Chikong

SSH 서버 IP 주소 : 192.168.10.197

windows  IP 주소 : 192.168.10.196

1) SFTP 접속 허용 / 거부

Subsystem sftp /usr/libexec/openssh/sftp-server

해당 부분이 주석처리 되어 있으면 SFTP 로 접속이 불가능 하고, 주석처리가 되어 있지 않은 상태면 SFTP 접속이 허용된다.

일단 주석처리가 되어 있지 않은 상태에서 SFTP 로 접속을 확인해 본다.

접속이 허용된다.

이제 해당 부분을 주석처리하고 접속을 시도해 보자

이렇게 '#' 을 붙여 주석처리를 수행하고 접속을 시도해본다

( systemctl restart sshd-service ) 를 수행 해야함

단지 주석처리만 했을뿐이지만 sftp 접속이 허용되지 않는다.

2) root 계정으로 로그인 허용 / 거부 설정

해당부분의

#PermitRootLogin yes

부분이 주석처리 되어있으나,

이부분의 설정이 기본적으로 yes 로 동작하며,

yes면 root 접속 허용 / no 면 root접속 거부가 된다.

먼저 주석을 제거하고 수행해본다.

yes 로 설정되어 있기 때문에 root로의 접속이 허용된다.

이번엔 해당 설정을 no 로 하고 접속을 시도해 보자

root 로의 접속이 허용되지 않는것을 확인할수 있다.

3) 특정 유저의 접속을 거부

위와같이 수정한후, hong 계정이 접속 불가능하게 해보자

위와같이 Access 가 거부됨을 확인할수 있다.

4) hosts.deny 파일을 이용한 ip차단

해당 파일에

sshd : 192.168.10.196 ( 윈도우 ip주소 ) 를 적고 sshd 를 재시작한다.

해당 주소의 ip를 거부하니 접속 자체가 차단됨을 알수있다

* 주의 할것! *

이미 세션 연결설정이 된후, ip를 차단한다던가, ssh의 구성설정을 바뀌면,

이미 연결된 세션은 연결이 유지가 된다.

위와같이 IP 를 차단했음에도, 차단하기전에 세션연결이 완료되었기 때문에 접속이 끊기지 않는다.

리눅스에서 ps 명령어를 수행해도 살아있음을 알수있다.

이럴경우 kill 명령어로 연결을 강제 종료 해야한다

kill 로 해당 프로세스를 죽이니 바로 연결이 끊겼다.

전제적 시나리오 정보는 [ 더보기 ] 클릭

​

1. 상위 DNS 설정

1) 상위 도메인 에서 [ 새 위임 ]선택

​

2) 위임할 도메인을 설정한다 [ hjm ]

3) 이름 서버에 추가를 선택

​

4) 하위 도메인 서버의 IP 를 기재하고, 도메인 네임 [ hjm.kst20.com ] 을 등록한다.

​

5) 정상적으로 추가 되었는지 확인한다.

​

6) 마침을 누른다.

​

7) 설정된 위임 DNS 를 확인한다.

​

​

2. 하위 DNS 설정

- 하위 DNS 에 [ hjm.kst20.com ] 을 등록하고, ns 도메인을 추가한다 ( 192.168.20.136 )

​

​

3. 확인

- 하위 서버에서 [ ns.hjm.kst20.com ] 과 [ ns.kst20.com ] 검색

: [ns.hjm.kst20.com] 은 관리하는 DNS 이기 때문에 검색이 되지만, 상위 DNS 인 [ ns.kst20.com ] 은 검색이 되지 않는다​

- 상위 서버에서 [ ns.hjm.kst20.com ] 과 [ ns.kst20.com ] 검색

: 상위 서버는 하위 도메인을 관리하고, 하위 도메인은 [ ns.hjm.kst20.com ] 을 관리하기 때문에 정삭적으로 IP 주소를 반환한다

1. master 서버 설정

1) DNS 속성

​

2) 메세지를 전송할 slave IP 주소 설정

- 편집을 들어가서

​

- IP 주소를 추가해준다.

​

3) 적용 , 확인

​

적용을 하면 마스터 쪽에서 해야할 설정은 끝이난다.

