SSH 서버 IP 주소 : 192.168.10.197

windows  IP 주소 : 192.168.10.196

 

1) SFTP 접속 허용 / 거부

Subsystem sftp /usr/libexec/openssh/sftp-server

해당 부분이 주석처리 되어 있으면 SFTP 로 접속이 불가능 하고, 주석처리가 되어 있지 않은 상태면 SFTP 접속이 허용된다.

 

일단 주석처리가 되어 있지 않은 상태에서 SFTP 로 접속을 확인해 본다.

접속이 허용된다.

 

이제 해당 부분을 주석처리하고 접속을 시도해 보자

 

 

이렇게 '#' 을 붙여 주석처리를 수행하고 접속을 시도해본다

( systemctl restart sshd-service ) 를 수행 해야함

 

 

단지 주석처리만 했을뿐이지만 sftp 접속이 허용되지 않는다.

 

2) root 계정으로 로그인 허용 / 거부 설정

 

해당부분의

#PermitRootLogin yes

부분이 주석처리 되어있으나,

 

이부분의 설정이 기본적으로 yes 로 동작하며,

yes면 root 접속 허용 / no 면 root접속 거부가 된다.

 

먼저 주석을 제거하고 수행해본다.

 

yes 로 설정되어 있기 때문에 root로의 접속이 허용된다.

 

이번엔 해당 설정을 no 로 하고 접속을 시도해 보자

 

 

root 로의 접속이 허용되지 않는것을 확인할수 있다.

 

3) 특정 유저의 접속을 거부

 

위와같이 수정한후, hong 계정이 접속 불가능하게 해보자

 

 

위와같이 Access 가 거부됨을 확인할수 있다.

 

4) hosts.deny 파일을 이용한 ip차단

 

해당 파일에

sshd : 192.168.10.196 ( 윈도우 ip주소 ) 를 적고 sshd 를 재시작한다.

 

해당 주소의 ip를 거부하니 접속 자체가 차단됨을 알수있다

 

* 주의 할것! *

 

이미 세션 연결설정이 된후, ip를 차단한다던가, ssh의 구성설정을 바뀌면,

 

이미 연결된 세션은 연결이 유지가 된다.

위와같이 IP 를 차단했음에도, 차단하기전에 세션연결이 완료되었기 때문에 접속이 끊기지 않는다.

리눅스에서 ps 명령어를 수행해도 살아있음을 알수있다.

이럴경우 kill 명령어로 연결을 강제 종료 해야한다

 

kill 로 해당 프로세스를 죽이니 바로 연결이 끊겼다.

 

1. 비밀키 분배의 어려움

1) 물리적 방법으로 전달

- 링크 암호화에서 적용 가능 ( 물리적 장치로 이루어져 있기 때문에 )

- 단대단 암호화에서의 적용 어려움

 

2) 이전의 키를 사용해 암호화된 새로운 키 전송

- 링크 암호화나 단대단 암호화 모두 적용 가능

- 공격자가 어떤 한 키를 안다면 이후의 모든 키가 노출

 

3) 제 3자(키 분배 센터)를 통해 키 분배

- 단대단 암호화에서 널리 채택

- 사용자는 키 분배 센터와 유일한 키를 공유

 

2. 키배포센터(KDC)를 이용한 분배방법

1) A가 자신의 신원정보를 보내면서 B에 대한 통신시 사용되는 세션키 요청

2) KDC는 A와 B에게 서로의 세션키와 통신하려는 주체들간의 신원정보를 각자의 master key로 암호화 하여 배포한다,

   신원 정보인 ID(A)를 통해 B는 A가 통신하기를 원한다는것을 확인

3) A는 세션키를 이용해 B에게 전송하고, B는 A의 신원을 확인

4) B는 세션키를 이용해 A에게 전송하고, A는 B의 신원을 확인 ( T+1과 ID(B))

 

* 세션키

- 종단 시스템간의 통신을 암호화하는데 사용되는 임시키

- 보통 논리적인 연결에 사용된후 폐기

- 키 배포 센터로부터 획득(각자의 마스터키로 암호화되어 전송)

- 개체가 N일 경우 필요한 세션키 = N(N-1)/2

 

* 마스터키

- 키 배포 센터와 사용자가 공유하는 유일한 키

- 개체가 n일 경우 필요한 마스터키 = N개

 

3. 공개키 유효성

1) 공개키의 공개 발표

- 자신의 공개키를 다른 사용자에게 전송 등의 방법으로 공개

- 공개키를 항상 신뢰할수 없는 문제 발생

 

2) 공개적 사용 가능한 디렉토리

- 기관은 각 가입자에 대한 [ 이름, 공개키 ] 의 디렉토리 유지

- 각 가입자는 디렉토리 기관에 공개키 등록

- 가입자는 필요시 새로운 것으로 교체

- 기관은 디렉토리 공포

- 가입자는 전자적으로 디렉토리 접근 가능

==> 디렉토리 정보를 수정하거나 위조된 공개키로 임의의 가입자로 위장할수있는 문제 발생

 

4. 공개키 기관에 의한 세션키 분배

1) 공개키 기관에 A가 B에 대한 공개키를 요구하며 타임스템프(T)와 함께 전송 ( 위조 방지 )

2) KUb 는 B의 공개키를 의미하며, 공개키 기관의 개인키로 A가 요청한 메세지와 B의 공개키를 암호화하여 A에게 전송

3) A는 B의 공개키를 저장하고, A의 신원확인(ID(A))와 임시의 수 N을 B의 공개키로 암호화하여 전송

4) B가 공개키 기관에 A의 공개키를 요청

5) 공개키 기관의 개인키로 B가 요청한 메세지와 A의 공개키를 암호화하여 B에게 전송

6) B는 A의 진위여부 확인을 위해 A의 공개키로 N2를 생성후 A에게 N1과 N2를 전송 ( A만 복호 가능 )

