TCP Wrapper

[ TCP Wrapper ]
- 서비스 접근 제어를 목적으로 사용
- 클라이언트의 서비스 요청과 서버의 데몬 사이에서 작동(연결 제어)
- TCP Wrapper + xinetd(과거 inetd) 조합으로 사용하면 보다 강력한
보안의 구성이 가능
- StandAlone 모드의 데몬은 트래픽이 많아 같이 사용하지 않는다.
- Standalone(ex. httpd, named..) 서비스는 잦은 연결 요청이 발생하기
때문에 TCP Wrapper 설정이 효율적이지 못하며, Xinetd 기반의 서비스
(ftp, telnet, ssh..)를 주로 설정
- 사용 방법
/etc/hosts.allow, /etc/hosts.deny
# vi /etc/hosts.deny
: : :
ALL : ALL

설정 ex)
in.telnetd : 192.168.1.151 192.168.1.150
192.168.
sshd : 192.168.1.0/255.255.255.128
vsftpd : ALL EXCEPT 192.168.1.151
in.telnetd : 192.168.1.151 192.168.1.150 : banners /etc/banners
192.168.

sshd : 192.168.1.0/255.255.255.128 :

vsftpd : ALL EXCEPT 192.168.1.151 :


# vi /etc/banners/in.telnetd
Hello!! %c
접속하신 서비스는 %d 입니다

---------------------------------------------
환경 변수의 예.
%a : 클라이언트 IP 주소
%c : 클라이언트 정보
%d : 데몬 프로세스 이름
%h : 클라이언트 호스트 네임 또는 IP 주소
%n : 클라이언트 호스트 네임
%p : PID
%s : 서버 정보
%u : 클라이언트 사용자 이름

두 파일 allow, deny가 모두 설정되어 있을경우
allow가 높은 우선순위를 갖는다.

* TCP Wrapper 확인순서
1. hosts.allow 매치시 허용
2. hosts.allow no 매치시 hosts.deny를 확인
3. 둘다 없을시 허용