- 2014.12.11
1. vnc
[vnc 안될 때 대처 방법]
1) samadal(내가 사용하려는) 계정으로 로그인하여 vncpasswd 설정
2) /etc/sysconfig/vncserver 설정
18 # VNCSERVERS="2:myusername"
19 # VNCSERVERARGS[2]="-geometry 800x600 -nolisten tcp -localhost"
20 VNCSERVERS="1:root 2:samadal"
21 VNCSERVERARGS[1]="-geometry 800x600"
22 VNCSERVERARGS[2]="-geometry 800x600"
3) /etc/rc.d/init.d/vncserver restart
그래도 안될 시 4) 후 다시 시도
4) # killall -9 Xvnc and # rm -rf /tmp/.X*(or # reboot)
[telnet, ssh, vnc 비교]
telnet ssh vnc
보안 취약 강함 취약
속도 빠름 빠름 느림
그래픽 X X O
환경 TUI CLI(=TUI) GUI
프로그램 os기본 Linux 기본 P/G 별도설치
2. vnc with ssh
(위 까지의 설정이 완료 됬다는 가정 하에 진행한다.)
위에서 설정한 vnc는 보안에 취약하다. 이 점을 극복하기 위해 ssh를 이용한 vnc를 설명하려고 한다.
아래 설명하는 방법은 ssh tunneling 이라는 기술이며 이 경우 말고도 ftp 등 다양한 방법으로도 사용될 수 있다.
A PC에서 B PC로의 원격 접속을 SSH로 연결할 때의 원리는 다음과 같다.
A와 B 사이의 SSH 통로
A PC 서비스 --------------------------------> B PC 서비스
1) A와 B 사이의 SSH 연결
Windows에서는 putty 등의 프로그램, Linux에서는 자체 ssh 명령어로 A와 B사이를 SSH로 연결해둔다.
이 때 주의할 것은 일반적인 연결이 아닌 옵션을 통한 연결을 해야한다는 것이다.
여기서 주는 옵션은 A PC의 특정 포트와 B PC의 특정 포트를 연결하는 것이다. 여기선 각각 (a포트, b포트라 하겠다.)
putty 혹은 자체 프로그램으로 이러한 옵션이 설정되있는 SSH를 실행하여 로그인 한다.
2) 프로그램 실행
A PC의 a포트와 B PC의 b 포트가 ssh로 연결되었다.
이제 A PC의 실행하려는 프로그램에서 목적지 주소를 localhost:a 로 주면 이미 만들어진 ssh 통로를 따라
데이터가 암호화 된 상태로 B PC의 b 포트에 도착, 암호화를 풀어 B PC에서 정상 작동하게 되는 것이다.
[in Windows]
대표적인 프로그램인 putty를 예로 들겠다.
Remote 될 PC의 연결 설정을 load 한다.
좌측 메뉴의
Connention - SSH - X11 - Enable X11 forwarding 체크
- Tunnels - Source port : localhost에 연결될 포트(a) 입력
- Destination : serverip:port
Session - Save
설정한 뒤 Open을 눌러 연결 해놓은 상태에서 vncviewer 프로그램 실행하여 serverip:포트(a) 를 입력하면 된다.
[in Linux]
# ssh -NfL 3020:localhost:5901 -N -f -l id 192.168.1.1
-Nf : SSH 연결 하지 않고 Background 에서만 연결 되어 있도록 설정. 원격 커맨드 명령을 진행하려면 # ssh id@ip 명령어 입력.
-L 3020:localhost : localhost 의 5901번 포트를 ssh로 열어두겠다는 뜻.
5901 : Remote 될 PC에서 사용중인 포트번호.
-l id : ssh 인증 위한 id
192.168.1.100(sshserver.mydomain.com) : Remote server ip
vncview program 실행하여 localhost:3020 으로 접속.
[trouble shooting]
1) -bash: ssh: command not found
openssh clients 설치가 안되서 그렇다. yum install -y openssh clients 진행.
3. ftp
ftp : File Transfer Protocol의 약자로 TCP/IP 환경에서의 파일 전송용 Application Protocal 이다.
[종류]
- 시스템에 등록되어 있는 사용자들을 위한 FTP Service
- 익명의 모든 사용자에게 개방하는 익명(Anomyous) FTP Service
[vsftpd 서버 설정]
아래 파일들이 핵심 파일들이다.
/etc/vsftpd/vsftpd.conf : vsftpd의 메인 환경 설정 파일
/usr/sbin/vsftpd : vsftpd의 실행파일
/etc/rc.d/init.d/vsftpd : vsftpd의 데몬파일
[/etc/vsftpd/vsftpd.conf]
vsftpd 설치가 우선이지만 내가 실습하는 환경에선 이미 설치되어있다.
실습 전에 백업하는 습관 갖기
# cp /etc/vsftpd/vsftpd.conf /backup/
* 익명연결
웹 브라우저에 ftp://자신의ip 혹은 alftp 로 익명연결하면 연결된다.
