사랑하기 위해 필요한 것들

특정 IP만 SSH 접속 허용하기특정 IP만 SSH 접속할 수 있도록 제한하기

목차

• 1 방법: hosts.allow, hosts.deny 설정
• 2 테스트
• 3 같이 보기
• 4 참고

1 방법: hosts.allow, hosts.deny 설정[편집]

 리눅스 로그인 성공한 아이피 목록 보기 문서를 참고하십시오.

[root@zetawiki ~]# cat /var/log/secure* | grep Accepted | awk '{print $9"\t"$11"\t"$14}' | sort | uniq root 113.157.124.168 ssh2 root 135.79.246.217 ssh2 root 135.79.246.54 ssh2 root 135.79.246.80 ssh2

→ 113.157.124.168와 135.79.246.XXX 대역에서 로그인 성공한 기록이 있다...

• /etc/hosts.allow 수정

# # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # sshd: 113.157.124.168, 135.79.246.

→ 113.157.124.168와 135.79.246.XXX 대역을 허용

위와 같이 한줄에 적어도 되지만, 아이피가 많아지면 관리가 어렵다. 아래와 같이 여러줄로 나누어 적어도 된다.

sshd: 113.157.124.168 sshd: 135.79.246.

• /etc/hosts.deny 수정

# # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! sshd: ALL

→ 나머지는 모두 ssh 접근 불가

• sshd 재시작[1]

sshd를 재시작해야 적용된다.

[root@zetawiki ~]# service sshd restart Stopping sshd: [ OK ] Starting sshd: [ OK ]

2 테스트[편집]

허용되지 않은 IP에서 접속시도시 아래와 같이 접속 실패

[root@zetawiki ~]# ssh root@example.com ssh_exchange_identification: Connection closed by remote host

3 같이 보기[편집]

• SSH 포트 변경
• ssh_exchange_identification‎
• /etc/hosts.allow
• /etc/hosts.deny
• iptables

4 참고[편집]

• http://www.phpschool.com/link/qna_other/124298
• http://hostsmb.com/gnu/bbs/board.php?bo_table=cmp_faq&wr_id=17

파일 내 내용 검색시

grep -i '찾고자하는내용' file명

ex) grep -i 'fileupload.jsp' localhost_access_log.20190425

오라클에서 COMMENT 다는 방법

- TABLE COMMENT 추가
   comment ON TABLE 테이블명 IS '설명'


- 컬럼 COMMENT 추가
   comment ON COLUMN 테이블명.필드명 IS '설명'


- TABLE COMMENT 삭제 
   comment ON TABLE 테이블명 IS ''

- TABLE COMMENT 확인
   SELECT * FROM ALL_COL_COMMENTS WHERE TABLE_NAME = '테이블명';

출처: https://uniksy1106.tistory.com/167 [* 루이지노의 행복한 이야기 : )]

요즘에 보안에 대해서 민감하기 때문에 최대한 보안에 문제되는 점은 사전에 점검한다.
HTTP method 중에 GET, POST, PUT, DELETE, TRACE, OPTIONS등
불필요한건 제거하는 게 좋다.
apache / apache-tomcat의 설정이 조금 다르다.
apache-tomcat의 경우 해당 프로젝트의 web.xml에 다음과 같이 설정해 주면 된다.

tomcat의 ajp기능 비활성 시키기

해당 웹프로젝트의 web.xml에 아래 내용 추가

 <security-role>
  <description>Nobody should be in this role so JSP files are protected from direct access.</description>
  <role-name>nobody</role-name>
 </security-role>
 <security-constraint>
  <web-resource-collection>
   <web-resource-name>Forbidden</web-resource-name>
   <url-pattern>/*</url-pattern>
   <http-method>PUT</http-method>
   <http-method>DELETE</http-method>
   <http-method>TRACE</http-method>
   <http-method>PATH</http-method>
   <http-method>OPTIONS</http-method>

   <http-method>PROPFIND</http-method>

   <http-method>PROPPATCH</http-method>

   <http-method>COPY</http-method>

   <http-method>MOVE</http-method>

   <http-method>LOCK</http-method>

   <http-method>UNLOCK</http-method>

   <http-method>HEAD</http-method>
   <http-method>GET</http-method>
  </web-resource-collection>
  <auth-constraint>
   <role-name>nobody</role-name>
  </auth-constraint>
 </security-constraint>

-- 데이터 테이블스페이스 생성

CREATE TABLESPACE DEV_DATA

DATAFILE 'C:\database\oracle\oradata\orcl\DEV_DATA.ORA' SIZE 1G

AUTOEXTEND ON NEXT 10M MAXSIZE 10G

EXTENT MANAGEMENT LOCAL SEGMENT SPACE MANAGEMENT AUTO;

-- 인덱스 테이블스페이스 생성

CREATE TABLESPACE DEV_IDX

DATAFILE 'C:\database\oracle\oradata\orcl\DEV_IDX.ORA' SIZE 100M

AUTOEXTEND ON NEXT 10M MAXSIZE 500M

EXTENT MANAGEMENT LOCAL SEGMENT SPACE MANAGEMENT AUTO;

-- 임시 테이블스페이스 생성

CREATE TEMPORARY TABLESPACE DEV_TMP

TEMPFILE 'C:\database\oracle\oradata\orcl\DEV_TMP.ORA' SIZE 100M

AUTOEXTEND ON NEXT 5M MAXSIZE 500M

EXTENT MANAGEMENT LOCAL UNIFORM SIZE 1024K;

-- 사용자 생성 후 tablespace 지정

create user dev identified by dev

default tablespace dev_data

temporary tablespace dev_tmp;

-- 사용자 권한설정

grant connect, resource, dba to dev;