 저장한다.

1

(CLIENT)$ ssh-keygen -t ed2619 -C "USER@localhost"

• ed25519 방식은 최신 알고리즘으로 보안성이 높고 속도가 빠릅니다.
• 엔터를 몇 번 치면 ~/.ssh/id_ed25519(비공개 키)와 ~/.ssh/id_ed25519.pub(공개 키)가 생성됩니다.

2. ssh 서버 비밀키 생성

서버에도 클라이언트와 동일하게 ssh-keygen 명령으로 비밀키와 공개키를 생성한다.

1

(SERVER)$ ssh-keygen -t ed2619 -b 4096 -C "USER@server"

3. 서버로 공개 키 복사

가장 쉬운 방법은 ssh-copy-id 도구를 사용하는 것입니다.

1
2

ssh-copy-id 사용자명@서버IP
# 예: ssh-copy-id daddy@192.168.0.10

이 명령어를 실행하면 서버의 비밀번호를 마지막으로 한 번 물어본 뒤, 노트북의 공개 키를 서버의 ~/.ssh/authorized_keys 파일에 자동으로 등록합니다.

4. 접속 테스트

이제 비밀번호 없이 바로 접속되는지 확인합니다.

1

ssh 사용자명@서버IP

보안 강화 (선택 사항)

키 공유가 완료되었다면, 서버의 SSH 설정 파일(/etc/ssh/sshd_config)에서 비밀번호 로그인을 아예 금지하여 보안을 극대화할 수 있습니다.

1
2
3
4
5
6
7
8

# 서버에서 실행
sudo nano /etc/ssh/sshd_config

# 아래 항목을 찾아서 no로 수정
PasswordAuthentication no

# 설정 적용
sudo systemctl restart ssh

참고: scp 이용한 키 공유

서버에 공개키 배포

클라이언트에 생성한 공개키 id_rsa.pub 파일을 업로드해서 ./ssh/authorized_keys 파일에 추가해야 한다. 보통 scp 명령으로 복사해서 authorized_keys 파일에 더해주면 된다.

일반적으로 scp 명령으로 복사하고, 서버에 ssh 접속해서 업로드한 공개키 파일을 authorized_keys 파일에 더해준다.

1. 클라이언트에서 복사하기:

1

scp ~/.ssh/id_rsa.pub USER_ID@HOST_NAME:~/client.pub

ssh로 서버에 로그인한다.

2.서버 authorized_keys 붙여넣기:

1
2

ssh userid@SERVER
(SERVER) $ cat client.pub >> .ssh/authorized_keys; rm client.pub

위 2 과정을 아래 명령 한 줄로 복사->붙여넣기를 동시에 할 수 있다.

클라이언트:

1

cat ~/.ssh/id_rsa.pub | ssh <USERNAME>@<IP-ADDRESS> 'cat >> .ssh/authorized_keys'

이제 해당 서버로 로그인해 본다.

참고: RSA 와 ED25519 (feat. Gemini)

ssh-keygen 명령으로 SSH 키를 생성할 때 rsa와 ED25519는 서로 다른 암호화 알고리즘을 사용하며, 각각 장단점이 있습니다.

1. RSA (Rivest-Shamir-Adleman)

• 역사 및 범용성: RSA는 매우 오래되고 널리 사용되는 공개 키 암호화 알고리즘입니다. 오랫동안 SSH 키의 표준으로 사용되어 왔으며, 대부분의 시스템과 호환됩니다.
• 키 크기: RSA 키는 가변적인 길이를 가집니다. 일반적으로 보안을 위해 2048비트 또는 4096비트를 권장합니다. 키 길이가 길어질수록 보안은 강해지지만, 연산 속도는 느려집니다.
• 보안: 충분히 긴 키 길이 (예: 2048비트 이상)를 사용하면 현재로서는 안전하다고 여겨지지만, 양자 컴퓨터의 발전 등 미래의 위협에 대한 우려가 있습니다.
• 성능: 키 길이가 길어질수록 키 생성, 서명 및 검증 작업이 느려질 수 있습니다.