이 것은 아래에 것으로 설정 변경
12번줄 YES -> no
# vi /etc/vsftpd/vsftpd.conf
12 anonymous_enable=no
13 #
설정 변경 뒤에는 재시작 해야한다.
# /etc/rc.d/init.d/vsftpd restart
이젠 웹으로 시도 시 암호창을 띄우게 되고, alftp로는 접속이 안된다.
이젠 계정을 입력해서 접속하면 된다.
samadal 계정으로 접속 하면 업로드, 다운로드, 삭제 등이 가능하다.
* write 권한 no
ftp로 보는 것과 다운로드만 되고 쓰는 것(업로드 및 삭제, 수정)은 안되게 설정 변경
18번줄 YES -> no
# vi /etc/vsftpd/vsftpd.conf
18 write_enable=no
19 #
* 모든 유저 접속 막기
/etc/passwd 파일에 존재하는 사용자들의 접속을 막는 것 설정
15번줄 Yes -> no
# vi /etc/vsftpd/vsftpd.conf
15 local_enable=no
16 #
* 익명사용자 권한 부여
익명 접속자에게 업로드 및 디렉터리 생성을 가능하게 하는 설정 (삭제는 불가)
27, 31번줄 : 주석 해제
# vi /etc/vsftpd/vsftpd.conf
27 anon_upload_enable=YES
28 #
29 # Uncomment this if you want the anonymous FTP user to be able to create
30 # new directories.
31 anon_mkdir_write_enable=YES
하지만 역시나 실패. pub 디렉터리에 o+w 권한을 줘야할 것 같다.
아래처럼 권한을 줘가면서 테스트 해보자.
/var/ftp/ /var/ftp/pub/
755 755 - 접속 가능, 업로드 및 다운로드 불가
757 - 접속 가능, 업로드 및 다운로드 가능
757 755 - 접속 불가
757 - 접속 불가
익명의 ftp 서버에선 /var/ftp/ 가 최상위이다.
그런데 익명의 사용자에게 /vaf/ftp/ 에 7 권한을 준다는 것은 root 권한이나 마찬가지다.
그렇기 때문에 접속 자체를 막는 것이다.
일부 사용자의 경우 SELinux 때문에 실패 할 수도 있다. (나는 iptables 서비스를 꺼두었다. 미니멀에선 기본설정이다.)
그 때엔 아래 명령어로 해결 가능할 수도 있다.
# setsebool -P ftp_home_dir=1
# setsebool -P allow_ftpd_full_access on
# setsebool -P ftp_home_dir on
* umask
업로드 및 다운로드 시 파일에 대한 권한 설정 - umask
21 # if your users expect that (022 is used by most other ftpd's)
22 local_umask=022
23 #
* 접속 메세지
ftp 접속 시 메세지를 띄울 때 사용. 로그인하는 계정의 $HOME 에 .message 로 문서파일 만들면 됨
Alftp 의 경우 환경설정에서 알림창에 관한 설정 해줘야 함
35 dirmessage_enable=YES
36 #
* Active/Passive Mode 설정
ftp 서버는 별도의 데이터 전송 포트를 이용하는데 이 때 사용할 포트번호를 지정하는 옵션
42 connect_from_port_20=YES
43 #
Active : Client가 접속하고 싶은 포트로 접속
Passive : Server에서 지정해주는 포트로 접속하라고 알려줌
* log 기록 남기기(xferlog)
기본 저장 위치는 /var/log/xferlog 이고 저장되는 파일 명 변경 원할 때 설정
51 # WARNING - changing this filename affects /etc/logrotate.d/vsftpd.log
52 #xferlog_file=/var/log/xferlog
53 #
[log 기록 분석 실습]
(p287 ~ 288 참조)
dvd/Packages/mysql* -> ~samadal/ 로 복사
Alftp 로 d: 에다가 다운로드
~samadal 안에 있는 mysql* 삭제
다시 d:에 있는 mysql*을 ~samadal로 업로드
# vi /var/log/xferlog
Thu Dec 11 14:29:03 2014 1 192.168.1.1 9221512 /export/home/samadal/mysql-server-5.1.73-3.el6_5.i686.rpm b _ o r samadal ftp 0 * c
Thu Dec 11 14:29:03 : 접근시간
1 : 작업시간
192.168.1.1 : 접속 ip
9221512 : 용량
/export/ho~ : 파일명
b:바이너리파일
일반 문서파일: a(아스키)
o:outgoing(=downlod)
i: incoming(=upload)
r samadal : /etc/passwd 에 있는 samadal 로 접속
a ? : 익명연결
ftp : ftp로 접속
0 : 인증방식, None (1 = rfc931)
(rfc : 접속하는 방법들을 문서화, 931 : 일련번호)
c : complete(성공)
i : incomplete(실패)
* vsftpd 방식 log
기본(xferlog)방식 : upload & download 만보여짐
xferfog 표준 포맷은 사용자의 로그인, 디렉터리 생성 등의 로그를 남기지 않지만 vsftpd 로그 기록 방식은 이를 포함한 보다 상세한 로그를 남길 수 있다.