7) A는 B의 공개키로 N2를 암호화 한후 B에게 전송 (B만 복호 가능 )

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

위 과정만으로는 통신을 할수 없음 세션키를 사용해야함

1) A의 식별자와 임시난수(N1)을 B의 공개키로 암호화하여 B에게 전송

2) B는 새로운 임시난수(N2)와 N1을 A의 공개키로 암호화하여 전송 A에게 전송

3) A는 보증을 위해 B의 공개키로 암호화한 N2를 B에게 전송 ( A 신원 확인 )

4) A는 비밀키 Ks를 선택하여 M=Era[Ekra[ks]]를 B에게 전송

 

전제적 시나리오 정보는 [ 더보기 ] 클릭

더보기

전체적 시나리오

상위 도메인 : kst20.com

상위 DNS IP : 192.168.20.131

위임 도메인 : hjm.kst20.com

위임 DNS IP : 192.168.20.132

위임 도메인의 관리 도메인 : ns.hjm.kst20.com

위임 도메인의 관리 IP : 192.168.20.136

1. 상위 DNS 설정

1) 상위 도메인 에서 [ 새 위임 ]선택

2) 위임할 도메인을 설정한다 [ hjm ]

3) 이름 서버에 추가를 선택

4) 하위 도메인 서버의 IP 를 기재하고, 도메인 네임 [ hjm.kst20.com ] 을 등록한다.

5) 정상적으로 추가 되었는지 확인한다.

6) 마침을 누른다.

7) 설정된 위임 DNS 를 확인한다.


2. 하위 DNS 설정

- 하위 DNS 에 [ hjm.kst20.com ] 을 등록하고, ns 도메인을 추가한다 ( 192.168.20.136 )

3. 확인

- 하위 서버에서 [ ns.hjm.kst20.com ] 과 [ ns.kst20.com ] 검색

: [ns.hjm.kst20.com] 은 관리하는 DNS 이기 때문에 검색이 되지만, 상위 DNS 인 [ ns.kst20.com ] 은 검색이 되지 않는다

 

- 상위 서버에서 [ ns.hjm.kst20.com ] 과 [ ns.kst20.com ] 검색

 

: 상위 서버는 하위 도메인을 관리하고, 하위 도메인은 [ ns.hjm.kst20.com ] 을 관리하기 때문에 정삭적으로 IP 주소를 반환한다

1. master 서버 설정

1) DNS 속성

2) 메세지를 전송할 slave IP 주소 설정

- 편집을 들어가서

- IP 주소를 추가해준다.

3) 적용 , 확인

적용을 하면 마스터 쪽에서 해야할 설정은 끝이난다.

2. Slave 서버 설정

1) 보조영역 추가

- 주 영역이 아닌 보조 영역으로 새로 추가해준다.

2) DNS 명 기재

- 반드시 master 서버의 DNS 명과 같게 설정해야한다

3) master 서버의 IP 주소 명시

- master 서버의 IP 주소를 명시해 준다

4) 동작 확인

- master 서버의 DNS 정보 ( zone 파일 정보 ) 가 Slave 서버에 복사됨을 확인

- nslookup 을 수행해도 정상적으로 작동한다

통신 과정

1. www.axy.org 를 관리하는 네임서버의 IP주소를 [ abc.com ] 에게 질의

2. root dns 에게 org를 관리하는 네임서버의 IP 주소를 질의

3. ORG 의 IP 주소를 [ abc.com ]에게 응답

4. axy.org 를 관리하는 네임서버의 IP주소를 org 에게 질의

5. axy.org의 ip주소를 abc.com 에게 응답

6. www.axy.org 의 ip 주소 질의

7.www.axy.org 의 ip 주소 응답

8. 로컬 네임서버가 클라이언트에게 www.axy.org 의 ip 주소 응답

9. 클라이언트와 www.axy.org 통신


윈도우 서버에서 DNS 실습

1. 서버관리자 에서 역할 및 기능 추가 수행

2. DNS 서버 설치 / windows 배포 서비스 설치

3. 재부팅시 자동 실행 설정

4. 설치

5. 설치 완료

6. 방화벽에서 DNS 서비스 확인

7. 관리도구 - 서비스 에서 dns 활성화 확인

8. 기본 dns 서버 변경

: ip 주소는 자동할당 되기 때문에 DNS 주소만 현재 할당된 ip 주소로 변경한다

9. nslookup 명령어로 DNS 확인

: 정상적으로 작동한다

- 기본값으로 캐시 DNS 서버 로 설정된다.


gw DNS 설정 (dns 서버 등록하기)

1. DNS 설정하기 위해 [도구 - DNS] 설정

- 설치된 이후 관리를 위해서는 [ 도구 ] 에서 설정

2. 정방향 조회 영역 에서 새영역 클릭

3. 새영역 설정

주영역 - Master 서버

보조영역 - Slave 서버

[ kst20.com ]으로 설정한다

영역파일 - zone 파일

- 동적 업데이트 허용 안함 체크

- kst20.com 생성확인

- 새호스트 선택

- gaytway 도메인을 설정한다

- 위와같이 설정됨을 확인할수 있다.

- nslookup 명령어로 [ gw.kst20.com ] 의 IP 주소를 확인

- 정상 작동

+ Recent posts