탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 네트워크 서비스 Oracle Solaris 11 Information Library (한국어) |
23. 비동기 Solaris PPP에서 Solaris PPP 4.0으로 마이그레이션(작업)
/etc/uucp/Systems 파일의 System-Name 필드
/etc/uucp/Systems 파일의 Speed 필드
/etc/uucp/Systems 파일의 Phone 필드
/etc/uucp/Systems 파일의 Chat-Script 필드
/etc/uucp/Systems 파일의 하드웨어 흐름 제어
Devices 파일 및 Systems 파일의 Type 필드
/etc/uucp/Devices 파일의 Line2 필드
/etc/uucp/Devices 파일의 Class 필드
/etc/uucp/Devices 파일의 Dialer-Token-Pairs 필드
/etc/uucp/Devices 파일의 Dialer-Token-Pairs 필드 구조
/etc/uucp/Dialers 파일에서 하드웨어 흐름 제어를 사용으로 설정
/etc/uucp/Permissions 파일에서는 원격 컴퓨터의 로그인, 파일 액세스 및 명령 실행을 위한 사용 권한을 지정합니다. 일부 옵션은 원격 컴퓨터가 파일을 요청하고 로컬 컴퓨터에 대기된 파일을 받을 수 있는 기능을 제한합니다. 다른 옵션은 원격 컴퓨터가 로컬 컴퓨터에서 실행할 수 있는 명령을 지정하는 데 사용할 수 있습니다.
각 항목은 논리적 행이며, 연속을 나타내는 백슬래시(\)로 끝나는 물리적 행을 포함합니다. 항목은 공백으로 구분된 옵션으로 구성됩니다. 각 옵션은 다음과 같은 형식의 이름-값 쌍입니다.
name=value
Values는 콜론으로 구분된 목록일 수 있습니다. 옵션 지정 내에 공백은 사용할 수 없습니다.
주석 행은 파운드 기호(#)로 시작하며 개행 문자까지의 전체 행을 사용합니다. 여러 행 항목 내에 있는 것을 포함하여 빈 행은 무시됩니다.
Permissions 파일 항목의 유형은 다음과 같습니다.
LOGNAME – 원격 컴퓨터가 사용자 컴퓨터에 로그인(호출)할 때 적용되는 사용 권한을 지정합니다.
주 - 원격 컴퓨터가 호출할 때 고유한 로그인 및 검증 가능한 암호를 사용하지 않는 경우 신원이 의심스러울 수 있습니다.
LOGNAME 항목에는 LOGNAME 옵션이 있고, MACHINE 항목에는 MACHINE 옵션이 있습니다. 하나의 항목에 두 옵션을 모두 포함할 수 있습니다.
Permissions 파일을 사용하여 원격 컴퓨터에 부여되는 액세스 레벨을 제한하려면 다음을 고려해야 합니다.
원격 컴퓨터가 UUCP 통신을 위해 로그인하는 데 사용하는 로그인 ID는 하나의 LOGNAME 항목에만 표시되어야 합니다.
MACHINE 항목에 표시되지 않은 이름으로 호출되는 모든 사이트에는 다음과 같은 기본 사용 권한 또는 제한 사항이 적용됩니다.
원격 컴퓨터가 사용자 컴퓨터를 호출하여 파일 수신을 요청하면 이 요청을 허용하거나 거부할 수 있습니다. REQUEST 옵션은 원격 컴퓨터가 사용자 컴퓨터에서 파일 전송을 설정하도록 요청할 수 있는지 여부를 지정합니다. REQUEST=yes 문자열은 원격 컴퓨터가 사용자 컴퓨터에서 파일 전송을 요청할 수 있도록 지정합니다. REQUEST=no 문자열은 원격 컴퓨터가 사용자 컴퓨터에서 파일 전송을 요청할 수 없도록 지정합니다. REQUEST=no(기본값)는 REQUEST 옵션을 지정하지 않는 경우에 사용됩니다. REQUEST 옵션은 원격 컴퓨터가 사용자를 호출할 수 있도록 LOGNAME 항목에 표시되거나 사용자가 원격 컴퓨터를 호출할 수 있도록 MACHINE 항목에 표시될 수 있습니다.