2. ED25519 (Edwards-curve Digital Signature Algorithm)

• 기반 기술: ED25519는 타원 곡선 암호화(ECC)의 일종인 Edwards-curve Digital Signature Algorithm을 기반으로 합니다. OpenSSH 6.5에서 도입되었습니다.
• 보안: ED25519는 더 작은 키 크기로도 RSA와 동등하거나 더 높은 수준의 보안을 제공합니다. 예를 들어, ED25519의 256비트 키는 RSA 3000비트 키와 비슷한 보안 강도를 가집니다. 특정 암호화 공격(예: PRNG(Pseudo-Random Number Generator) 실패)에 더 강력하다고 알려져 있습니다.
• 성능: 키 생성, 서명 및 검증 작업이 RSA보다 훨씬 빠르고 효율적입니다. 이는 로그인 시간 단축 등 전반적인 사용자 경험 개선으로 이어질 수 있습니다.
• 키 크기: ED25519 키는 고정된 256비트 크기를 가지므로 RSA 키보다 훨씬 짧습니다. 이 때문에 키를 관리하고 공유하는 데 더 효율적입니다.
• 호환성: 비교적 최신 알고리즘이므로, 매우 오래된 시스템이나 특정 환경에서는 지원되지 않을 수도 있습니다. 하지만 최신 시스템에서는 널리 지원됩니다.

주요 차이점 요약:

어떤 것을 사용해야 할까요?

• 특별한 이유가 없다면 ED25519를 권장합니다. 더 나은 보안성과 성능을 제공하며, 대부분의 최신 환경에서 문제없이 사용할 수 있습니다.
• 레거시 시스템과의 호환성이 중요하거나, ED25519를 지원하지 않는 환경이라면 RSA를 사용해야 합니다. 이 경우 최소 2048비트, 가능하다면 4096비트 키를 사용하는 것이 좋습니다. Windows 또는 VMware 이미지와 같은 특정 환경에서는 ED25519가 지원되지 않을 수 있습니다.

결론적으로, 현재 대부분의 SSH 키 생성에는 ED25519가 권장되는 최신, 안전, 고성능 옵션입니다.

Ubuntu 20.04 를 설치/운영하면서 필요한 팁/트릭과 쓸모있는 사용법을 정리한다.

비슷한 문서:

• Docker CLI Cheat sheet
• Linux system cheat
• Tmux cheat sheet, 2017

Timezone 관련

CLI에서 설정을 할 수 있다.

timedatectl timedatectl 명령으로

1
2
3
4
5
6

$ timedatectl list-timezones
...
Asia/Seoul
...

$ sudo timedatectl set-timezone Asia/Seoul

만약 손으로 수정을 한다면,

timedatectl 로 지정되는 설정 Timezone은 /etc/localtime 이라는 바이너리로 저장되므로
명령행에서 지원하는 timezone을 복사할 수 도 있다고 한다..

1

$ sudo cp /usr/share/zoneinfo/Europe/London /etc/localtime

LCD/Screen off

기존에 글 Ubuntu/시스템 전원관리, 2017년 에서 Ubuntu 18.x 에서 디스플레이(특히 노트북 LCD)를 끄기 위해서 사용되던 직접 vbetool 명령으로 동작하지 않는다.

그래서 Ubuntu 20.04 에서는 링크 ubuntu-20-04-on-a-laptop-is-there-any-way-toturn-off-the-screen 에 있는 방법으로 사용하고 있다.