56 xferlog_std_format=YES
57 #
no 로 바꾸고 재시작, 업로드 및 다운로드 진행
# vi /var/log/vsftpd.log
Thu Dec 11 14:47:16 2014 [pid 7515] [samadal] OK DELETE: Client "192.168.1.1", "/export/home/samadal/mysql-server-5.1.73-3.el6_5.i686.rpm"
=> vsftp 방식으로 로그 기록 남김
* idle_session_timeout
사용자가 ftp 접속 후 일정 시간 동안 아무런 작업을 하지 않으면 자동으로 접속을 끊게 되는데 이때 설정하는 시간. 단위는 초
58 # You may change the default value for timing out an idle session.
59 #idle_session_timeout=600
* date_connection_timeout
ftp 서버로부터 데이터 전송이 끝난 후에 또 다른 데이터의 전송이 이루어지지 않을 경우의 종료 대기시간. 단위는 초
61 # You may change the default value for timing out a data connection.
62 #data_connection_timeout=120
* 최상위로의 폴더 탐색 금지, 접근한 곳 외에 대한 접근 금지
접속하면 최상위로 접근하여 어디든 갈 수 있다.
거기에 /etc/passwd 파일 등의 것을 다운로드 가능하다. - 보안상 취약
접근한 곳 외에 접근 금지하게끔 하는 것, vsftpd 서버 설정 중 가장 먼저 해야 할 것이다.
96번줄 : 주석 풀기
95 # users to NOT chroot().
96 #chroot_local_user=YES
97 #chroot_list_enable=YES
98 # (default follows)
99 #chroot_list_file=/etc/vsftpd/chroot_list
100 #
하지만 가끔은 필요한 계정도 필요할것.
97과 99가 한 쌍으로 움직여 해당 기능 실행한다.
[실습]
위 설정 파일에서 97, 99번줄 주석 해제
user1 계정 생성
아직 데몬 재시작 안했다. alftp 통해 user1 으로 접속해보자
하지만 접속이 안되는데, 그 이유를 보니 chroot_list 를 읽을수 없다고 뜬다.
# cat > /etc/vsftpd/chroot_list
samadal
으로 samadal 을 해당 리스트에 올리니 samadal 로 접속 시 최상위까지 다 보인다.
user1으로 해보니 역시 자기 홈 디렉터리뿐이 보이지 않는다.
* ftp를 xinetd(슈퍼 데몬) 관리 하에 두기
110번 줄을 no 로 바꾸면 xinetd 를 거쳐 접속하게 된다.
110 listen=YES
111 #
* 접근 금지 host 목록
# vi /etc/hosts.deny
데몬명:ip:allow(혹은 deny)
ex)
vsftpd:192.168.1.*:deny
all:all:deny <- 모든 프로그램에 대하여 거절, putty도 사용 불가
# vi /etc/hosts.allow 가 존재하며, 접근 허용하는 목록도 작성 가능하다.
기본적으로 막는 것이 우선 이지만 같은 ip를 allow나 deny 2군데 모두 쓰면 allow가 되어버린다. 그러니 deny 만 건드리는 것이 좋다.
[문제]
기본으로는 root의 ftp 접속이 막혀있다.
교재 참조하여 root의 ftp 접속을 허용해보자.
# vi /etc/vsftpd/user_list
# vi /etc/vsftpd/ftpusers
에서 root 앞에 주석 붙이면 된다.
거기에 root이니 모든 디렉터리 접근 가능하게 설정하자.
# vi /etc/vsftpd/chroot_list
루트가 구지 ftp 서버를 이용할 필요는 없으니 실습 후에는 루트에게 허락한 권한 모두 수거.
[vsftpd 추가 옵션]
* 익명 사용자 최대 전송 속도 제한
익명 계정 접근 시 다운로드할 수 있는 최대 전송속도. 0은 제한 없음이며 단위는 bps
anon_max_rate=0
* 로컬 사용자 최대 전송 속도 제한
로컬 계정 접근 시 다운로드할 수 있는 최대 전송속도. 0은 제한 없음이며 단위는 bps
local_max_rate=0
* 최대 접속자수 제한
최대 접속자수 지정 옵션, 접속할 수 있는 최대 client 수 제한
max_clicnets=0
* 접속 최대 횟수 제한
client 호스트당 접속할 수 있는 최대 회수 제한
max_per_ip=0
* 익명 사용자가 사용할 홈 디렉터리 지정
anon_root=/var/ftp
'Study > CentOS' 카테고리의 다른 글
[28] nfs(2), nfs auto mount, autofs(1) (0) | 2015.04.04 |
---|---|
[27] auto mount, 응급복구, nfs(1) (0) | 2015.03.28 |
[25] vnc(1) (0) | 2015.03.28 |
[24] openSSH, system-config-firewall, scp, sftp (0) | 2015.03.28 |
[23] xinetd, telnet, krb5-telnet (0) | 2015.03.28 |