[보안][네트워크] redhat 6.x 에서 rlogin,rsh 사용법 (아랑)

rsh,rlogin 사용방법입니다. 참고하세요..

redhat 6.x 에서 초기 설정 방법

1. /etc/inetd.conf 파일 설정

/etc/inetd.conf 파일을 여시고 shell,login 에 관련된 항목의 # 표시를 제거해 주세요.

————————————————————————-

——-

shell   stream  tcp     nowait  root    /usr/sbin/tcpd  in.rshd

login   stream  tcp     nowait  root    /usr/sbin/tcpd  in.rlogind

#exec   stream  tcp     nowait  root    /usr/sbin/tcpd  in.rexecd

#comsat dgram   udp     wait    root    /usr/sbin/tcpd  in.comsat

#talk   dgram   udp     wait    nobody.tty      /usr/sbin/tcpd  in.talkd

#ntalk  dgram   udp     wait    nobody.tty      /usr/sbin/tcpd  in.ntalkd

redhat 7.x 에서 초기 설정 방법

/etc/xinetd.d 디렉토리 안에 shell,login 항목이 있는지 확인한다. 기본적으로

초기에 보안처리를 안해놓았으면..있기 마련이다. 이 항목의 설정값을 수정한다.

# vi login

————————————————————————-

—

service login

{

        socket_type             = stream

        protocol                = tcp

        wait                    = no

        user                    = root

        server                  = in.rlogind

        disable                 = yes     -> 이항목을 yes 에서 no

}

————————————————————————-

—

# vi shell

————————————————————————-

—

service shell

{

        socket_type             = stream

        protocol                = tcp

        wait                    = no

        user                    = root

        server                  = in.rshd

        disable                 = yes     -> 이항목을 yes 에서 no

}

만일 누군가 제대로된 관리자가 있어 이미 보안 처리가 되었다면….

먼저 /etc/inetd.conf 파일을 만든다. 여기 내용에

shell   stream  tcp     nowait  root    /usr/sbin/tcpd  in.rshd

login   stream  tcp     nowait  root    /usr/sbin/tcpd  in.rlogind

두항목을 넣는다. 그런뒤…다음 명령어를 입력한다.

# inetdconvert -d /etc/xinetd.d shell

# inetdconvert -d /etc/xinetd.d login

2. /etc/hosts 파일 설정

/etc/hosts 파일을 여시고 안에..각 노드등의 host 정보를 아래와 같이 적어주세요.

# vi /etc/hosts

————————————————————————-

——-

192.168.0.1                node1.clunix.com        node1

192.168.0.2                node2.clunix.com        node2

192.168.0.3                node3.clunix.com        node3

192.168.0.4                node4.clunix.com        node4

192.168.0.5                node5.clunix.com        node5

192.168.0.6                node6.clunix.com        node6

192.168.0.7                node7.clunix.com        node7

192.168.0.8                node8.clunix.com        node8

————————————————————————-

——-

3. 각 Client 설정방법

$HOMEDIR/.rhosts, /etc/hosts.equiv

사용자들이 하고싶어 하는 것중의 하나는 패스워드없이 노드간에 접속을 하고 원격명령

을

내리는 것이다.

대부분의 Beowulf 소프트웨어와 유틸리티들은 여러분이 rsh로 작동하게 만들어 패스워

드

없이 작업하게 만든다.

클러스터내의 패스워드를 없애는 두가지 방법이 있는데 하나는 /etc/hosts.equiv에 입

력하는

것이고, 다른 하나는 사용자 각자의 디렉토리에 .rhosts를 첨가하는 것이다.

/etc/hosts.equiv가 모든 노드에 .rhosts에 있는 내용을 모아서 하나의 파일로 적용될

수

있기에 많이 선호된다.

다음의 형태는 .rhosts에 있는 호스트의 목록이다:

————————————————————————-

——-

# must be read/writable by user only!

node1

node2

node3

node4

node5

node6

————————————————————————-

——-

/etc/hosts.equiv의 형태는:

————————————————————————-

——-

#node name      optional user name

node1                root        

node2                root

node3                root

node4                root

node5                root

node6                root

————————————————————————-

——-

root rlogin 접근:

root가 클러스터내의 어떠한 노드에도 rlogin하기 위해서는 각노드의 /root 디렉토리에

.rhosts를 첨가해야합니다. .rhosts파일은 클러스터내의 모든 노드들을 명기하고 있어야

합니다.

중요한점: .rhosts는 반드시 사용자만이 읽고 쓸 수 있어야합니다. ( chmod go-

rwx .rhosts)

이는 게이트웨이 노드(외부와 연결된 노드)에서는 해서는 안됩니다.

추가로 /etc/pam.d/rlogin:의 처음 두줄을 바꿔줍니다.

————————————————————————-

——-

#orginal /etc/pam.d/rlogin

auth     required       /lib/security/pam_securetty.so

auth     sufficient     /lib/security/pam_rhosts_auth.so

auth     required       /lib/security/pam_pwdb.so shadow nullock

auth     required       /lib/security/pam_nologin.so

account  required       /lib/security/pam_pwdb.so

password required       /lib/security/pam_cracklib.so

password required       /lib/security/pam_pwdb.so shadow nullock

                                                   use_authtok

session  required       /lib/security/pam_pwdb.so

#first two lines are swapped /etc/pam.d/rlogin

auth     sufficient     /lib/security/pam_rhosts_auth.so

auth     required       /lib/security/pam_securetty.so

auth     required       /lib/security/pam_pwdb.so shadow nullock

auth     required       /lib/security/pam_nologin.so

account  required       /lib/security/pam_pwdb.so

password required       /lib/security/pam_cracklib.so

password required       /lib/security/pam_pwdb.so shadow nullock

                                                   use_authtok

session  required       /lib/security/pam_pwdb.so

————————————————————————-

——-

NOTE: 더 나은 방법이 있는지는 모르겠지만 작동은 한다.

root telnet 접근

게이트웨이 노드를 제외한 모든 노드에 /etc/securetty 파일에 다음과 같은 내용을 첨가

한다:

————————————————————————-

——-

ttyp0

ttyp1

ttyp2

ttyp3

ttyp4

————————————————————————-

——-

이러한 변화는 remote telnet을 이용 클러스터내의 어떠한 노드로 연결 이 가능케하는 것

이다.

root ftp 접근

root의 ftp 접근이 필요한 시스템의 경우, /etc/ftpusers 파일에 다음과 같이 root 부분에

주석을 단다.

————————————————————————-

——-

#Comment out root to allow other systems ftp access as root

#root

bin

daemon

adm

lp

sync

shutdown

halt

mail

news

uucp

operator

games

nobody