디스플레이를 끄려면

1
2
3

sudo mount -o remount,exec /dev
sudo vbetool dpms off
sudo mount -o remount,noexec /dev

다시 디스플레이를 켜려면

1
2
3

sudo mount -o remount,exec /dev
sudo vbetool dpms on
sudo mount -o remount,noexec /dev

Network 상태 확인

ss 명령

ss 명령은 Socket Statistics 를 출력해 준다. open 된 소켓에 대한 정보를 표시한다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14

ss [-a -t -u -l -p -n] [filter]

-a:
-t: TCP
-u: UDP
-l: LISTEN 상태 포트
-n: 호스트/포트/사용자 이름을 숫자로 표시
-p: 프로세스 이름
-r, --resolve:  resolve host names
-w, --raw    :  display only RAW sockets
-x, --unix   :  display only Unix domain sockets
-4, --ipv4   :  display only IP version 4 sockets
-6, --ipv6   :  display only IP version 6 sockets
-m, --memory :  show socket memory usage

LISTEN Port 확이

netstat 같이 LISTEN 상태 프로세스를 확인할 수 있다. 다음은 t: tcp 포트, l: LISTEN 상태의 소켓 정보를 출력한다.

1
2
3
4
5
6
7
8
9
10

$ ss -lntu
Netid      State       Recv-Q      Send-Q                   Local Address:Port            Peer Address:Port     Process
udp        UNCONN      0           0                        127.0.0.53%lo:53                   0.0.0.0:*
udp        UNCONN      0           0                12.42.168.213%enp3s0:68                   0.0.0.0:*
tcp        LISTEN      0           511                            0.0.0.0:80                   0.0.0.0:*
tcp        LISTEN      0           4096                     127.0.0.53%lo:53                   0.0.0.0:*
tcp        LISTEN      0           10                           127.0.0.1:9000                0.0.0.0:*
tcp        LISTEN      0           511                            0.0.0.0:443                  0.0.0.0:*
tcp        LISTEN      0           128                            0.0.0.0:53000                0.0.0.0:*
tcp        LISTEN      0           128                            0.0.0.0:2020                 0.0.0.0:*

IPv4, IPv6 소켓

1
2
3
4
5
6
7
8
9

$ ss -tl4
State         Recv-Q        Send-Q               Local Address:Port                 Peer Address:Port        Process
LISTEN        0             511                        0.0.0.0:http                      0.0.0.0:*
LISTEN        0             511                        0.0.0.0:https                     0.0.0.0:*
$
$ ss -tl6
State         Recv-Q        Send-Q               Local Address:Port                 Peer Address:Port        Process
LISTEN        0             128                           [::]:2020                         [::]:*
q

lsof

Linux에서 open file을 확인하는데 사용되는 lsof 명령입니다. Unix/Linux의 모든 것은 파일로 이루어져있기때문에 스트림이나 네트워크 파일도 lsof 로 확인할 수 있습니다.

1
2

$ lsof -i
$ lsof -l

—

Ubuntu/시스템 전원관리, 2017년

docker cli 명령을 정리

이미지 소스

비슷한 문서:

• Ubuntu 20.04 - Cheat sheet
• Linux system cheat
• Tmux cheat sheet, 2017

docker cli

docker cli는 docker 명령 뒤에 docker commands 로 도커를 제어한다. 그리고 대상 컨테이너를 지정하고 컨테이너에서 실행 할 수 있는 명령형식으로 구성되어 있다.

1

docker [docker commands] [container] [container command] 

Use the Docker command line docker

search 이미지 검색

Docker hub에서 이미지를 검색한다.

1

docker search busybox

Docker hub에서 상위 몇개 정도만 검색하고 싶을때 limit 옵션을 사용한다.

1

docker search busybox --limit 5

Docker hub에서는 이미지 중 별점을 검색한다.

1
2
3
4
5

# 최소 별정 50인 이미지
docker search busybox --filter=stars=50

# 별점이 3인 이미지
docker search --filter stars=50 busybox

정규 빌드 버전만 지시하려면 is-official 옵션 사용

1
2

docker search --filter is-official=true --filter stars=50 busybox

--format 옵션을 사용해 출력되는 내용을 필터링 할 수 있다. 다음은 별점만 출력하는 예이다.

1

docker search --format "{{.Name}}: {{.StarCount}}" nginx

pull 이미지를 다운로드 한다

Docker image를 내려 받는다. 이미지 이름 뒤에 :[version] 을 붙이면 지정한 버전을 내려 받고, latest 를 붙이면 최신 버전을 대상으로 한다.

