ssh, sftp 접근제어에 대한 조언을 구하고자 합니다.
글쓴이: 언젠가는 / 작성시간: 목, 2010/06/24 - 1:41오후
안녕하세요? ssh, sftp 접근제어에 대한 조언을 구하고자 합니다.
일단 간단한 네트웍 구성은 아래와 같고요...
[사용자PC]-----[Juniper 방화벽]-----[서버]
<현재 운영> SSH : SSH 기본 그대로 22 포트를 사용합니다. SFTP : 이것도 기본 그대로 22 포트를 사용합니다. (sftp 만 따로 포트 설정을 못 하는거 같더군요)
<문제점> TCP_Wrapper 에서 ssh 에 접근에 대한 호스트를 설정 해 놓아도, ssh/sftp 전부 다 접근 가능함. 방화벽에서 22 포트에 대해 정의를 해 놓아도 ssh/sftp 전부 다 접근 가능함.
...
ssh 만 허용하는 사용자에 대해선 ssh 만 사용 가능하게,
sftp 만 허용하는 사용자에 대해선 sftp 만 사용 가능하게끔 하고 싶습니다.
sshd_config 에서 sftp 실행을 막고,
별도로 vsftp 에 SSL enable 한 다음에 기본 포트를 다른포트로 (예를들면 2222) 한다음에
22번 포트와 2222 포트를 방화벽이나 TCP Wrapper 로 따로 접근 제어 하는게 맞는건지...
효과적인 운영방법을 위해 다른 분들의 의견을 들었으면 합니다. 조언좀 부탁드리겠습니다.
Forums:
제가 알기론...
같은 포트에서 따로다로 제어가 안되는걸로 알고 있습니다.
sftp도 결국 ssh나 마찮가지일거라 생각됩니다.
사람 기억이라는게 참 한계가 많은가보네요.. 3개월전에 chroot 한다고 엄청 봤었는데... 하나도 기억 안나네요..
group로 묶어서 어떻게 했던것 같기도 하구요..
정 안되시면 포트 두개 올려서 해야되지 않을까 생각됩니다.
아. 글구 TCP_Wrapper 요걸로 제어 할때 레코드 많아지고 접속자 많아지면 접속 안 될때도 있습니다. TCP_Wrapper 원초적 문제라고 하더군요. iptable로 제어하는게 나을듯 합니다.
iptables로 하는 것을
iptables로 하는 것을 추천드리고
sftp가 ftp over ssh라서 결국 같은 것입니다.
ssh로 접속해서 sshd가 sftp쪽을 뛰우는 구조라서 말입니다.
개인별 설정이 가능한지 기억이 안나지만 안될 것 같아 보입니다.
----------------------------------------------------------------------
웃는 얼굴 헤죽 헤죽
----------------------------------------------------------------------
웃는 얼굴 헤죽 헤죽
안녕하세요.접근제어 와 작업로그에 관해서
고민중인 문제에 대한 접근제어 및 작업로그 솔루션을 소개해 드립니다
첨부파일 참고하세요.
http://ydhoney.egloos.com/255
http://ydhoney.egloos.com/2551893
=3