본문 바로가기
정보보안기사&CISSP관련/System Security

[Day 31] TCP Wrapper, hosts.allow, hosts.deny

by minimalist_2022 2020. 9. 10.

TCP Wrapper

  • 외부에서 들어오는 클라이언트에 대해 접근통제 기능 제공
  • 클라이언트 IP 주소를 확인하여 시스템 관리자가 접근을 허용한 호스트에 대해서만 서비스를 허용함으로써 외부 해킹으로부터 시스템 보호

 

TCP Wrapper 사용 전/후 비교(예시 : telnet 서비스)

  • TCP wrapper를 사용할 경우 해당 서비스의 실행경로에 "usr/sbin/tcpd"를 명시한다.
  • inetd 데몬은 외부로부터 서비스 요청이 올 경우 inetd.conf 파일을 참조하여 실행경로에 설정된 /usr/sbin/tcpd(tcp-wrapper 프로세스)를 실행한다.
    • 사용전 : /usr/sbin/in.telnetd
    • 사용후 : /usr/sbin/tcpd

 

TCP Wrapper 접근 허용/차단 기준

  • 접근허용 및 차단은 /etc/hosts.allow, /etc/hosts.deny 파일에 정의된 호스트 정보를 기준으로 함
  • 먼저 hosts.allow 파일을 참조하여 해당 호스트 정보가 있으면 접근 허용
  • 다음으로 hosts.deny 파일을 참조하여 해당 호스트 정보가 있으면 접근 차단
  • hosts.deny에도 해당 호스트 정보가 없으면 모든 접근 허용

 

hosts.allow, hosts.deny 문법 

service list : client list

hosts.deny hosts.allow 설명
ALL : ALL in.telnetd : 192.168.1.1, 192.168.1.2
in.ftpd : 192.168.1.3
192.168.1.1, 192.168.1.2에 대해 telnet 허용
192.168.1.3에 대해 telnet 허용
그 외 호스트는 어떤 서비스도 사용 불가
ALL : ALL in.telnetd : 192.168.1. 192.168.1로 시작하는 IP 주소를 가진 호스트는 telnet 서비스 허용
ALL : ALL ALL : LOCAL  같은 네트워크에 있는 호스트는 모든 서비스 허용
ALL : ALL ALL EXCEPT in.telnetd : ALL telnet 외 모든 서비스 허용
ALL : ALL in.telnetd : .a.com ExCEPT www.a.com www.a.com 을 제외한 a.com 도메인의 모든 호스트에 대해 telnet 허용

 


※참고

알기사 정보보안기사 실기 교재

'정보보안기사&CISSP관련 > System Security' 카테고리의 다른 글

[Day 33] Linux/Unix Log file  (0) 2020.09.12
[Day 32] PAM(Pluggable Authentification Modules)  (0) 2020.09.11
[Day 30] crontab  (0) 2020.09.09
[Day 29] i-node list  (0) 2020.09.08
[Day 28] chmod, umask  (0) 2020.09.07