🏠홈서버 만들기🏠 토렌트

새양·2021년 3월 7일

홈서버 만들기

목록 보기

10/12

개요

홈서버에 토렌트 클라이언트 프로그램을 넣어두고 웹 서비스를 하면 Seed file 이나 magnet 을 툭 던져주고 다운받으라고 시켜 놓을 수가 있습니다.

영상 같은 경우는 다운이 완료되면 클라우드 스토리지에서 미디어 서버의 폴더로 영상을 옮기면 간편하게 시청할 수 있습니다.
매주 새로 나오는 드라마 또는 영화 같은 경우 rss feeback 설정만 해주면 flexget 이라는 프로그램으로 자동으로 다운받고 분류까지 하도록 설정할 수 있는데 이 기능이 진짜 너무너무 편리하고 좋습니다.

Transmission 설치

이제부터 사용할 모든 명령어는 관리자 권한으로 실행해야 하므로 root 계정에 접속해주도록 하겠습니다.

su -
apt install transmission-daemon -y

Transmission 폴더 생성

생성할 폴더는 Nextcloud에서도 확인 해야하므로 Nextcloud 계정 데이터 폴더 최상위 부분에 Plex/Donwloads 라는 폴더를 만들어 주겠습니다.

cd /srv/nextcloud/[Nextcloud계정명]/files
sudo -u www-data mkdir -m 750 Plex
cd Plex
sudo -u www-data mkdir -m 770 Downloads
Nextcloud 데이터 폴더에 접속합니다.

www-data 계정의 권한으로 mkdir 명령어를 통해 Plex 라는 폴더를 750 의 권한인 rwxrw---- 로 생성합니다.

생성한 폴더로 들어합니다.

2 번과 같이 Downloads 폴더를 권한 rwxrwx--- 로 생성합니다.

폴더 권한과 소유자 및 그룹이 잘 설정되었는지 확인해봅시다.

ls -al

drwxr-x---  5 www-data www-data 4096 Mar  7 21:55 .
...
drwxrwx---  2 www-data www-data 4096 Mar  7 21:55 Downloads

Transmission 이 폴더에 그룹 권한으로 접근하여 파일을 쓸 수 있도록 debian-transmission 계정을 www-data 그룹에 추가해줍니다.
추가한 후 id 명령어로 그룹이 추가되었는지 확인하면 됩니다.

usermod -a -G www-data debian-transmission
id debian-transmission

uid=118(debian-transmission) gid=124(debian-transmission) groups=124(debian-transmission),33(www-data)

Transmission 파일을 전부 다운받았을 경우 파일의 소유자와 그룹은 debian-transmission 으로 되어있을 것이고 이후에 Transmission 의 umask 설정까지 되었다 생각하면 그룹 권한은 읽기/쓰기가 가능한 상태일 것입니다.
따라서 Nextcloud 에서 이 파일을 옮기기 위해서는 www-data 계정이 debian-transmission 그룹으로 들어가야합니다.

www-data 계정을 debian-transmission 그룹에 넣어주고 확인해봅시다.

usermod -a -G debian-transmission www-data
id www-data

uid=33(www-data) gid=33(www-data) groups=33(www-data),123(ds),124(debian-transmission)

이로써 권한 설정까지 마무리되었는데 이후 Transmission 웹에서 파일 다운로드 도중 Permission denied 라는 오류 메시지가 나타날 경우 폴더 생성부터 권한 설정까지 다시한번 체크하시길 바랍니다.
Transmission 서비스를 restart 하고 우분투도 reboot 해보고 할 거 다 해보세요.

저도 설치 때 이 메세지를 보고 상당히 곤란스러웠습니다.

DNS 레코드 생성

Transmission 을 사용할 도메인을 추가하세요.
저는 제 도메인이 있는 호스팅케이알에서 했습니다.
이 부분은 앞에서 많이 다뤘기 때문에 생략하도록 하겠습니다.

