탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 네트워크 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
단일 인터페이스 호스트에서 정적 경로 지정을 사용으로 설정하는 방법
단일 인터페이스 시스템에서 동적 경로 지정을 사용으로 설정하는 방법
IPv4 주소 및 기타 네트워크 구성 매개변수 변경 방법
전송 계층 프로토콜인 TCP, SCTP 및 UDP는 표준 Oracle Solaris 패키지의 일부입니다. 일반적으로 이러한 프로토콜은 개입 없이도 제대로 실행됩니다. 하지만 사이트의 요구 사항에 따라 전송 계층 프로토콜을 통해 실행되는 서비스를 기록하거나 수정해야 할 수도 있습니다. 그런 다음 Oracle Solaris 11.1에서 서비스 및 결함 관리의 1 장, 서비스 관리(개요)에 설명된 대로 SMF(서비스 관리 기능)를 사용하여 서비스에 대한 프로파일을 수정해야 합니다.
inetd 데몬은 시스템 부트 시 표준 인터넷 서비스를 시작합니다. 이러한 서비스에는 TCP, SCTP 또는 UDP를 전송 계층 프로토콜로 사용하는 응용 프로그램이 포함됩니다. SMF 명령을 사용하여 기존 인터넷 서비스를 수정하거나 새 서비스를 추가할 수 있습니다. inetd에 대한 자세한 내용은 inetd Internet Services Daemon을 참조하십시오.
전송 계층 프로토콜과 관련된 작업은 다음과 같습니다.
모든 수신 TCP 연결 기록
전송 계층 프로토콜을 통해 실행되는 서비스 추가, SCTP를 예로 사용
액세스 제어를 위해 TCP 래퍼 기능 구성
inetd 데몬에 대한 자세한 내용은 inetd(1M) 매뉴얼 페이지를 참조하십시오.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# inetadm -M tcp_trace=TRUE
SCTP 전송 프로토콜은 TCP와 유사한 방식으로 응용 프로그램 전송 프로토콜에 서비스를 제공합니다. 하지만 SCTP는 둘 중 하나 또는 모두가 멀티홈일 수 있는 두 시스템 간의 통신을 가능하게 합니다. SCTP 연결을 연관이라고 합니다. 연관에서 응용 프로그램은 하나 이상의 메시지 스트림으로 전송되거나 다중 스트림될 데이터를 구분합니다. SCTP 연결은 IP 주소가 여러 개인 끝점으로 이동할 수 있으므로 전화 기술 응용 프로그램에서 특히 중요합니다. 사이트에서 IP 필터 또는 IPsec를 사용하는 경우 보안상 SCTP의 멀티 홈 기능을 고려해야 합니다. 이러한 고려 사항 중 몇 가지는 sctp(7P) 매뉴얼 페이지에서 설명됩니다.
기본적으로 SCTP는 Oracle Solaris에 포함되어 있으며 추가 구성을 필요로 하지 않습니다. 단, SCTP를 사용하도록 특정 응용 프로그램 계층 서비스를 명시적으로 구성해야 합니다. echo 및 discard가 이러한 응용 프로그램에 해당합니다. 다음 절차에서는 SCTP 일대일 스타일 소켓을 사용하는 echo 서비스를 추가하는 방법을 보여 줍니다.
주 - 다음 절차에 따라 TCP 및 UDP 전송 계층 프로토콜에 대한 서비스를 추가할 수도 있습니다.
다음 작업에서는 inetd 데몬으로 관리되는 SCTP inet 서비스를 SMF 저장소에 추가하는 방법을 보여 줍니다. 그런 다음 SMF(서비스 관리 기능) 명령을 사용하여 서비스를 추가하는 방법을 보여 줍니다.
SMF 명령에 대한 자세한 내용은 Oracle Solaris 11.1에서 서비스 및 결함 관리의 SMF 명령줄 관리 유틸리티를 참조하십시오.
구문 정보는 절차에서 인용된 SMF 명령에 대한 매뉴얼 페이지를 참조하십시오.
