[Solaris] Solaris10 TCP/wrapper 설정 Guide

문 서 명 : Solaris10 TCP/wrapper 설정 Guide  문 서 버 전 : Ver_1.0 문 서 구 분 : ■ Manual  □Summary 작 성 일 : 2014년 05월 27일 작 성 자 : 우리들의 삶 테 스 트 환 경 : Solaris10, SF280R 출 처 :

1. TCP/wrapper 란?

네트워크 서비스(finger, ftp, telnet, ssh 등등)의 요청을 받아 그 서비스를 실행하기 전에 요청한 호스트에 대해 TCP 기반으로 allow 된 장비만 서비스를 실행해 주는 서비스

1.1 TCP/wrapper 작동 전 network service에 대한 LOGIC

1.2 TCP/wrapper 작동 후 network service에 대한 LOGIC

2. TCP/wrapper Service 확인

2.1 최초 tcp_wrappers 서비스 상태 확인 [280r:/]inetadm -p NAME=VALUE bind_addr="" bind_fail_max=-1 bind_fail_interval=-1 max_con_rate=-1 max_copies=-1 con_rate_offline=-1 failrate_cnt=40 failrate_interval=60 inherit_env=TRUE tcp_trace=FALSE tcp_wrappers=FALSE   --> Solaris10은 기본적으로 tcp_wrappers가 설치되어 있으나, 서비스는 동작하지 않은 상태다. connection_backlog=10 [280r:/]inetadm | grep tcp enabled   online         svc:/network/rpc/cde-ttdbserver:tcp 2.2 tcp_wrappers 서비스 상태 값 변경 [280r:/]inetadm -M tcp_wrappers=true   ---> tcp_wrappers 활성화 [280r:/]inetadm -M tcp_wrappers=FALSE   ---> tcp_wrappers 비활성화 2.3 tcp_wrappers 설정 파일 생성 및 내용 추가 [280r:/]cat /etc/hosts.allow  --> hosts.allow와 hosts.deny가 같은 내용으로 등록되면 allow가 우선권을 갖는다. ALL:ALL [280r:/]cat /etc/hosts.deny ALL:ALL 2.4 inetd Service 재시작 [280r:/]ps -ef | grep inetd     root   356     1   0 14:05:55 ?           0:01 /usr/lib/inet/inetd start [280r:/]pkill -HUP 356

3. /etc/hosts.allow, /etc/hosts.deny 파일의 세부 설정

/etc/hosts.allow와 /etc/hosts.deny의 세부 설정 구문은 동일하고, 몇 가지만 알아두면 된다. 시스템 이름이나 도메인 이름을 사용하지 말고 IP 주소를 사용 /etc/hosts.deny을 deny ALL로 설정한 후 접속을 허용할 주소만 /etc/hosts.allow 파일에 기록 TCPWrapper 의 경우 저장하는 즉시 효력이 발생하므로 만약 잘못 설정했다면 콘솔로 접속하여야 한다. 만약 ssh 서비스에서 특정 IP 192.168.0.240만을 허용하려고 한다면 아래 처럼 하고, inetd service를 재기동 하면 된다. [280r:/]cat > /etc/hosts.allow  sshd:192.168.0.240 #Service:Source IP 설정 구문  Service 의미 in.telnetd Telnet Service sshd SSH Service in.ftpd FTP Service [280r:/]ps -ef | grep inetd     root  1177     1   0 15:25:59 ?           0:01 /usr/lib/inet/inetd start [280r:/]pkill -HUP 1177 만약 인가되지 않은 IP를 가진 HOST가 SSH를 이용하여 접속을 시도하면 아래와 같은 문구를 볼 수 있다.