전송 계층 서비스 모니터 및 수정

전송 계층 프로토콜인 TCP, SCTP 및 UDP는 표준 Oracle Solaris 패키지의 일부입니다. 일반적으로 이러한 프로토콜은 개입 없이도 제대로 실행됩니다. 하지만 사이트의 요구 사항에 따라 전송 계층 프로토콜을 통해 실행되는 서비스를 기록하거나 수정해야 할 수도 있습니다. 그런 다음 Oracle Solaris 관리: 일반 작업의 6 장, 서비스 관리(개요)에 설명된 대로 SMF(서비스 관리 기능)를 사용하여 해당 서비스에 대한 프로파일을 수정해야 합니다.

inetd 데몬은 시스템 부트 시 표준 인터넷 서비스를 시작합니다. 이러한 서비스에는 TCP, SCTP 또는 UDP를 전송 계층 프로토콜로 사용하는 응용 프로그램이 포함됩니다. SMF 명령을 사용하여 기존 인터넷 서비스를 수정하거나 새 서비스를 추가할 수 있습니다. inetd에 대한 자세한 내용은 inetd Internet Services Daemon을 참조하십시오.

전송 계층 프로토콜과 관련된 작업은 다음과 같습니다.

• 모든 수신 TCP 연결 기록

• 전송 계층 프로토콜을 통해 실행되는 서비스 추가, SCTP를 예로 사용

• 액세스 제어를 위해 TCP 래퍼 기능 구성

inetd 데몬에 대한 자세한 내용은 inetd(1M) 매뉴얼 페이지를 참조하십시오.

모든 수신 TCP 연결의 IP 주소 기록 방법

1. 관리자로 로그인합니다.

   자세한 내용은 Oracle Solaris 관리: 보안 서비스의 관리 권한을 얻는 방법을 참조하십시오.

2. inetd로 관리되는 모든 서비스에 대해 TCP 추적을 사용으로 설정합니다.

   # inetadm -M tcp_trace=TRUE

SCTP 프로토콜을 사용하는 서비스를 추가하는 방법

SCTP 전송 프로토콜은 TCP와 유사한 방식으로 응용 프로그램 전송 프로토콜에 서비스를 제공합니다. 하지만 SCTP는 둘 중 하나 또는 모두가 멀티홈일 수 있는 두 시스템 간의 통신을 가능하게 합니다. SCTP 연결을 연관이라고 합니다. 연관에서 응용 프로그램은 하나 이상의 메시지 스트림으로 전송되거나 다중 스트림될 데이터를 구분합니다. SCTP 연결은 IP 주소가 여러 개인 끝점으로 이동할 수 있으므로 전화 기술 응용 프로그램에서 특히 중요합니다. 사이트에서 IP 필터 또는 IPsec를 사용하는 경우 보안상 SCTP의 멀티 홈 기능을 고려해야 합니다. 이러한 고려 사항 중 몇 가지는 sctp(7P) 매뉴얼 페이지에서 설명됩니다.

기본적으로 SCTP는 Oracle Solaris에 포함되어 있으며 추가 구성을 필요로 하지 않습니다. 단, SCTP를 사용하도록 특정 응용 프로그램 계층 서비스를 명시적으로 구성해야 합니다. echo 및 discard가 이러한 응용 프로그램에 해당합니다. 다음 절차에서는 SCTP 일대일 스타일 소켓을 사용하는 echo 서비스를 추가하는 방법을 보여 줍니다.

다음 작업에서는 inetd 데몬으로 관리되는 SCTP inet 서비스를 SMF 저장소에 추가하는 방법을 보여 줍니다. 그런 다음 SMF(서비스 관리 기능) 명령을 사용하여 서비스를 추가하는 방법을 보여 줍니다.

• SMF 명령에 대한 자세한 내용은 Oracle Solaris 관리: 일반 작업의 SMF 명령줄 관리 유틸리티를 참조하십시오.

• 구문 정보는 절차에서 인용된 SMF 명령에 대한 매뉴얼 페이지를 참조하십시오.

• SMF에 대한 자세한 내용은 smf(5) 매뉴얼 페이지를 참조하십시오.

시작하기 전에

다음 절차를 수행하기 전에 서비스에 대한 매니페스트 파일을 만드십시오. 절차에서는 echo 서비스에 대한 매니페스트(echo.sctp.xml)를 예로 사용합니다.

1. 시스템 파일에 대한 쓰기 권한이 있는 사용자 계정으로 로컬 시스템에 로그인합니다.
2. /etc/services 파일을 편집하고 새 서비스에 대한 정의를 추가합니다.

   서비스 정의에 대한 다음 구문을 사용합니다.

   service-name |port/protocol | aliases

3. 새 서비스를 추가합니다.

   서비스 매니페스트가 저장된 디렉토리로 이동하여 다음을 입력합니다.

   # cd dir-name
   # svccfg import service-manifest-name

   svccfg의 전체 구문은 svccfg(1M) 매뉴얼 페이지를 참조하십시오.