1

docker pull nginx:latest

images 다운로드 이미지

Docker에서 다운로드 받는 이미지를 확인한다. docker images는 모든 이미지를 보여준다.

1

$ docker images

특정 이미지만 지시할 수 있다.

1

$ docker images nginx

run 이미지를 컨테이너로 실행한다.

Docker image를 컨테이너로 생성하고, 실행합니다.

1

docker run -p 8080:8080 nginx

옵션:

1
2
3
4
5

`-p`: Local과 Container 와 port를 연결하는 옵션
`-i`: interactive (대화방식)
`-t`: Pseudo-tty (콘솔 및 터미널 환경)
`— name`: 실행 컨테이너 이름을 지정합니다.
`-d`: 백그라운드에서 실행되는 옵션입니다.

docker image를 실행하고 bash 쉘을 연다.

1

docker run -i -t --name nginx nginx bash

ps 컨테이너 목록을 확인

Docker 컨테이너 목록을 확인합니다.

1
2

$ docker ps
$ docker ps -a

옵션:

1
2

`-a` : 실행 중이 아닌 컨테이너까지 확인
`-q` : 컨테이너의 CONTAINER ID 만 표시

start 컨테이너를 시작한다.

중단되어 있는 컨테이너를 실행합니다.

1
2

docker start nginx
nginx

attach 컨테이너 연결

실행중인 Docker Container 의 standard input, output, error streams 에 연결한다.

1

docker attach nginx

docker attach 명령 사용 사례.

exec 컨테이너 명령 실행

Docker Container의 쉘의 명령어을 실행할 수 있다.

1

docker exec nginx ls

옵션

1
2
3
4
5

-d, --detach : 명령을 detach mode, 백그라운드로 실행
-e, --env : 환경변수 설정하고 실행
-it [SHELL]: iteractive tty 옵션. 사용할 shell을 지시한다, 보통  bash
-u, --user: User ID, UID
-w, --workdir: 작업 디렉토리 지정

다음은 nginx 컨테이너의 bash 쉘을 실행한다.

1

docker exec -it nginx bash

다음은 nginx 컨테이너를 qkboo 사용자 쉘로 연결한다.

1

docker exec -it -u qkboo nginx bash

inspect 컨테이너 상세 정보

Docker Container에 상세 정보를 확인 한다.

1

docker inspect nginx

옵션

--format : 필터링

1

docker inspect  --format='{{range .NetworkSettings.Networks}}

logs 명령

Docker 컨테이너에서 sysout 또는 syserr 로그를 보려면 logs 명령을 사용한다.

docker logs

stop 컨테이너 종료

ps 명령으로 실행중인 컨테이너 아이디와 이름을 확인하고 아이디를 준다.

1
2
3

docker ps

docker stop e417951d25fd

이름으로 종료시 --name 옵션 사용

1

docker stop --name nginx2

rm 컨테이너를 삭제한다.

Docker Container 삭제합니다. 삭제할때는 실행 상태가 아닌 컨테이너만 가능합니다.

1

docker rm nginx

강제 삭제시 -f 옵션 사용.

rmi 이미지를 삭제한다.

Docker image를 삭제 하는데 이미지가 중첩된 경우가 많기 때문에 링크 같이 untag 한 후 사용한다.

• rim example

1
2
3

docker rmi fd484f19954f

docker rmi test2:latest

혹은 -f 옵션으로 중첩된 이미지를 모두 함께 삭제 할 수 있다.

1

docker rmi -f fd484f19954f

참고

• Use the Docker command line docker
• Docker CLI 정리, blog

Web server certificates 과정

Securing a web site with a server certificate 단계

1. 비밀키를 생성한다.
2. 비밀키로 CSR certificate siging requests 을 생성한다.
3. CSR 을 CA 로 사인한다.
4. 사인한 CERT 를 받고 설치한다.

1. 비밀키를 생성한다.

rsa 를 사용해 4096크기 비밀키를 생성한다.