원격 컴퓨터가 사용자 컴퓨터를 호출하고 작업을 완료하면 원격 컴퓨터는 사용자 컴퓨터의 대기열에 있는 작업을 검색하려고 할 수 있습니다. SENDFILES 옵션은 사용자 컴퓨터가 원격 컴퓨터의 대기열에 있는 작업을 보낼 수 있는지 여부를 지정합니다.
SENDFILES=yes 문자열은 사용자 컴퓨터가 LOGNAME 옵션의 이름 중 하나로 로그인한 경우 원격 컴퓨터의 대기열에 있는 작업을 보낼 수 있는지 여부를 지정합니다. /etc/uucp/Systems의 Time 필드에 Never를 입력한 경우 이 문자열은 필수입니다. 이렇게 지정하면 로컬 컴퓨터가 수동 모드로 설정되지만 이 특정 원격 컴퓨터에 대한 호출을 시작할 수 없습니다. 자세한 내용은 UUCP /etc/uucp/Systems 파일을 참조하십시오.
SENDFILES=call 문자열은 사용자 컴퓨터의 대기열에 있는 파일이 사용자 컴퓨터에서 원격 컴퓨터를 호출할 때만 전송되도록 지정합니다. call 값은 SENDFILES 옵션의 기본값입니다. MACHINE 항목은 호출이 원격 컴퓨터로 전송될 때 적용되므로 이 옵션은 LOGNAME 항목에서만 중요합니다. MACHINE 항목에 사용하는 경우 이 옵션은 무시됩니다.
이 옵션을 사용하여 컴퓨터의 고유한 UUCP 노드 이름과 hostname 명령으로 반환되는 TCP/IP 호스트 이름을 지정할 수 있습니다. 예를 들어 실수로 호스트 이름을 다른 시스템과 동일하게 지정한 경우 Permissions 파일의 MYNAME 옵션을 설정할 수 있습니다. 자신의 조직을 widget으로 알리려 한다고 가정합니다. 모든 모뎀이 호스트 이름이 gadget인 시스템에 연결된 경우 gadget의 Permissions 파일의 항목은 다음과 같을 수 있습니다.
service=uucico systems=Systems.cico:Systems dialers=Dialers.cico:Dialers \ devices=Devices.cico:Devices service=cu systems=Systems.cu:Systems \ dialers=Dialers.cu:Dialers \ devices=Devices.cu:Devices
이제 시스템 world가 widget에 로그인하는 것처럼 컴퓨터 gadget에 로그인할 수 있습니다. 사용자가 컴퓨터 world를 호출할 때 사용자도 가칭된 이름 widget으로 인식되도록 하려면 다음과 같은 항목이 있을 수 있습니다.
MACHINE=world MYNAME=widget
MYNAME 옵션은 컴퓨터가 자신을 호출하는 것도 허용하므로 테스트 용도로도 사용할 수 있습니다. 그러나 이 옵션은 컴퓨터의 실제 신원을 마스킹하는 데 사용될 수 있으므로 UUCP VALIDATE 옵션에 설명된 VALIDATE 옵션을 사용해야 합니다.
이러한 옵션은 uucico가 읽거나 쓸 수 있는 파일 시스템의 여러 부분을 지정합니다. READ 및 WRITE 옵션은 MACHINE 또는 LOGNAME 항목에 지정할 수 있습니다.
READ 및 WRITE 옵션의 기본값은 모두 다음 문자열에 표시된 uucppublic 디렉토리입니다.
READ=/var/spool/uucppublic WRITE=/var/spool/uucppublic
READ=/ 및 WRITE=/ 문자열은 기타 권한을 가진 로컬 사용자가 액세스할 수 있는 모든 파일에 액세스할 수 있는 권한을 지정합니다.
이러한 항목의 값은 콜론으로 구분한 경로 이름 목록입니다. READ 옵션은 파일을 요청하기 위한 것이고 WRITE 옵션은 파일을 배치하기 위한 것입니다. 값 중 하나는 입력하는 파일이나 기존 파일에 대한 전체 경로 이름의 접두어여야 합니다. 파일을 /usr/news 및 공용 디렉토리에 배치할 수 있는 권한을 부여하려면 WRITE 옵션에 다음 값을 사용합니다.
WRITE=/var/spool/uucppublic:/usr/news
READ 및 WRITE 옵션을 사용하는 경우 경로 이름은 기본 목록에 추가되지 않으므로 경로 이름을 모두 지정해야 합니다. 예를 들어 /usr/news 경로 이름만 WRITE 옵션에 지정한 경우 파일을 공용 디렉토리에 배치하는 권한은 거부됩니다.
