나는 일부 기계의 구성을 전혀 이해하지 못한 채 관리를 맡았습니다.
일부는 iptables를 사용합니다. 일부는 tcp_wrappers(예: /etc/hosts.allow)를 사용하고 있습니다. 어떤 사람들은 둘 다 사용합니다. 그 중 어느 것도 일관되게 구성되지 않았습니다.
많은 경우 iptables와 tcp_wrappers에는 중복 규칙이 있는 것으로 보입니다. 어떤 경우에는 충돌합니다. 유지 관리가 악몽이어서 하나의 시스템으로 전환하는 쪽으로 기울고 있습니다.
이 작업을 수행하기 전에 동일한 시스템에서 두 가지를 모두 사용하는 것이 적절한 상황이 있는지 묻고 싶습니다.
답변1
tcp_wrappers보안에 대해 진지하게 생각하는 사람이라면 90년대에 크게 유행했으며 보안을 다룰 때 대부분의 OSI 계층 7 솔루션이 강력히 권장되었습니다. 세상은 발전했고 오늘날 우리는 서로 다른 수준과 서로 다른 기술을 사용하고 있습니다. 에 더 많은 솔루션이 있습니다.
솔루션을 설계하는 데 완전히 잘못된 방법이나 완전히 올바른 방법은 없습니다.
소프트웨어나 사용 사례에 따라 일반적으로 애플리케이션 수준에서 처리할 때단순화하다기타 구성.
또한 이제 회사 방화벽이나 가상화 측에 모든 방화벽 규칙을 정의했을 수 있으며 iptables모든 서버에 규칙을 적용하고 싶지 않을 수도 있습니다.
문제의 바이너리/프로그램을 컴파일하는 것도 가능하다는 점에 유의해야 합니다.아니요예를 들어 libwrap은 지원되지 않습니다 tcp_wrappers. 일반적으로 먼저 다시 확인하는 것이 좋습니다.
앞서 말했듯이 최선의 접근 방식이 무엇인지 결정하려면 여러 각도를 고려해야 합니다.당신을 위한.
답변2
이것hosts_access(5)매뉴얼 페이지iptables 대신 허용/거부 항목을 사용하려는 이유에 대한 몇 가지 가능성을 제공합니다.
- 사용자 일치(클라이언트에서 지원하는 경우): 기존 호스트 구현을 알지 못합니다.RFC 931아니면 더 이상 친구가 아닙니다. 왜냐하면 이것이 큰 보안 결함인 것 같기 때문입니다!
- 부비트랩/프로그램 호출: 로그인 규칙보다 더 복잡한 것을 구현하는 경우.
- 프로그램별 규칙: 네트워크 포트 대신 프로세스 경로를 기준으로 필터링하는 경우. 이 기능이 필요하지만 없는 경우 도움이 될 수 있습니다.
owner모듈은 에서 사용할 수 있습니다iptables. - Keepalive/Linger 옵션(~
hosts_options(5)): 귀하의 프로그램이 이 작업을 수행하지 않고 초기화 시스템도 이 작업을 수행하지 않는 경우(?)
hosts.allow나는 필요한 모든 것을 사용한 적이 없지만 규칙에 따라 (2) 또는 (4)의 일부 기능이 필요할 수 있습니다 hosts.deny. iptables이러한 파일이 이상한 작업을 수행하지 않으면 해당 파일을 동등한 iptables규칙으로 대체할 수 있을 것입니다. 확실히 관리가 단순화됩니다!