   현재 service.dir 디렉토리에 있는 echo.sctp.xml 매니페스트를 사용하여 새 SCTP echo 서비스를 추가하려고 한다고 가정합니다. 다음을 입력합니다.

   # cd service.dir
   # svccfg import echo.sctp.xml

4. 서비스 매니페스트가 추가되었는지 확인합니다.

   # svcs FMRI

   FMRI 인수로 서비스 매니페스트의 FMRI(Fault Managed Resource Identifier)를 사용합니다. 예를 들어, SCTP echo 서비스의 경우 다음 명령을 사용합니다.

   # svcs svc:/network/echo:sctp_stream

   출력이 다음과 유사하게 표시됩니다.

       STATE          STIME    FMRI
   disabled       16:17:00 svc:/network/echo:sctp_stream

   svcs 명령에 대한 자세한 내용은 svcs(1) 매뉴얼 페이지를 참조하십시오.

   출력은 새 서비스 매니페스트가 현재 사용 안함으로 설정되어 있음을 나타냅니다.

5. 수정해야 할지 여부를 결정할 서비스의 등록 정보를 나열합니다.

   # inetadm -l FMRI

   inetadm 명령에 대한 자세한 내용은 inetadm(1M) 매뉴얼 페이지를 참조하십시오.

   예를 들어, SCTP echo 서비스의 경우 다음을 입력합니다.

   # inetadm -l svc:/network/echo:sctp_stream
   SCOPE    NAME=VALUE
                name="echo"
                endpoint_type="stream"
                proto="sctp"
                isrpc=FALSE
                wait=FALSE
                exec="/usr/lib/inet/in.echod -s"
            .
            .
            default  tcp_trace=FALSE
              default  tcp_wrappers=FALSE

6. 새 서비스를 사용으로 설정합니다.

   # inetadm -e FMRI

7. 서비스가 사용으로 설정되었는지 확인합니다.

   예를 들어, 새 echo 서비스의 경우 다음을 입력합니다.

   # inetadm | grep sctp_stream
   .
   .
       enabled   online         svc:/network/echo:sctp_stream

예 3-9 SCTP 전송 프로토콜을 사용하는 서비스 추가

다음 예에서는 사용할 명령과 echo 서비스가 SCTP 전송 계층 프로토콜을 사용하도록 하는 데 필요한 파일 항목을 보여 줍니다.

$ cat /etc/services
.
.
echo            7/tcp
echo            7/udp
echo 7/sctp

# cd service.dir

    # svccfg import echo.sctp.xml

# svcs network/echo*
    STATE          STIME    FMRI
    disabled       15:46:44 svc:/network/echo:dgram
    disabled       15:46:44 svc:/network/echo:stream
    disabled       16:17:00 svc:/network/echo:sctp_stream

# inetadm -l svc:/network/echo:sctp_stream
    SCOPE    NAME=VALUE
             name="echo"
             endpoint_type="stream"
             proto="sctp"
             isrpc=FALSE
             wait=FALSE
             exec="/usr/lib/inet/in.echod -s"
             user="root"
    default  bind_addr=""
    default  bind_fail_max=-1
    default  bind_fail_interval=-1
    default  max_con_rate=-1
    default  max_copies=-1
    default  con_rate_offline=-1
    default  failrate_cnt=40
    default  failrate_interval=60
    default  inherit_env=TRUE
    default  tcp_trace=FALSE
    default  tcp_wrappers=FALSE

# inetadm -e svc:/network/echo:sctp_stream

# inetadm | grep echo
    disabled  disabled       svc:/network/echo:stream
    disabled  disabled       svc:/network/echo:dgram
    enabled   online         svc:/network/echo:sctp_stream

TCP 래퍼를 사용하여 TCP 서비스에 대한 액세스를 제어하는 방법

tcpd 프로그램은 TCP 래퍼를 구현합니다. TCP 래퍼는 데몬과 수신 서비스 요청 사이에서 서비스 데몬(예: ftpd)에 대한 보안 조치를 추가합니다. 또한 연결 시도 성공 및 실패를 기록합니다. TCP 래퍼는 요청 시작 위치에 따라 연결을 허용하거나 거부하여 액세스 제어를 제공할 수도 있습니다. TCP 래퍼를 사용하여 SSH, Telnet, FTP 등의 데몬을 보호할 수 있습니다. sendmail 응용 프로그램은 Oracle Solaris 관리: 네트워크 서비스의 sendmail 버전 8.12의 TCP 래퍼에 대한 지원에 설명된 대로 TCP 래퍼를 사용할 수 있습니다.

1. 관리자로 로그인합니다.

   자세한 내용은 Oracle Solaris 관리: 보안 서비스의 관리 권한을 얻는 방법을 참조하십시오.

2. TCP 래퍼를 사용으로 설정합니다.

   # inetadm -M tcp_wrappers=TRUE

3. hosts_access(3) 매뉴얼 페이지에 설명된 대로 TCP 래퍼 액세스 제어 정책을 구성합니다.

   이 매뉴얼 페이지는 /usr/sfw/man 디렉토리에서 확인할 수 있습니다.