원격 시스템이 액세스하여 읽고 쓸 수 있게 할 디렉토리를 주의해서 선택해야 합니다. 예를 들어 /etc 디렉토리에는 중요한 시스템 파일이 많이 포함되어 있습니다. 원격 사용자는 이 디렉토리에 파일을 배치할 수 있는 권한이 없어야 합니다.
NOREAD 및 NOWRITE 옵션은 READ 및 WRITE 옵션 또는 기본값에 대한 예외를 지정합니다. 다음 항목은 /etc 디렉토리와 그 하위 디렉토리에 있는 파일을 제외한 모든 파일의 읽기를 허용합니다. 이러한 옵션은 접두어입니다.
READ=/ NOREAD=/etc WRITE=/var/spool/uucppublic
이 항목은 기본 /var/spool/uucppublic 디렉토리에만 쓰기를 허용합니다. NOWRITE 옵션은 NOREAD 옵션과 작동 방식이 동일합니다. NOREAD 및 NOWRITE 옵션은 LOGNAME 및 MACHINE 항목 모두에 지정할 수 있습니다.
LOGNAME 항목에서 콜백 옵션을 사용하여 호출 시스템이 콜백할 때까지 트랜잭션이 발생하지 않도록 지정할 수 있습니다. CALLBACK을 설정하는 이유는 다음과 같습니다.
보안 목적 - 컴퓨터에 콜백하는 경우 올바른 컴퓨터인지 확인할 수 있습니다.
CALLBACK=yes 문자열은 사용자 컴퓨터가 원격 컴퓨터에 콜백한 이후에만 파일 전송이 이루어질 수 있도록 지정합니다.
CALLBACK 옵션의 기본값은 CALLBACK=no입니다. CALLBACK을 yes로 설정하는 경우 나머지 대화에 영향을 주는 권한을 호출자에 해당하는 MACHINE 항목에 지정해야 합니다. LOGNAME 또는 원격 컴퓨터가 사용자 호스트에 대해 설정했을 수 있는 LOGNAME 항목에는 이러한 권한을 지정하지 마십시오.
MACHINE 항목에서 COMMANDS 옵션을 사용하면 원격 컴퓨터가 사용자 컴퓨터에서 실행할 수 있는 명령을 지정할 수 있습니다. uux 프로그램은 원격 실행 요청을 생성하고 원격 컴퓨터에 전송할 요청을 대기열에 대기시킵니다. 파일 및 명령은 대상 컴퓨터로 전송되어 원격 실행됩니다. 이는 시스템이 콜아웃할 때만 MACHINE 항목이 적용된다는 규칙에 대한 예외입니다.
COMMANDS는 LOGNAME 항목에서 사용되지 않습니다. MACHINE 항목의 COMMANDS는 사용자가 원격 시스템을 호출하거나 원격 시스템이 사용자를 호출하는 두 경우 모두에 명령 권한을 정의합니다.
COMMANDS=rmail 문자열은 원격 컴퓨터가 사용자 컴퓨터에서 실행할 수 있는 기본 명령을 지정합니다. MACHINE 항목에서 명령 문자열을 사용하는 경우 기본 명령이 대체됩니다. 예를 들어 다음 항목은 COMMAND 기본값을 대체하여 owl, raven, hawk 및 dove라는 컴퓨터가 사용자 컴퓨터에서 rmail, rnews 및 lp를 실행할 수 있게 합니다.
MACHINE=owl:raven:hawk:dove COMMANDS=rmail:rnews:lp
방금 지정한 이름뿐 아니라 명령의 전체 경로 이름도 포함할 수 있습니다. 예를 들어 다음 항목은 rmail 명령에서 기본 검색 경로를 사용하도록 지정합니다.
COMMANDS=rmail:/usr/local/rnews:/usr/local/lp
UUCP의 기본 검색 경로는 /bin 및 /usr/bin입니다. 원격 컴퓨터에서 rnews 또는 /usr/local/rnews를 실행할 명령으로 지정하는 경우 /usr/local/rnews는 기본 경로와 상관없이 실행됩니다. 마찬가지로 /usr/local/lp는 실행되는 lp 명령입니다.