1
2
3
4
5

# cd /etc/ssl/private 
# openssl genrsa -out my_rsa.key 4096
Generating RSA private key, 4096 bit long modulus (2 primes)

# chmod 0600 private/my_rsa.key

1

# chmod 0600 private/my_rsa.key

Public Key 생성

1

명령: openssl rsa -in [private key 파일명] -pubout -out [파일명]

1

# openssl rsa -in my_rsa.key -pubout -out my_rsa.pub 

2. Create a CSR(certificate signing request) from this key,

인증서 발급을 위한 필요한 정보를 담고 있는 인증서 신청서를 작성한다.

1

명령어 : openssl req -new -key [private key 파일명] -out [파일명]

비밀키에서 CSR 파일 작성을 요청하면 아래 내용을 묻는다.

1

# openssl req -new -sha256 -key ./my_rsa.key -out ./my_rsa.csr 

1

# openssl req -new -key private.key -out private.csr

인증서 발급을 위한 필요한 정보를 담고 있는 인증서 신청 형식 데이터 이다.

• Country Name (국가코드) KR
• State or Province Name (시/도의 전체이름) Seoul
• Locality Name (시/군/구 등의 이름) Songpa-gu
• Organization (회사이름) XXXX
• Organization Unit (부서명) Server
• Common Name (SSL 인증서를 설치할 서버의 Full Domain) www.xxxx.com
  • • Common Name 에는 인증서를 설치할 사이트의 도메인의 이름을 넣어야 한다. (ip, port, http, https 포함불가능)

4. CA 인증한 CRT 인증서 만들기

CSR 을 CA에서 인증해 CRT 파일을 생성한다. 여기서는 비밀키와 CSR 요청서를 바탕으로 CRT 인증서를 생성한다.

1

명령어 : openssl req -x509 -days [기간] -key [private key 파일명] -in [csr 파일명] -out [파일명] -days [기간]

x509 를 이용하고 365일 사용 가능한 crt 인증서를 생성한다.

1

openssl req -x509 -days 365 -key my_rsa.key -in my_rsa.csr -out my_rsa.crt -days 365

생성한 혹은 CA에서 받은 CRT 파일은 아래 같이 확인해 볼 수 있다.

1

openssl x509 -text -in yourdomain.crt -noout

5. CRT 파일을 PEM 파일로 변환한다.

1

openssl x509 -in mycommoncrt.crt -out mycommonpem.pem -outform PEM 

[Tip] 인증서 Config 파일 (test.conf)

위에서 만들다 보면 계속 같은 내용을 써야 한다. 그래서 그 부분을 파일로 만들어 놓고 csr, crt 생성할때 사용하면 된다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[dn]
C=KR
ST=Seoul
L=Seoul
O=COMPANY
OU=DEV
emailAddress=test@test.com
CN = testmachine

[req_ext]
subjectAltName = @alt_names

[alt_names]
IP.1 = 111.111.111.111
DNS.1 = test.com

csr 을 생성한다.

1

openssl req -new -key private.key -out private.csr -config test.conf

csr, crt 파일을 생성한다.

1

openssl req -x509 -days 365 -key private.key -in private.csr -out mycommoncrt.crt -days 365 -config test.conf

그리고 이렇게 해서 인증서를 만들었을때 subjectAltName 이 안들어간다 . 그 부분이 필요할 경우에는 이렇게 명령어를 사용하면 된다.

1

openssl req -x509 -days 365 -key private.key -in private.csr -out mycommoncrt.crt -days 365 -config test.conf -extensions req_ext

openssl 팁 몇가지

CRT 파일 확인

openssl x509 -text -noout -in <인증서파일> : 인증서 내용을 볼수 있다.

Verifying Your Keys Match

1
2
3

openssl pkey -pubout -in .\private.key | openssl sha256
openssl req -pubkey -in .\request.csr -noout | openssl sha256
openssl x509 -pubkey -in .\certificate.crt -noout | openssl sha256

NGINX 웹 서버 TLS 암호화 추가

개인키와 TLS 인증서 crt 파일을 사용한다.

