반응형
TCP Wrapper를 알아보고, 접근제어 판단순서와 화이트리스트 설정 방법을 살펴봅니다.
[ Contents ]
1. TCP Wrapper
리눅스/유닉스 시스템에서 네트워크 서비스에 대한 호스트 기반 접근 제어(ACL)을 제공하는 보안 도구
allow와 deny 파일을 통해 접근을 허용하거나 거부할 호스트를 정의하는 보안 도구입니다.
# hosts.allow
sshd : 192.168.1.0/255.255.255.0
# hosts.deny
ALL : ALL
/etc/hosts.allow를 통해 접근 허용할 호스트를 정의하며, /etc/hosts.deny를 통해 접근 거부할 호스트를 정의합니다.
[서비스명 : 호스트/IP] 와 같은 문법으로 작성합니다.
2. 접근 제어 판단 순서
1. hosts.allow 확인 => 매칭되면 즉시 허용 [deny 확인 안 함]
2. hosts.deny 확인 => 매칭되면 거부
3. 두 파일 모두 매칭 안 됨 => 기본 허용(allow)
allow가 deny보다 우선순위가 높습니다. allow와 deny에 같이 쓰여 있다면 allow가 우선되어 허용합니다. 반면, 둘 다 적혀져 있지 않은 호스트는 기본적으로 허용합니다.
개인적으로 보기에 보안 관리자 친화적인 판단 순서입니다. 기본적으로 허용하고 있기 때문에, 서비스가 거부되어 문의가 올 확률이 낮죠.
반응형
3. 권장 보안 설정 패턴
# hosts.deny → 모든 서비스, 모든 호스트 거부
ALL : ALL
# hosts.allow → 필요한 것만 허용
sshd : 10.0.0.0/255.255.255.0
httpd : ALL
화이트리스트 방식으로, 위와 같이 설정하면 allow에 명시된 것만 통과하고 나머지는 전부 deny에서 차단됩니다.
반응형
'CS > 보안' 카테고리의 다른 글
| [보안] iptables 개념 및 구조, 주요 테이블과 체인, 동작과정 (0) | 2026.05.25 |
|---|---|
| [보안] 전자봉투(Digital Envelope) 개념 및 동작원리, 필요성 (0) | 2026.05.25 |
| [보안] IPsec 핵심 프로토콜(AH, ESP) 및 동작모드(전송, 터널) 살펴보기 (0) | 2026.05.24 |
| [보안] BLP(Bell-LaPadula)와 Biba 접근통제 모델 개념 및 차이점 비교 (0) | 2026.05.23 |
| [보안] 커버로스(Kerberos) 인증 프로토콜의 개념과 동작방식 (AS, TGS, KDC, TGT, ST) (0) | 2026.05.23 |
댓글