​

2. Slave 서버 설정

1) 보조영역 추가

- 주 영역이 아닌 보조 영역으로 새로 추가해준다.

​

2) DNS 명 기재

- 반드시 master 서버의 DNS 명과 같게 설정해야한다

​

3) master 서버의 IP 주소 명시

- master 서버의 IP 주소를 명시해 준다

​

4) 동작 확인

- master 서버의 DNS 정보 ( zone 파일 정보 ) 가 Slave 서버에 복사됨을 확인

- nslookup 을 수행해도 정상적으로 작동한다

통신 과정

1. www.axy.org 를 관리하는 네임서버의 IP주소를 [ abc.com ] 에게 질의

2. root dns 에게 org를 관리하는 네임서버의 IP 주소를 질의

3. ORG 의 IP 주소를 [ abc.com ]에게 응답

4. axy.org 를 관리하는 네임서버의 IP주소를 org 에게 질의

5. axy.org의 ip주소를 abc.com 에게 응답

6. www.axy.org 의 ip 주소 질의

7.www.axy.org 의 ip 주소 응답

8. 로컬 네임서버가 클라이언트에게 www.axy.org 의 ip 주소 응답

9. 클라이언트와 www.axy.org 통신

​

​

윈도우 서버에서 DNS 실습

1. 서버관리자 에서 역할 및 기능 추가 수행

​

2. DNS 서버 설치 / windows 배포 서비스 설치

​

3. 재부팅시 자동 실행 설정

​

4. 설치

5. 설치 완료

6. 방화벽에서 DNS 서비스 확인

7. 관리도구 - 서비스 에서 dns 활성화 확인

8. 기본 dns 서버 변경

: ip 주소는 자동할당 되기 때문에 DNS 주소만 현재 할당된 ip 주소로 변경한다

​

9. nslookup 명령어로 DNS 확인

: 정상적으로 작동한다

​

- 기본값으로 캐시 DNS 서버 로 설정된다.

​

gw DNS 설정 (dns 서버 등록하기)

1. DNS 설정하기 위해 [도구 - DNS] 설정

- 설치된 이후 관리를 위해서는 [ 도구 ] 에서 설정

​

2. 정방향 조회 영역 에서 새영역 클릭

​

3. 새영역 설정

​

주영역 - Master 서버

보조영역 - Slave 서버

​

[ kst20.com ]으로 설정한다

영역파일 - zone 파일

​

- 동적 업데이트 허용 안함 체크

​

- kst20.com 생성확인

​

- 새호스트 선택

​

​

- gaytway 도메인을 설정한다

- 위와같이 설정됨을 확인할수 있다.

​

- nslookup 명령어로 [ gw.kst20.com ] 의 IP 주소를 확인

- 정상 작동

전반적인 시나리오

1. test 사용자 : 엔지니어, ftp를 통해 자료를 배포 받는 사람

2. FTP는 지정된 사용자만 접속 가능 ( 지정 사용자 : test )

3. 보안상 위협으로 FTP 접속자는 chroot 적용

4. 파일 배포를 위해 /home/pub 디렉토리를 개인 홈디렉토리에 mount

1) test 계정 생성

​

2) user_list 파일 수정

- test 계정 추가

​

3) vsftpd.conf 파일 수정

- 유저 리스트에 적힌 사용자만 접속 가능하다

​

4) chroot 설정

- chroot_list 파일에 등록된 사람들만 chroot 가 적용된다

​

5) chroot_list 파일 수정

- test 계정만 chroot 가 적용된다

​

6) 확인

1. root 계정은 접속 불가 확인

- test 사용자만 접속이 가능하므로, root는 접속이 안된다

​

2. test 계정은 접속 가능 확인

- 접속이 성공적으로 된다

​

3. chroot 적용 확인

- 로그인후 pwd 로 확인해보면 현재 위치가 root 위치임을 알수 있다.

​

4. mount 하여 확인

- test 디렉터리에 /pub 디렉터리를 생성하고 mount 한다

​

5. /home/pub 디렉터리에 파일 생성후 , ftp 로 /home/test/pub 에 파일생성되는지 확인

- 정상적으로 mount 되어 파일이 생성된다.