TCP/IP는 인터넷 및 웹서비스의 가장 기본이 되는 통신 프로토콜로서, TCP Wrapper는 이러한 TCP/IP 프로토콜에 대해 기초적인 제한을 가함으로써 간단하면서도 강력한 보안 설정을 제공한다. 즉, TCP 접속 허용(/etc/hosts.allow)과 차단(/etc/hosts.deny)을 적절히 활용함으로써 보안을 설정하는데, 아래 내용을 통해 그 간단한 사용법에 대해 알아보도록 하자. |
접속 차단 (/etc/hosts.deny) |
ALL: ALL
# # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! |
접속 허용 (/etc/hosts.allow) |
httpd: ALL
sshd: 192.168.0. 203.246.29.23 192.168.188.
proftpd-standalone: ALL
ALL: 192.168.0.
# # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # |
위의 두 파일은 각각 접속 차단/허용을 설정하는 파일들이다.
위 설정한 내용에 대한 세부적인 설명은 아래를 참조하자.
- 작성 방법 ==> 좌측(내부 서비스명) : 우측(외부 접속 호스트)
- 접속 차단부에서 외부로부터의 모든 접속과 내부의 모든 서비스를 차단한다.
- 접속 허용부에서 접속을 허용할 내부 서비스와 외부 IP(도메인) 등을 선언한다.
① httpd(웹서비스)와 proftpd(FTP)는 외부로부터의 모든 접속을 허용
② sshd(보안쉘접속)는 지정한 IP 대역만 접속을 허용
③ 특정 IP대역(192.168.0.*)에서의 접속은 모든 서비스에 대해 허용한다.
- 사용하는 용도와 접속하고자하는 환경에 따라 여러가지 설정방법이 있을 수 있으니,
위의 예제를 참고하여 적절히 사용하면 된다.