ssh, sftp 접근제어에 대한 조언을 구하고자 합니다.

언젠가는의 이미지


안녕하세요? ssh, sftp 접근제어에 대한 조언을 구하고자 합니다.

일단 간단한 네트웍 구성은 아래와 같고요...

[사용자PC]-----[Juniper 방화벽]-----[서버]

<현재 운영> SSH : SSH 기본 그대로 22 포트를 사용합니다. SFTP : 이것도 기본 그대로 22 포트를 사용합니다. (sftp 만 따로 포트 설정을 못 하는거 같더군요)

<문제점> TCP_Wrapper 에서 ssh 에 접근에 대한 호스트를 설정 해 놓아도, ssh/sftp 전부 다 접근 가능함. 방화벽에서 22 포트에 대해 정의를 해 놓아도 ssh/sftp 전부 다 접근 가능함.

...

ssh 만 허용하는 사용자에 대해선 ssh 만 사용 가능하게,
sftp 만 허용하는 사용자에 대해선 sftp 만 사용 가능하게끔 하고 싶습니다.

sshd_config 에서 sftp 실행을 막고,
별도로 vsftp 에 SSL enable 한 다음에 기본 포트를 다른포트로 (예를들면 2222) 한다음에
22번 포트와 2222 포트를 방화벽이나 TCP Wrapper 로 따로 접근 제어 하는게 맞는건지...

효과적인 운영방법을 위해 다른 분들의 의견을 들었으면 합니다. 조언좀 부탁드리겠습니다.

mudori의 이미지

같은 포트에서 따로다로 제어가 안되는걸로 알고 있습니다.
sftp도 결국 ssh나 마찮가지일거라 생각됩니다.

사람 기억이라는게 참 한계가 많은가보네요.. 3개월전에 chroot 한다고 엄청 봤었는데... 하나도 기억 안나네요..

group로 묶어서 어떻게 했던것 같기도 하구요..

정 안되시면 포트 두개 올려서 해야되지 않을까 생각됩니다.

아. 글구 TCP_Wrapper 요걸로 제어 할때 레코드 많아지고 접속자 많아지면 접속 안 될때도 있습니다. TCP_Wrapper 원초적 문제라고 하더군요. iptable로 제어하는게 나을듯 합니다.

^_^의 이미지

iptables로 하는 것을 추천드리고

sftp가 ftp over ssh라서 결국 같은 것입니다.

ssh로 접속해서 sshd가 sftp쪽을 뛰우는 구조라서 말입니다.

개인별 설정이 가능한지 기억이 안나지만 안될 것 같아 보입니다.

----------------------------------------------------------------------
웃는 얼굴 헤죽 헤죽

----------------------------------------------------------------------
웃는 얼굴 헤죽 헤죽

wnchoi의 이미지

고민중인 문제에 대한 접근제어 및 작업로그 솔루션을 소개해 드립니다
첨부파일 참고하세요.

댓글 첨부 파일: 
첨부파일 크기
Microsoft Office document icon (IOInsight)_Summary.doc261 KB
ydhoney의 이미지