수퍼데몬과 스텐드얼론 방식~~
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 1,500 조회
- 0 추천
- 목록
본문
안녕하십니까?
리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.
혹 어떤 책을 보시는지요? 혹,리눅스서버보안관리실무라면 해킹/보안 게시판에 글을 주시면 더 빠르게 답변을 받으실 수 있습니다.
말씀하신대로, 데몬은 크게 xinetd(또는 inetd)와 standalone형이 있으며 각각에서 접근제어를 하려면 통상적으로 xinetd의 경우 자체적인 접근 제어 기능이 없으므로 tcp wrapper를 이용하고, standalone은 자체적인 접근 제어 기능을 제공하므로 이를 이용합니다. 그러나 반드시 그러한 것은 아닙니다. 즉, tcp-wrapper를 제공하는가 또는 하지 않는가의 여부는 inetd인가 standalone인가 여부가 아니라 해당 데몬의 컴파일시 libwrapper 기능을 include하였는지에 따라 달라집니다. 따라서 sendmail이나 proftpd의 경우 standalone방식으로 작동해도 libwrapper 를 include 했다면 tcp wrapper에서 제어 가능하게 되는 것입니다.
물론 httpd등 모든 서비스도 마찬가지이지만 통상적으로 그렇게 하지 않지요...
하지만 통상적으로, 자체적인 설정 파일을 제공하는 standolne의 경우 자체적인 접근 제어를 이용하는 것이 더욱 편하고 효율적입니다.
이를테면, proftpd의 경우 proftpd.conf 파일에서
<Limit LOGIN>
Order deny,allow
Allow from all
</Limit> 을 이용하여 접근제어 할 수 있고,
sendmail의 경우 /etc/mail/access 에서
REJECT,DISCARD등으로 접근제어할 수 있고 , httpd의 경우 httpd.conf 에서
<Limit GET POST>
Order allow,deny
Allow from all
</Limit> 등과 같이 접근제어할 수 있는 것입니다...
질문 1 : xiinetd 기반의 서비스 들과 그 위와 서비스들은 standalone 방식인가여?
==> 예, xinetd 나 tcp-server등을 이용하지 않고 자체적인 설정 파일을 가지고 스스로 listen하는 서비스들은 standalone이라고 생각하시면 됩니다..
httpd, sendmail, bind, proftpd, ssh등의 그 예입니다..
질문 2: sshd standalone 방식인데 /etc/hosts.deny 파일에서 shhd : * 하는 접속이 않되네여[root@root ~]# chkconfig --list | grep ssh
sshd 0:해제 1:해제 2:활성 3:활성 4:활성 5:활성
책에서는 standalone 방식은 tcpd(tcp_weapper)와는 상관이 없고 자체 파일에서 접근제어할수 있다고 나왔는데 위 부분의 잘 이해가 않됩니다.
==> 특정한 서비스의 경우 자체적인 설정 파일을 가지고 자체적인 접근 제어가 제공되면서 standalone으로 작동할 수도 있고, tcp-wrapper도 함께 이용할 수 있도록 하는 경우가 있습니다. 이는 단지 컴파일시 libwrapper를 include하였는지에 따라 달라지는 것입니다. 가장 대표적인 것이 openssh, proftpd, sendmail 등입니다. 하지만 이러한 서비스들을 xinetd로 돌릴 경우 속도가 느려지고 성능에 문제가 되므로 접속이 많다면 가급적 standalone으로 돌리시는 것이 좋습니다.
이해가 되셨는지요?
감사합니다.
관련자료
-
이전
-
다음