목록에 ALL 값을 포함하면 항목에 지정된 원격 컴퓨터의 모든 명령이 실행됩니다. 이 값을 사용하는 경우 원격 컴퓨터에게 사용자 컴퓨터에 대한 모든 권한을 부여합니다.
주의 - 이 값을 사용하면 일반 사용자보다 더 많은 액세스 권한이 허용됩니다. 이 값은 두 컴퓨터가 동일한 사이트에 있고 밀접하게 연결되어 있으며 사용자를 신뢰할 수 있는 경우에만 사용해야 합니다. |
다음은 ALL 값이 추가된 문자열입니다.
COMMANDS=/usr/local/rnews:ALL:/usr/local/lp
이 문자열에서는 다음 두 가지를 보여줍니다.
요청된 명령에 rnews 또는 lp의 전체 경로 이름이 포함되지 않은 경우 rnews 및 lp에 대해 지정한 경로 이름이 기본값 대신 사용됩니다.
COMMANDS 옵션에 cat 및 uucp와 같은 위험할 수 있는 명령을 사용하는 경우에는 항상 VALIDATE 옵션을 함께 사용해야 합니다. 파일을 읽거나 쓰는 모든 명령은 UUCP 원격 실행 데몬(uuxqt)에서 실행할 경우 로컬 보안에 잠재적으로 위험할 수 있습니다.
컴퓨터 보안에 잠재적으로 위험할 수 있는 명령을 지정할 때는 항상 VALIDATE 옵션을 COMMANDS 옵션과 함께 사용합니다. VALIDATE는 COMMANDS 옵션의 맨 위에서 보안 레벨을 추가할 뿐이지만 ALL보다 안전한 명령 액세스를 여는 방법입니다.
VALIDATE를 사용하면 호출 컴퓨터의 호스트 이름과 사용하는 로그인 이름을 교차 확인하여 호출자의 신원을 일정 수준으로 검증할 수 있습니다. 다음 문자열은 widget 또는 gadget 외의 컴퓨터가 Uwidget으로 로그인하려고 하면 연결을 거부하도록 합니다.
LOGNAME=Uwidget VALIDATE=widget:gadget
VALIDATE 옵션을 사용하면 권한 있는 컴퓨터가 UUCP 트랜잭션을 위해 고유한 로그인 및 암호를 사용해야 합니다. 이 검증의 중요한 측면은 이 항목과 연관된 로그인 및 암호가 보호된다는 것입니다. 외부인이 이 정보를 얻게 되면 이 특정 VALIDATE 옵션은 더 이상 안전하다고 볼 수 없습니다.
UUCP 트랜잭션에 대한 권한이 있는 로그인 및 암호를 부여할 원격 컴퓨터를 신중히 선택하십시오. 원격 컴퓨터에 파일 액세스 및 원격 실행 기능이 있는 특별 로그인 및 암호를 제공하는 것은 해당 컴퓨터의 모든 사람에게 사용자 컴퓨터의 일반 로그인 및 암호를 제공하는 것과 같습니다. 따라서 원격 컴퓨터에 신뢰할 수 없는 사람이 있으면 해당 컴퓨터에 권한이 있는 로그인과 암호를 제공하지 마십시오.
다음 LOGNAME 항목은 eagle, owl 또는 hawk라고 주장하는 원격 컴퓨터 중 하나가 컴퓨터에 로그인하려고 하는 경우 uucpfriend 로그인을 사용했어야 한다고 지정합니다.
LOGNAME=uucpfriend VALIDATE=eagle:owl:hawk
외부인이 uucpfriend 로그인과 암호를 얻는 경우 쉽게 가장할 수 있습니다.
하지만 이 항목은 MACHINE 항목에만 표시되는 COMMANDS 옵션과 어떤 관련이 있습니까? 이 항목은 MACHINE 항목 및 COMMANDS 옵션을 권한 있는 로그인과 연관된 LOGNAME 항목에 연결합니다. 원격 컴퓨터가 로그인한 동안에는 실행 데몬이 실행되지 않기 때문에 이 연결이 필요합니다. 실제로 이 링크는 실행 요청을 보낸 컴퓨터를 알지 못하는 비동기 프로세스입니다. 따라서 사용자 컴퓨터에서 실행 파일의 출처를 어떻게 아는지가 실질적인 질문이 됩니다.