Transmission 설정

서비스 중지 및 설정 파일 수정

Transmission 의 설정 파일을 수정할 땐 항상 서비스를 먼저 종료하고 수정한 후 다시 실행해야합니다.
그렇지 않으면 반영되지 않을 뿐더러 설정 한 값이 원상 복귀 됩니다.

service transmission-daemon stop

많은 옵션들 중 필요한 것들만 건드려서 사용하기 편하도록 해보겠습니다.

cd /etc/transmission-daemon
vim settings.json
{
...
    "blocklist-enabled": true,
    "blocklist-url": "http://john.bitsurge.net/public/biglist.p2p.gz",
    "download-dir": "/srv/nextcloud/[Nextcloud계정명]/files/Plex/Downloads",
    "download-queue-enabled": true, 
    "rpc-authentication-required": false,
    "rpc-host-whitelist": "[Transmission도메인]",
    "rpc-host-whitelist-enabled": true,
    "rpc-password": "[Transmission비밀번호]",
    "rpc-port": 9091, 
    "rpc-username": "[Transmission계정명]",
    "script-torrent-done-enabled": true,
    "script-torrent-done-filename": "/etc/transmission-daemon/AutoRemove.sh",
    "speed-limit-up": 0,
    "speed-limit-up-enabled": true,
    "trash-original-torrent-files": true,
    "umask": 2,
...
}
blocklist-enabled 차단 리스트들의 차단 여부

blocklist-url 홈서버에 스파이웨어나 멀웨어 등을 심어 공격하려는 것을 막기 위한 차단 리스트

download-dir 파일이 다운로드 되는 경로

download-queue-enabled 동시 다운로드 갯수 지정 여부 (왠만해선 기본값인 true로 두세요. 파일시스템 과부화 방지)

rpc-authentication-required transmission 웹 접속할 때 로그인 여부 (nginx상 로그인을 사용하여 fail2ban까지 적용해 보안을 강화할 것이라 false라고 입력함)

rpc-host-whitelist 허용할 도메인

rpc-host-whitelist-enabled 도메인 화이트리스트 활성화 여부

rpc-password Transmission 서비스의 계정 비밀번호

rpc-port Transmission 서비스를 실행할 포트

rpc-username Transmission 서비스의 계정명

script-torrent-done-enabled 하나 이상의 다운로드가 끝났을 때 스크립트 실행 여부

script-torrent-done-filename 하나 이상의 다운로드가 끝났을 때 실행할 스크립트 경로

speed-limit-up 업로드 최대 속도 (보통 다운로드를 했으면 업로드도 해주는 것이 토렌트 규칙이지만 법률 등의 문제로 인해 이기적이겠지만 업로드는 안 하는 것이 좋으니 0으로 설정)

speed-limit-up-enabled 업로드 속도 제한 여부

trash-original-torrent-files .torrent 시드 파일을 등록하면 자동으로 저장이 되는데 이 파일을 자동으로 삭제할지 여부

umask 다운로드한 파일에 부여할 umask (2로 설정하면 폴더 775(rwxrwxr-x), 파일 664(rw-rw—-) 권한이 생겨 Nextcloud와 이후 설치할 Plex에서 유연하게 사용 가능)

시드 자동 삭제

다운로드가 완료되고 나도 시드 역할 수행을 위해 토렌트가 남아있는데 어짜피 시드 역할 수행을 못하게 업로드 속도를 0으로 맞췄기 때문에 의미가 없습니다.
따라서 다운로드가 완료되면 리스트에서 자동 삭제 되도록 해보겠습니다.

cd /etc/transmission-daemon
vim AutoRemove.sh

SERVER="9091 --auth [Transmission아이디]:[Transmission비밀번호]"
TORRENTLIST=`transmission-remote $SERVER --list | sed -e '1d;$d;s/^ *//' | cut --only-delimited --delimiter=" " --fields=1`
for TORRENTID in $TORRENTLIST
do
    DL_COMPLETED=`transmission-remote $SERVER --torrent $TORRENTID --info | grep "Percent Done: 100%"`
    STATE_STOPPED=`transmission-remote $SERVER --torrent $TORRENTID --info | grep "State: Seeding\|Stopped\|Finished\|Idle"`
    if [ "$DL_COMPLETED"  ] && [ "$STATE_STOPPED"  ]; then
        transmission-remote $SERVER --torrent $TORRENTID --remove
    fi
done

AutoRemove.sh 라는 새 파일에 아래 내용 중 첫 줄의 [Transmission아이디] 와 [Transmission비밀번호] 만 수정해서 작성하시면 됩니다.

작성한 파일의 소유자와 권한 Transmission 이 사용할 수 있도록 바꿔주세요.

chown debian-transmission:debian-transmission AutoRemove.sh
chmod u+x AutoRemove.sh

설정이 완료 되었으면 서비스를 시작합시다.

service transmission-daemon start

Nginx 설정

외부에서 Transmission 웹 서비스에 접속하는 기본 방법은 아래와 같습니다.

9091번 포트의 포트 포워딩
9091번 포트 방화벽 설정
http://[홈서버도메인]:9091 주소를 접속

저는 모든 웹 서비스가 https인 443포트로 안전하게 접속하도록 하고싶습니다.
더군다나 포트포워딩, 방화벽 설정 없이 미리 열어놓은 웹 포트로만 통신하도록 하고싶습니다.