1
2

$ sudo mkdir /etc/nginx/tls/private
$ mv my_rsa.key my_rsa.crt /etc/nginx/tls/private

1. 개인 키는 /etc/nginx/tls/private/my_rsa.key 파일에 저장됩니다.
2. 개인 키 및 CSR(인증서 서명 요청) 생성 및 CA(인증 기관)에서 인증서 TLS 인증서는
   • /etc/nginx/tls/private/example.com.crt 파일에 저장됩니다.

1
2
3
4
5
6
7

server {
    listen              443 ssl;
    server_name         www.thinkbee.kr;
    root                /home/qkboo/Home/www/thinkbee.kr/;
    ssl_certificate     /etc/nginx/tls/private/my_rsa.crt;
    ssl_certificate_key /etc/nginx/tls/private/my_rsa.key;
}

참고

1. Howto – Install a self signed web server certificate
2. openssl quick reference guide
3. Openssl로 SSL 을 위한 인증서 발급하기 (HTTPS),blog
4. Nginx - HTTPS and Certificate SSL,blog
5. NodeJS와 Nginx 웹 서버,blog

새 디스크 / USB 저장장치를 리눅스 계열에서 사용하고자 할 때.

디스크 확인 lsblk

lsblk 명령은 디바이스 장치가 마운트 된 곳을 출력해 준다.

1
2
3
4
5
6
7
8

NAME                      MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
loop0                       7:0    0  63.3M  1 loop /snap/core20/1828
loop1                       7:1    0  91.8M  1 loop /snap/lxd/23991
sda                         8:0    0 119.2G  0 disk
├─sda1                      8:1    0     1M  0 part
├─sda2                      8:2    0     1G  0 part /boot
└─sda3                      8:3    0 118.2G  0 part
  └─ubuntu--vg-ubuntu--lv 253:0    0 118.1G  0 lvm  /

새 디스크 장치(SSD, HDD, USB 등) 를 붙이고 다시 확인하면 새로운 디스크는 sd[a-z] 형식으로 표현된다.

아래 sdb 는 현재 파티션이 1개 존재하는 상태이다.

1
2
3
4
5
6
7
8
9
10
11

$ lsblk
NAME                      MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
loop0                       7:0    0  63.3M  1 loop /snap/core20/1828
loop1                       7:1    0  91.8M  1 loop /snap/lxd/23991
sda                         8:0    0 119.2G  0 disk
├─sda1                      8:1    0     1M  0 part
├─sda2                      8:2    0     1G  0 part /boot
└─sda3                      8:3    0 118.2G  0 part
  └─ubuntu--vg-ubuntu--lv 253:0    0 118.1G  0 lvm  /
sdb                         8:16   0 931.5G  0 disk
└─sdb1                      8:17   0 931.5G  0 part

[USB 장치]

USB 장치는 mmcblk[0-9] 형식으로 표시된다. 참고 Raspberry Pi:mmcblk

1
2
3
4
5
6
7
8
9

$ lsblk
NAME        MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda           8:0    0 119.2G  0 disk
├─sda1        8:1    0  84.5G  0 part
└─sda6        8:6    0  28.9G  0 part /
mmcblk0     179:0    0   7.5G  0 disk
├─mmcblk0p2 179:2    0   6.8G  0 part /media/qkboo/ROOT
├─mmcblk0p3 179:3    0 486.1M  0 part
└─mmcblk0p1 179:1    0   200M  0 part /media/qkboo/EFI

parted 사용

파티션 및 포맷을 위해 마운트된 파티션을 언마운트 한다. parted 는 상호작용 프롬프트에서 사용하거나 단일 명령어로 사용할 수 있다.

parted 프롬프트 사용

[ext4 파티션 생성]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

sudo parted /dev/sdb
(parted) print
Number  Start   End     Size    File system  Name     Flags
 1      0.00GB  32.0GB  32.0GB

(parted) mklabel gpt
Warning: The existing disk label on /dev/sda will be destroyed and all data on
this disk will be lost. Do you want to continue?
Yes/No? y

(parted) unit GB
(parted) mkpart primary 0 1000.0GB     #디스크 크기 입력

(parted) print
Number  Start   End     Size    File system  Name     Flags
 1      0.00GB  32.0GB  32.0GB               primary  lvm
(parted) quit

[fat32 파티션 생성]

USB 스토리지는 아래 같이 나타난다. 다음은 USB 파티션에 fat32 파일시스템을 프롬프트로 생성하고 있다.

