외부로부터의 접근 허용 설정
Q. telnet, ssh, ftp 등의 설정을 마친 뒤 외부로부터 접속을 시도하면, 접속이 되지 않습니다. 다른 리눅스에서는 같은 방식으로 설정하면 접속이 되었었는데 한소프트 리눅스에서는 접속이 되지 않습니다.
A. 한소프트 리눅스는 보안 강화에 중점을 두고 개발한 리눅스 운영체제입니다.
그렇기에 강력한 보안 설정이 되어 있으며 외부로부터의 접속을 허용하기 위해서는 별도의 설정을 진행해야 합니다.
한소프트 리눅스 2005 워크스테이션 제품은 개인용 및 업무용 운영체제로 외부로부터의 접근은 모두 차단되는 것이 바람직합니다.
그러나 별도의 네트워크 서비스를 구축하여 운영하고자 하는 경우에는 아래와 같이 몇 가지 사항을 수정하여 사용하시면 되겠습니다.
1. 호스트 접근 차단 (deny)
/etc/hosts.deny 파일에서 기본적인 접근을 모두 차단하고 있습니다.
그러므로, 해당 파일을 열어 아래와 같이 주석처리 하면, 외부로부터의 접근이 모두 허용되는 상태(다른 리눅스 OS의 초기상태와 동일)가 됩니다.
이 상태로는 외부로 부터의 모든 접근을 허용하는 상태가 되므로, 이 후 각각의 서비스 별로 접속 관련 설정을 따로 하셔야 합니다.
(한소프트 리눅스에서는 보안상 권장하지는 않는 방식입니다.)
모든 외부 접근을 차단 (hosts.deny)
[root@localhost ~]# vi /etc/hosts.deny
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
ALL: ALL
|
위 예제의 “ALL: ALL" 앞 부분을 주석처리(#)하여 모든 접근을 허용할 수 있습니다.
2. 호스트 접근 허용 (allow)
hosts.deny에서 모든 접근을 차단하도록 설정되어 있는 상태에서 원하는 호스트로부터의 접근만 허용하는 방법이 있습니다.
/etc/hosts.allow 파일에서 특정 호스트의 접속을 허용하는 것으로 아래와 같은 방식으로 설정할 수 있습니다.
필요한 외부 접근을 허용 (hosts.allow)
[root@localhost ~]# vi /etc/hosts.allow
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
ALL: 192.168.179.
ALL: 211.233.211.233
ALL: 192.168.111. EXCEPT 192.168.111.203
ALL: .haansoft.com EXCEPT hacking.haansoft.com
|
위에서는 4가지의 사용방법에 대한 예제이며, 각 예제에 대한 설명은 아래와 같습니다.
ALL: 192.168.179. ==> 192.168.179.xx IP 대역으로 부터의 접근을 허용합니다. (256개 IP)
|
ALL: 211.233.211.233 ==> 211.233.211.233 IP로부터의 접근을 허용합니다. (1개 IP)
|
ALL: 192.168.111. EXCEPT 192.168.111.203
==> 192.168.111.xx IP대역으로 부터의 접근을 허용하지만,
192.168.111.203 IP는 여기서 제외 됩니다.
|
ALL: .haansoft.com EXCEPT hacking.haansoft.com
==> xxx.haansoft.com 대역 호스트로 부터의 접근을 허용하지만,
hacking.haansoft.com 호스트는 여기서 제외 됩니다.
|
위와 같이 호스트의 접근 설정을 변경한 후에는 반드시 아래와 같은 명령으로 관련 서비스를 재시작 해야 합니다.
# service network restart
# /etc/init.d/xinetd restart
3. ssh 서비스의 root 접근 허용
ssh는 암호화된 telnet 서비스를 제공해주는 프로그램으로 현재 매우 사용률이 높은 원격접속 프로그램입니다.
원격 서버에 접속하여 작업하는 모든 내용을 암호화하여 전달하기 때문에 보안성이 높다고 할 수 있겠으나, 시스템의 모든 권한을 가지고 있는 root 관리자로의 접속은 권장하는 방식이 아닙니다. 그러므로 보통 일반계정으로 접속을 한 이후에 root 계정으로 변경하여 사용하는 방식을 사용하게 되지만, 꼭 root 접속을 해야 하는 경우에는 아래와 같이 /etc/ssh/sshd_config 파일의 설정을 변경하여 사용할 수 있습니다.
# vi /etc/ssh/sshd_config
....
# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
....
|
"PermitRootLogin" 부분이 "no"로 되어 있다면, 위와 같이 “yes"로 변경합니다.
그리고 관련 서비스를 재시작 합니다.
# /etc/init.d/sshd restart
