답변이 상당히 늦었습니다.
[김성민]님이 남기신 글:
>안녕하세요,
>
>지금까지는 집에 시스템이 있어서 연습할때 하기
좋았는데요,
>며칠이따가 아는 분 사무실에 시스템을 갖다가 놓을려고
합니다.
>거긴 고정ip 거든요.
>몇달 정도만 사용하라고 하는데, 연습할 기회가 와서
그러는데요.
>지금까지는 윈도우 컴에서 리눅스로 텔넷접속을 위해
리눅스에서
>접속하고자 하는 윈도우컴의 ip 를 열어 주었습니다.
>내가 들어갈려고 해도 내가 열어주고 들어갑니다.
>/etc/hosts.allow 에 윈도컴의 ip 를 적어주고 들어갔다가 볼일
끝나면
>다시 리눅스에서 지워주죠..
>
>생성된 계정은 test, test1, test2 와 같이 연습용 사용자들이
있고요,
>이것을 외부에서 접속하게 될 경우에 test 에게는 허용하고
나머지는 허가할 경우만 텔넷 접속이 가능하도록 하고
싶습니다.
>나머지 사용자는 ip 로 하던 아이디로 하던... 지금은 ip 로 하고
있습니다.
>
>그리고 제가 test 를 쓰는데, 위에서 말씀드렸듯이 외부
사무실에 시스템을 갖다가 놓으면 root 로그인을 해야 하는데,
test 만 항상 텔넷 접속 및 root 로그인이 가능하고, 나머지는 test
가 root 로 로그인해서
>hosts.allow 에 접속할 ip 를 열어 주는 방법이 가능할것
같은데요.
>
>이거 전에 문의드렸는데, 그때 답변이 없으셔서 다시 여쭤
봅니다.
>이런 방법을 일반 서버호스팅 받는 사람들이 이렇게 한다고
들었습니다.
>-----------------------------------------------
====>
이부분은 상당히 재미있는 부분이군요...
/etc/hosts.allow[deny] 파일은 호스트 레벨에서 접근을 제어하는
파일입니다.
사용자 user레벨에서 접근(telnet, ssh login)을 제어하려면
PAM 방식을 이용해서 /etc/pam.d/login 파일을 이용해 보세요.
여기에서 user레벨에서 접근할 수 있는 방향(접근정책)은
크게 3가지로
나눌수 있는데,
1. 모두 deny하고 특정 user 만 allow할 경우
2. 모두 allow하고 특정 user 만 deny할 경우
3. 때에따라 deny, allow 해야할 경우
입니다.
각각 시스템 마다 그 용도가 다르므로 적절한 선택을
먼저해야겠지요..
3번의 예를 든다면,
/etc/pam.d/login 제일 첫줄에
auth required /lib/security/pam_listfile.so item=user \
sense=deny file=/etc/loginusers.deny
auth required /lib/security/pam_listfile.so item=user \
sense=allow file=/etc/loginusers.allow
을 추가하고,
/etc/loginusers.allow
/etc/loginusers.deny
파일을 만듭니다.
1번 일 경우에는 sense=allow 라인만 추가하고
2번 일 경우에는 sense=deny 라인만 추가합니다.
2번의 경우에는 기존에 나왔던 팁이므로 1번과 2번은 생략하고,
다음은 3번의 경우입니다.
주의할점은 deny가 우선권이있습니다.
즉,
위의 두개의 파일에 특정 user가 모두 존재한다면
deny가 우선권이 있으므로 allow파일에 포함되어 있더라도 이
특정 user는
login할 수 없습니다.
또한
두개의 파일 모두에 아무 내용이 없으면, 바꾸어 말하면
allow 파일에 아무도 없으므로 역시 아무도 login이 안됩니다.
확대 해석하자면,
이 두개의 파일 어느 한쪽에라도 포함되지 않는 user 들은
allow파일에 포함되어 있지 않기 때문에
이 user 들은 모두 deny됩니다.
allow파일에는 login을 허락할 user들을
deny파일에는 login을 허락하지 않을 user들을 한줄에 하나씩
적어두면 됩니다.
설정파일을 편집후 재부팅할 필요는 없으며 다음 로그인부터
적용됩니다.
...
그외 아주 무식한 방법이 있는데 /etc/passwd 파일에서
해당유저를
잠시 lock 를 걸어두는 방법도 있습니다.
주의할점은 이 방법은 모든 서비스를 막는 경우입니다.
>
>그리고, 전에도 말씀드렸는데, 저희집은 두루넷-케이블 인데,
ip 가 자주 끊기는 편이거든요. 요즘 들어 그럽니다.
>전에 소량의 패킷을 일정시간 마다 날려주라는 답을
주셨는데요,
>혹시 일정시간 마다 신호를 외부로 보내고 만약 ip가 끊겨
보낼수 없으면 /etc/rc.d/init.d/network restart 명령을 내리도록
자동화 할수는
>없을까요?
>동네 자체에서 끊긴경우도 있으므로 2-3번 정도만 재시도 하고
안되면
>그냥 있어라... 하는 식으로..
>
>제가 소설을 쓰나요? **^^**
>
>부디 희망을 주세요... 산이님 같이 해박한 지식이 있는
운영자들을 못찾은 관계로 귀찮더라도 양해를 구하는
바입니다.~
========================================
두번째는 쉘스크립트를 짜면 될것 같군요...
wait ...
|
오늘은 대한입니다.
/board/read.php:소스보기 