1
2
3
4
5

sudo parted /dev/mmcblk0
(parted) mklabel msdos
(parted) mkpart primary fat32 1MiB 100%
(parted) set 1 boot on
(parted) quit

쉘에서 parted 명령 사용

parted 를 쉘 명령으로 사용해 단계별로 파티션을 생성할 수 있다.

1
2
3

sudo parted /dev/mmcblk0 rm 1
sudo parted /dev/mmcblk0 rm 2
sudo parted /dev/sdc mkpart primary ext3 4MiB 100%

Format, Mount & fstab

생성한 파티션에 시스템 지원 파일 시스템을 생성해야 한다. 해당 파일 시스템으로 파티션을 포맷한 후에 지정한 디렉토리에 마운트를 해서 사용하면 된다. 지속적인 사용을 위해서 /etc/fstab 에 파티션을 마운트 포인트로 등록하면 재시동 후에도 동일한 폴더에 마운트 된다.

mkfs

mkfs 명령은 파일 시스템에 따랴서 -t 옵션에 파일시스템을 지시하거나 mkfs.[FS] 형식을 명령을 바로 쓰기도 한다.

다음을 sdb1 파티션을 ext4 로 포맷하고 있다.

1

sudo mkfs -t ext4 /dev/sdb1

[USB vfat 파일시스템 생성]

1

sudo mkfs -V -t vfat /dev/mmcblk0p1

fstab 에 등록

/etc/fstab 에 새로 포맷한 디스크 경로를 추가 한다.

1
2
3
4
5
6

# HDD
/dev/sdb1           /Home2 ext4 defaults 0 1

# USB LV volume
/dev/vg_usb/dbvol   /data ext4 defaults 0 1
/dev/vg_usb/workvol /home/pi/work ext4 defaults 0 1

참고

• Raspberry Pi:mmcblk, qkboo
• SD Card 포맷 및 디스크 이미지 사용하기, qkboo
• Linux LVM2,qkboo

2020-06-02: 매뉴얼 방식 수정

2020-02-02: 최초 작성
{:.right-history}

Nginx 서버에서 HTTPS 사용할 수 있는 공인인증서를 발급해 설치하려고 한다.

• 여기서는 Lets Encrypt 무료 공인인증서 발급을 다룬다.
• letsecrypt 공인인증서는 3개월 정도 기간만 사용 가능하고 갱신해야 한다.
• **단독 도메인을 호스팅하는 개인 서버에서 Nginx**에 적용해 본다.

인증서는 개별 도메인 혹은 와일드카드 인증서 로 도메인 안의 모든 호스트를 포함하는 두 종류로 발급이 가능하다.

firewalld 를 이용해서 방화벽을 구성해 보자.

• RedHat, Ubuntu, OpenSUSE LEAP 15.0 등은 시스템 기본 파이어월 관리자로 firewalld 를 제공한다고 한다.

firewalld

firewalld 는 ….

firewalld는 ufw 처럼 iptables 을 구성할 수 있다.

네트워크를 지역 관리가 가능해서 다른 네트워크, 지역에 따라 다른 규칙으로 구성해서 사용할 수 있다.
For example “Home” and “Office” where all communications with local machines are allowed, and “Public Wi-Fi” where no communication with the same subnet would be allowed.

https://www.ctrl.blog/entry/ufw-vs-firewalld

firewalld 설치

OpenSUSE LEAP 15.0, RedHat, Ubuntu 등은 시스템 기본 파이어월 관리자로 firewalld 를 제공한다고 한다.

1

$ sudo apt install firewalld

Start firewalld

To start firewalld, enter the following command as root:

1

systemctl start firewalld

root 사용자로 시작한다.

