| [ LinuxFreeBSD ] in KIDS 글 쓴 이(By): yschoe (마술사) 날 짜 (Date): 1998년 11월 15일 일요일 오전 05시 56분 37초 제 목(Title): Re: [질문] 보안문제... /etc/inetd.conf에서 imap ipop finger같은걸 모두 comment out 해주시고 /etc/hosts.allow 에다가 ALL : allowed.host.1 allowed.host.2 .allowed.domain 127.0.0.1 이렇게 넣어주시고 (위에 .allowed.domain 은 예를 들어 .kreonet.co.kr 이렇게 해 놓으면 *.kreonet.co.kr 에대해 allow 합니다.) IP adress 를 써서 subnet을 지정해 줄 수도 있습니다. 128.83.139. 이런식으로 .. 그러면 128.83.139.* 에대해 allow가 됩니다. /etc/hosts.deny 에다가 ALL : ALL 이렇게 한 다음 killall -HUP inetd 해서 inetd를 다시 시작하면 됩니다. hosts.allow , hosts.deny, inetd 에 대한 manpage을 보세요. 더 복잡하고 세밀하게 접속을 통제할 수 있습니다. ALL EXCEPT xxxx 이런식으로요.. 또, 원래는 마지막에 옵션으로 action을 지정 할 수 있어서 <services> : <domains> [ : <action> ] 예를 들어 deny를 했을때 특정인에게 email을 보내도록 할 수도 있습니다. ALL : ALL : spawn (/usr/sbin/safe_finger -l @%h \ | /bin/mail -s "%d->%h" your@email.address ) & %d : 요청된 써비스 %h : 요청한 호스트 (*주의* 위에 나온대로 한 다음, /var/log/secure를 첫 2-3분간 계속 체크해보세요. 위에서 rule이 잘못 되었을 경우 자기 자신한테서 오는 수많은 패킷들이 deny되서 /var/log/secure 화일이 마구마구 커질 수 있으니까요.. 최악의 경우, email을 보내도록 해 놨을때는 계속 deny가 되는데도 불구하고 자기자신한테 finger 를 때려서 thrashing이 될 수도 있고요. 그리고 allow한 곳에서 telnet같은걸해서 되나 보고, deny한곳에서 안되나도 확인해 보세요 ) |