따라서 Nginx 에서 Revese proxy 를 구성하고 외부에서 https://[Transmission도메인] 으로 접속하면 내부에서 http://127.0.0.1:9091 로 접속한 페이지를 전달 해주도록 설정하겠습니다.

또한 fail2ban 을 위해 Transmission 의 인증 설정을 해제하였기 때문에 Nginx 에서 htpasswd 인증까지 다뤄주도록 하겠습니다.

인증 파일 생성

아파치 툴인 htpasswd 명령어로 파일 이름을 계정명으로 하고 명령어를 실행하세요.
이제 비밀번호를 2회 입력하시면 인증 파일이 생성됩니다.

apt install apache2-utils -y
htpasswd -c /etc/transmission-daemon/.htpasswd [Transmission계정명]

서버 블록 만들기

다른 서버블록들과 다르게 error_log 를 작성하지 않았고 기본값을 사용하도록 되어있습니다.
이러면 nginx 의 기본값을 통해 Transmission 의 모든 에러 로그가 /var/log/nginx/error.log 파일에 작성됩니다.
나중에 보안 설정 할 fail2ban을 위한 것입니다.

vim /etc/nginx/sites-available/[Transmission도메인]

server {
        listen 80;
        server_name [Transmission도메인];
        return 301 https://$server_name$request_uri;
}

server {
        listen 443 ssl http2;
        server_name [Transmission도메인];

        access_log /var/log/nginx/rpc.access.log;

        ssl_certificate /etc/letsencrypt/live/[도메인]/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/[도메인]/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/[도메인]/chain.pem;
        ssl_dhparam /etc/ssl/dhparam.pem;
        ssl_session_timeout 10m;
        ssl_session_cache shared:SSL:10m;
        ssl_session_tickets off;

        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256;
        ssl_ecdh_curve secp384r1;
        ssl_stapling on;
        ssl_stapling_verify on;

        add_header Strict-Transport-Security max-age=15552000;
        add_header X-Content-Type-Options "nosniff" always;
        add_header X-Frame-Options "SAMEORIGIN" always;
        add_header X-XSS-Protection "1; mode=block" always;

        client_max_body_size 0;
        auth_basic "";
        auth_basic_user_file /etc/transmission-daemon/.htpasswd;

        location / {
                proxy_pass http://127.0.0.1:9091;
                proxy_http_version 1.1;
                proxy_pass_header X-Transmission-Session-Id;
                proxy_set_header Host $http_host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

ln -s /etc/nginx/sites-available/[Transmission도메인] /etc/nginx/sites-enabled/

Nginx에 설정을 반영합시다.

service nginx restart

웹 브라우저로 https://[Transmission도메인] 에 접속한 후 htpasswd 로 설정한 계정으로 로그인을 합시다.

왼쪽 위 폴더 모양을 누르고 토렌트 시드 파일이나 마그넷을 넣어주면 다운로드가 시작됩니다.

안드로이드 앱도 있으니 설치해서 사용해 보세요.
앱으로 접속 할 때는 아래 정보를 토대로 연결할 수 있습니다.

주소 [Transmission도메인]
포트 443

법률 문제

토렌트하면 또 빠질 수 없는게 저작권법 문제 입니다.
머리 아프지 말고 몇가지만 꼭 기억해서 주의하며 사용해주세요.

우선 관련 법령부터 한번 봅시다.

대한민국 저작권법 제1장 제30조

제30조(사적이용을 위한 복제) 공표된 저작물을 영리를 목적으로 하지 아니하고 개인적으로 이용하거나 가정 및 이에 준하는 한정된 범위 안에서 이용하는 경우에는 그 이용자는 이를 복제할 수 있다. 다만, 공중의 사용에 제공하기 위하여 설치된 복사기기, 스캐너, 사진기 등 문화체육관광부령으로 정하는 복제기기에 의한 복제는 그러하지 아니하다. <개정 2020. 2. 4.>

https://www.law.go.kr/법령/저작권법/(20201208,17592,20201208)/제30조

배포하지 말자

우선 토렌트로 다운받은 것을 절대 다른사람에게 배포하지 마세요.
너무 당연한거지 않습니까?

또, 이전에 했을텐데 Transmission 의 업로드 속도 제한을 0 으로 설정하셔야합니다.
토렌트 규칙 상에선 다운받았으니 배포도 해주는게 올바른 행동이지만 그렇게되면 아무리 조각이라고 해도 배포를 한 것이 되니 문제가 생길 수 있습니다.
따라서 배포를 하지말고 자신도 모르게 배포될 수 있는 업로드를 제한 걸어두셔야 합니다.
이 항목은 다음 챕터인 Plex 설치해서 직접 확인해 볼 것입니다.