1
2

sudo systemctl enable firewalld
sudo reboot

For more information about the service status, use the systemctl status sub-command:

1
2
3
4
5
6

sudo systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: disabled)
   Active: active (running) since Thu 1970-01-01 09:01:48 KST; 48 years 6 months ago

sudo firewall-cmd --state

Stop firewalld

To stop firewalld, enter the following command as root:

1

systemctl stop firewalld

To prevent firewalld from starting automatically at system start, enter the following command as root:

1

systemctl disable firewalld

To make sure firewalld is not started by accessing the firewalld D-Bus interface and also if other services require firewalld, enter the following command as root:

1

systemctl mask firewalld

사용해 보기

firewalld 는 명령라인 firewall-cmd 와 GUI로 firewall-config 명령을 지원한다.

Zone 설정

Get a list of all supported zones

1

firewall-cmd --get-zones

List all zones with the enabled features.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

$ firewall-cmd --list-all-zones
...

public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: ssh dhcpv6-client http https
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

기본으로 제공하는 Zone

• drop: Any incoming network packets are dropped, there is no reply. Only outgoing network connections are possible.
• block: Any incoming network connections are rejected with an icmp-host-prohibited message for IPv4 and icmp6-adm-prohibited for IPv6. Only network connections initiated within this system are possible.
• public: For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.
• external: For use on external networks with masquerading enabled especially for routers. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.
• dmz: For computers in your demilitarized zone that are publicly-accessible with limited access to your internal network. Only selected incoming connections are accepted.
• work
  For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.
• home
  For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.
• internal
  For use on internal networks. You mostly trust the other computers on the networks to not harm your computer. Only selected incoming connections are accepted.
• trusted
  All network connections are accepted.

Zone

1
2

sudo firewall-cmd --get-default-zone
public

서비스

This command prints a space separated list.

Get a list of all supported services

1

$ firewall-cmd --get-services

This command prints a space separated list.

Get a list of all supported icmptypes

1

firewall-cmd --get-icmptypes

서비스를 제거하려면

1
2
3
4

# firewall-cmd --zone=public --remove-service=http
success
root@odroidc2:/home/qkboo# firewall-cmd --zone=public --remove-service=https
success

Http, Ssh 방화벽 활성화

http, https 를 공개 서비스를 지원하는 기본 존인 public에 추가한다.

1
2
3

sudo firewall-cmd --add-service=ssh
sudo firewall-cmd --add-service=http
sudo firewall-cmd --add-service=https

sudo firewall-cmd –zone=public –add-service=http –permanent

방화벽을 갱신한다

1
2

firewall-cmd --reload
firewall-cmd --state

혹은 zone을 지정해 추가한다.

1
2
3
4

sudo firewall-cmd --zone=web --add-service=ssh
sudo firewall-cmd --zone=web --add-service=http
sudo firewall-cmd --zone=web --add-service=https
sudo firewall-cmd --zone=web --list-all

Likewise, we can add the DNS service to our “privateDNS” zone:

1
2

sudo firewall-cmd --zone=privateDNS --add-service=dns
sudo firewall-cmd --zone=privateDNS --list-all

Zone 에 구성한 서비스 등은 런타임 혹은 완전히 방화벽에 구성할 수 있다.

To change settings in both modes, you can use two methods:
Change runtime settings and then make them permanent as follows:

1
2

firewall-cmd <other options>
firewall-cmd --runtime-to-permanent

Set permanent settings and reload the settings into runtime mode:

1
2

firewall-cmd --permanent <other options>
firewall-cmd --reload

모든 구성 내용 확인:

1
2
3
4
5
6
7
8
9
10
11
12
13
14

$ sudo firewall-cmd --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: ssh dhcpv6-client http https
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

특정 zone 에 대한 내역을 출력한다:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

$ sudo firewall-cmd --zone=public --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: ssh dhcpv6-client http https
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

참조

https://www.linode.com/docs/security/firewalls/introduction-to-firewalld-on-centos/

FirewallD

• RedHat: Getting started with firewalld

• How to set up firewalld on CentOS 7

Firewalld configuration and usage