데몬과 xinetd 환경 설정, TCP Wrapper

데몬(Daemon)

시스템에 관련된 작업을 수행하는 Background Process를 통칭

 

1) Stand alone 방식

 - 항상 standby 하고 있다가 서비스 요청이 오면 바로바로 작동 (httpd) 

 

2) Super Daemon 방식 ( ‘=. xinetd ) 

 - Super Daemon이 다른 Daemon들을 관리하는 형태

 - Super Daemon만 standby 하고 있다가 서비스 요청이 들어오면 해당 서비르 Daemon을 작동(telnet 등)

 

  ● inetd (internet service daemon) 서비스

       UNIX 부터 제공된 슈퍼 데몬 

 

  ● xinetd (extended internet services daemon) 서비스 

        inetd + tcpd 에 추가된 보안기능을 수행하는 네트워크 슈퍼 데몬

            +각 서비스 별 환경설정 파일을 별도로 제공(=> /etc/xinetd/서비스명)

              서비스에 대해 접근 통제(TCP Wrapper 기능 내장)

              Timeout, 접속 시간 기록

              접속 시도 횟수 제한 (Dos 공격 방어)

              로그 크기 제한 및 다양한 로그 제어 가능 

 

 

xinetd 의 설정 파일 

# /etc/xinetd.d/서비스명 

 

 

환경 설정 값 

 

 

Telnet 

네트워크 최초의 Application Protocol 중 하나

TCP port 23

telnet은 기본적으로 xinetd 기반으로 구동

 

telnet 은 관련 데이터를 평문(암호화가 안된) 상태로 전송 해서 보안이 취약

 

root 계정 접속을 제한을 해제 

터미널 목록 에 추가 해주면 사용가능해짐 

 

파일을 백업 (원본 파일 유지)  

# vi /etc/securetty 

# cp /etc/securetty /etc/securetty.bak 

 

파일 수정  

# vi /etc/securetty 

~ 

pts/0 추가 

 

서비스 재시작  

# service xinetd restart 

 

 

---

TCP Wrapper 

  inetd를 통한 접근을 제어 

  inetd가 tcpd를 통해 중간 접근 파일이 /etc/hosts.allow, /etc/hosts.deny 파일을 참조하여 접근 통제 수행

  allow가 우선 순위가 더 높음 !

  서비스 접근에 관련된 이벤트를 로그로 남김 

  설정 후 재시작 필수 

 

/etc/hosts.allow    //접근을 허가할 호스트 목록 파일 

/etc/hosts.deny    //접근을 거부할 호스트 목록 파일 

 

TCP Wrapper 환경 변수

&d : 데몬 프로세스 이름(in.telnetd , sshd , ...)

%h : 클라이언트 호스트 네임 or ip주소

 

# vi /etc/hosts.deny

sshd : 192.168.42.200 : twist echo " %h is denied "   

 

# service sshd restart

 

# tail /var/log/secure