나만 보자

보통 드라마, 예능, 영화 등을 많이 토렌트로 받아 시청하실텐데 Plex 에 분류가 되었있는 것을 다른사람들과 함께 보기위해 Plex 사이트 계정을 공유하는 것도 하지 마십시오.
왠만하면 그냥 자기 자신만을 위해 사용하시길 바랍니다.
그래야 사적이용을 위한 복제 항목이 성립하지 않겠습니까?

개인적인 생각

통신사 TV 가입을 하든 넷플릭스 결재를 하든 그냥 유료로 사용하는 것이 제일 바람직한 행동이긴 합니다.
무료로 이러한 혜택을 누리는 것에는 항상 리스크도 존재 하기 때문에 어떻게 문제가 생길지는 꼭 염두하셔야 합니다.

문제가 생길 것 같을 경우 인터넷에 돌아다니는 판례들을 잘 살펴보시고 사용하시면 되겠습니다.

fail2ban 적용

우선 Transmission 웹 로그인 창에서 여러 번 틀리게 입력해서 로그가 남도록 한 다음 확인해보겠습니다.

에러 로그 확인

tail /var/log/nginx/error.log

2021/03/27 23:07:37 [error] 7148#7148: *1 user "qwer" was not found in "/etc/transmission-daemon/.htpasswd", client: 192.168.0.1, server: [Transmission도메인], request: "GET / HTTP/2.0", host: "[Transmission도메인]"
2020/03/27 23:16:18 [error] 7148#7148: *135 user "qwe" was not found in "/etc/transmission-daemon/.htpasswd", client: 192.168.0.1, server: [Transmission도메인], request: "GET / HTTP/2.0", host: "[Transmission도메인]"
2021/03/27 23:16:19 [error] 7148#7148: *135 user "asd" was not found in "/etc/transmission-daemon/.htpasswd", client: 192.168.0.1, server: [Transmission도메인], request: "GET / HTTP/2.0", host: "[Transmission도메인]"
2021/03/27 23:16:20 [error] 7148#7148: *135 user "zxc" was not found in "/etc/transmission-daemon/.htpasswd", client: 192.168.0.1, server: [Transmission도메인], request: "GET / HTTP/2.0", host: "[Transmission도메인]"
2021/03/27 23:16:22 [error] 7148#7148: *135 user "cvb" was not found in "/etc/transmission-daemon/.htpasswd", client: 192.168.0.1, server: [Transmission도메인], request: "GET / HTTP/2.0", host: "[Transmission도메인]"

첫 번째 줄을 예시로 들면 192.168.0.1 에서 [Transmission도메인] 으로 유저 qwer가 로그인을 시도했는데 실패했다고 기록이 남았습니다.

fail2ban 감옥 생성
vim /etc/fail2ban/jail.d/nginx-http-auth.conf
[nginx-http-auth]
backend = auto
enabled = true
port = 80,443
protocol = tcp
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
fail2ban 에서는 이 nginx 로그 필터링 정규식을 기본으로 제공해주므로 이를 이용하면 편리합니다.

fail2ban 서비스는 끊기지 안고 동작해야하니 reload 를 통해 설정 을 적용시켜 주겠습니다.
그리고 감옥이 정상 작동 하는지 확인해보겠습니다.

service fail2ban reload
fail2ban-client status nginx-http-auth

Status for the jail: nginx-http-auth
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /var/log/nginx/error.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

이제 스마트폰 모바일 데이터 환경으로 Transmission 웹으로 접속을 하고 일부러 5번 로그인을 실패한 뒤 확인해보면 정상적으로 벤 당한 것을 확인할 수 있습니다.

fail2ban-client status nginx-http-auth

Status for the jail: nginx-http-auth
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     5
|  `- File list:        /var/log/nginx/error.log
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   223.39.149.49

보안까지 완벽하게 끝냈습니다.
이제 사용할 일만 남았는데 자동으로 다운 및 분류를 해주는 rss feeback 을 활용한 flexget 프로그램은 다음 챕터에서 설치할 미디어 서버 Plex 까지 설치 한 뒤에 마지막 챕터에서 적용해보도록 하겠습니다.

새양

안녕, 세상!

이전 포스트

🏠홈서버 만들기🏠 클라우드 스토리지

다음 포스트

🏠홈서버 만들기🏠 토렌트