각 원격 컴퓨터는 사용자의 로컬 컴퓨터에 자체의 스풀 디렉토리가 있습니다. 이러한 스풀 디렉토리에는 UUCP 프로그램에만 부여된 쓰기 권한이 있습니다. 원격 컴퓨터의 실행 파일은 사용자 컴퓨터로 전송된 후 스플 디렉토리에 저장됩니다. uuxqt 데몬이 실행되면 스풀 디렉토리 이름을 사용하여 Permissions 파일에서 MACHINE 항목을 찾고 COMMANDS 목록을 가져올 수 있습니다. 또는 컴퓨터 이름이 Permissions 파일에 표시되어 있지 않으면 기본 목록이 사용됩니다.
이 예에서는 MACHINE 및 LOGNAME 항목 간의 관계를 보여줍니다.
MACHINE=eagle:owl:hawk REQUEST=yes \ COMMANDS=rmail:/usr/local/rnews \ READ=/ WRITE=/ LOGNAME=uucpz VALIDATE=eagle:owl:hawk \ REQUEST=yes SENDFILES=yes \ READ=/ WRITE=/
COMMANDS 옵션의 값은 원격 사용자가 rmail 및 /usr/local/rnews를 실행할 수 있다는 것을 나타냅니다.
첫번째 항목에서는 나열된 컴퓨터 중 하나를 호출하려면 eagle, owl 또는 hawk를 호출한다고 가정해야 합니다. 따라서 eagle, owl 또는 hawk 스풀 디렉토리 중 하나로 저장되는 모든 파일은 이러한 컴퓨터 중 하나에 의해 거기에 저장됩니다. 원격 컴퓨터가 로그인하여 이러한 세 컴퓨터 중 하나라고 주장하는 경우 해당 실행 파일도 권한이 있는 스풀 디렉토리에 저장됩니다. 따라서 컴퓨터에 권한이 있는 로그인 uucpz가 있는지 확인해야 합니다.
특정 MACHINE 항목에서 언급하지 않은 원격 컴퓨터에 대해 다른 옵션 값을 지정할 수도 있습니다. 여러 컴퓨터가 사용자 호스트를 호출하고 명령 세트가 가끔 변경되는 경우에 이렇게 할 필요가 생길 수 있습니다. 다음 예에 나온 것처럼 이 항목에서는 컴퓨터 이름에 OTHER 이름을 사용합니다.
MACHINE=OTHER \ COMMANDS=rmail:rnews:/usr/local/Photo:/usr/local/xp
MACHINE 항목에 사용할 수 있는 다른 모든 옵션도 다른 MACHINE 항목에서 언급하지 않은 컴퓨터에 대해 설정할 수 있습니다.
공통 옵션이 동일한 경우 MACHINE 및 LOGNAME 항목을 결합할 수 있습니다. 예를 들어 다음에 나오는 두 항목 세트는 동일한 REQUEST, READ 및 WRITE 옵션을 공유합니다.
MACHINE=eagle:owl:hawk REQUEST=yes \ READ=/ WRITE=/
및
LOGNAME=uupz REQUEST=yes SENDFILES=yes \ READ=/ WRITE=/
표시된 대로 이들 항목을 병합할 수 있습니다.
MACHINE=eagle:owl:hawk REQUEST=yes \ logname=uucpz SENDFILES-yes \ READ=/ WRITE=/
MACHINE 및 LOGNAME 항목을 결합하면 Permissions 파일을 보다 효율적으로 관리할 수 있습니다.
일련의 컴퓨터를 통해 파일을 보낼 경우 중개 컴퓨터의 COMMANDS 옵션에 uucp 명령이 포함되어 있어야 합니다. 다음 명령을 입력하는 경우 willow 컴퓨터에서 oak 컴퓨터가 uucp 프로그램을 실행할 수 있도록 허용하는 경우에만 전달 작업이 작동합니다.
% uucp sample.txt oak\!willow\!pine\!/usr/spool/uucppublic
또한 oak 컴퓨터에서도 사용자 컴퓨터가 uucp 프로그램을 실행할 수 있도록 허용해야 합니다. 마지막 컴퓨터로 지정된 pine 컴퓨터는 전달 작업을 수행하지 않으므로 uucp 명령을 허용하지 않아도 됩니다. 일반적으로는 컴퓨터를 이와 같이 설정하지 않습니다.