SMF에 대한 자세한 내용은 smf(5) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
다음 절차를 수행하기 전에 서비스에 대한 매니페스트 파일을 만드십시오. 절차에서는 echo 서비스에 대한 매니페스트(echo.sctp.xml)를 예로 사용합니다.
service-name |port/protocol | aliases
서비스 매니페스트가 저장된 디렉토리로 이동하여 다음을 입력합니다.
# cd dir-name # svccfg import service-manifest-name
svccfg의 전체 구문은 svccfg(1M) 매뉴얼 페이지를 참조하십시오.
현재 service.dir 디렉토리에 있는 echo.sctp.xml 매니페스트를 사용하여 새 SCTP echo 서비스를 추가하려고 한다고 가정합니다. 다음을 입력합니다.
# cd service.dir # svccfg import echo.sctp.xml
# svcs FMRI
FMRI 인수로 서비스 매니페스트의 FMRI(Fault Managed Resource Identifier)를 사용합니다. 예를 들어, SCTP echo 서비스의 경우 다음 명령을 사용합니다.
# svcs svc:/network/echo:sctp_stream
출력이 다음과 유사하게 표시됩니다.
STATE STIME FMRI disabled 16:17:00 svc:/network/echo:sctp_stream
svcs 명령에 대한 자세한 내용은 svcs(1) 매뉴얼 페이지를 참조하십시오.
출력은 새 서비스 매니페스트가 현재 사용 안함으로 설정되어 있음을 나타냅니다.
# inetadm -l FMRI
inetadm 명령에 대한 자세한 내용은 inetadm(1M) 매뉴얼 페이지를 참조하십시오.
예를 들어, SCTP echo 서비스의 경우 다음을 입력합니다.
# inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream" proto="sctp" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" . . default tcp_trace=FALSE default tcp_wrappers=FALSE
# inetadm -e FMRI
예를 들어, 새 echo 서비스의 경우 다음을 입력합니다.
# inetadm | grep sctp_stream . . enabled online svc:/network/echo:sctp_stream
예 3-7 SCTP 전송 프로토콜을 사용하는 서비스 추가
다음 예에서는 사용할 명령과 echo 서비스가 SCTP 전송 계층 프로토콜을 사용하도록 하는 데 필요한 파일 항목을 보여 줍니다.
$ cat /etc/services . . echo 7/tcp echo 7/udp echo 7/sctp # cd service.dir # svccfg import echo.sctp.xml # svcs network/echo* STATE STIME FMRI disabled 15:46:44 svc:/network/echo:dgram disabled 15:46:44 svc:/network/echo:stream disabled 16:17:00 svc:/network/echo:sctp_stream # inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream" proto="sctp" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" user="root" default bind_addr="" default bind_fail_max=-1 default bind_fail_interval=-1 default max_con_rate=-1 default max_copies=-1 default con_rate_offline=-1 default failrate_cnt=40 default failrate_interval=60 default inherit_env=TRUE default tcp_trace=FALSE default tcp_wrappers=FALSE # inetadm -e svc:/network/echo:sctp_stream # inetadm | grep echo disabled disabled svc:/network/echo:stream disabled disabled svc:/network/echo:dgram enabled online svc:/network/echo:sctp_stream
tcpd 프로그램은 TCP 래퍼를 구현합니다. TCP 래퍼는 데몬과 수신 서비스 요청 사이에서 서비스 데몬(예: ftpd)에 대한 보안 조치를 추가합니다. 또한 연결 시도 성공 및 실패를 기록합니다. TCP 래퍼는 요청 시작 위치에 따라 연결을 허용하거나 거부하여 액세스 제어를 제공할 수도 있습니다. TCP 래퍼를 사용하여 SSH, Telnet, FTP 등의 데몬을 보호할 수 있습니다. sendmail 응용 프로그램은 Oracle Solaris 11.1에서 sendmail 서비스 관리의 sendmail 버전 8.12의 TCP 래퍼에 대한 지원에 설명된 대로 TCP 래퍼를 사용할 수 있습니다.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# inetadm -M tcp_wrappers=TRUE
이 매뉴얼 페이지는 /usr/sfw/man 디렉토리에서 확인할 수 있습니다.