리눅스 Proftpd(Xinet) TcpWrapper 설정방법
페이지 정보
작성자
오원장
쪽지보내기
메일보내기
자기소개
아이디로 검색
전체게시물
댓글 0건
조회 7,595회
작성일 11-06-28 20:29
본문
일반적으로 proftp 는 standalone 방식으로 서비스가 되고있습니다.
xinet 방식과 standalone 방식의 큰 차이점은 서비스의 독립성이라고 말할수 있을것입니다.
일반적으로 standalone 방식으로 서비스되는 데몬은 httpd 웹서버 데몬이며, xinet 방식으로 서비스되는 데몬들은 telnet/network/pop3 등과같이 xinetd.d 디렉토리내에있는 모든 데몬들이 xinet 방식으로 서비스되고있는것들 입니다. xinet 형식으로 서비스되는 데몬들은 반드시 xinet 데몬이 살아있어야만 서비스가 되는것들입니다. 외부에서 요청이들어오면 xinet 데몬이 요청의 종류를 확인하고 해당 서비스를 호출하는 형식으로 서비스가 됩니다. 하지만, httpd와같은 데몬은 독립적으로 서비스가 되고있습니다. 일반적으로 서비스양이 많은 경우는 독립실행모드인 standalone 방식으로 서비스를하는것이 효율적일 것입니다.
현재 나의 시스템에서 proftp 는 standalone 방식으로 서비스가 되고있다.
standalone 방식으로 서비스가되면 TcpWrapper 의 영향을 받지않으므로 ftp 접근에대한 제한을할수가 없게된다. 하지만 데몬이 xinet 방식으로 구동된다면 TcpWrapper 의 영향을 받게됨으로 접근제한을 할수가 있게된다. 그래서 나의 시스템에서 proftp 를 standalone 방식이아닌 xinet 방식으로 서비스할려고한다.
1. 현재 서비스되고있는 proftp 데몬을 죽인다.
[root@soma]# /etc/rc.d/init.d/profptd stop
2. proftpd.conf 파일을 수정해서 xinet 방식으로 변경한다.
[root@soma]# /etc/proftpd/proftpd.conf
#ServerType standalone
ServerType inetd
3. /etc/xinetd.d/proftpd-inetd 파일을 열어 활성화를 시킨다.
[root@soma]# vi /etc/xinetd.d/proftpd-inetd
service ftp
{
disable = yes -> 이부분을 no 로 변경한다.
flags = REUSE
protocol = tcp
socket_type = stream
instances = 50
wait = no
user = root
server = /usr/sbin/in.proftpd
log_on_success = HOST PID
log_on_failure = HOST RECORD
}
4. xinet 데몬을 재시작한다.
[root@soma]# /etc/rc.d/init.d/xinetd restart
Stopping xinetd: [ OK ]
Starting xinetd: [ OK ]
만약 ok 명령어가 둘다 떨어지지 않는다면 다시 xinet 데몬을 재시작하시길 바랍니다.
위의 설정으로 이제 proftp 가 standalone 방식이아닌 xinet 방식으로 서비스가 시작되었습니다.
pstree 명령어로 확인하면 proftp 데몬이 없을것입니다. 이는 xinet 데몬에의해서 관리되게 됨으로써 proftp 데몬이 독립적으로 서비스되지 않게 되었기 때문입니다.
이제 TcpWrapper 의 영향을 받게되었으므로 /etc/hosts.allow, /etc/hosts.deny 파일에 원하는 설정만 하시면 됩니다.
5. tcp_wrapper 세팅
# vi /etc/hosts.deny
ALL : ALL
=> tcp래퍼 세팅은 왼쪽에 서비스명, 오른쪽에 아이피를 적는 방법으로 진행한다.
/etc/hosts.deny 에 ALL : ALL 을 써 주면 모든 아이피에 대해서 모든 서비스를 차단한다.
접근을 허용하고자 하는 서비스에 대해서는 /etc/hosts.allow 에서 명시하여 준다.
# vi /etc/hosts.allow
ALL : 61.72.248.128/255.255.255.128 127.0.0.1
=> 회사 아이피 대역과 로컬호스트에서만 접속 가능함
vsftpd : ALL
=> 레드햇 9.0인 경우 vsftpd 사용함. 모든 아이피에서 ftp 접속 가능함. 특정 아이피에서만 접속 가능하게 하고 싶으면 ALL 대신에 아이피를 적어줄 것
in.proftpd : ALL
=> 레드햇 9.0 이전 버젼인 경우 proftpd 사용함. 모든 아이피에서 ftp접속 가능함
in.telnetd : ALL
=> 모든 아이피에서 텔넷 접속 가능함
댓글목록
등록된 댓글이 없습니다.