이 문서는 tcp_wrapper 7.6을 기준으로 한 것이다. 이 소프트웨어의 새로운 버전이 나오면, USENET의 comp.security.unix, comp.unix. admin과 cert-tools 메일링리스트 등에 포스트된다. 관련 메일링리스트는 majordomo@wzv.win.tue.nl에 ‘subscr ibe tcp-wrappers-announce’라는 내용을(제목이 아닌) 담은 mail을 보내면 된다.
1.1 소개
이 패키지(tcp_wrapper)는 localhost로 들어오는 SYSTAT, FINGER, FTP, TELNET, RLOGIN, RSH, EXEC, TFTP, TALK 등의 여러 인터넷 서비스에 대한 요청(request)을 관찰하고 필터링 할 수 있다. 이 패키지는 4.3BSD-style의 socket과 System V4-style의 TLI를 모두 지원한다. 어 떤 것인지 몰라도 상관없다.
이 패키지는 어떤 설정도 바꿀 필요없이(inetd.conf제외) 여러 인터 넷 서비스를 제공하는 프로그램들에 대해서 daemon wrapper를 돌릴 수 있다. 추가적인 특징은 다음과 같다. 어떤 시스템이 어떤 네트웍 데몬에 연결할 수 있는 가를 제한할 수 있다. RFC 931을 가지고 요청한 username도 알 수 있다. 타인의 것으로 보이는 host로부터의 추가적인 보호가 가능하다. 다만 이 패키지를 사용하기 위해서는 inetd.conf를 수정할 수 있기 위한 root권한이 필요하다.그리고 당연한 말이지만 네트웍 interface도 있어야 한다. 그리고 이미 다 설치되어있을 syslogd이 필요하다. 대개의 시스템은 이 것들이 이미 다 준비되어 있을 테니, 바로 다음 장의 2. 설치의 실제로 넘어가도 좋다.
1.2 wrapper의 작동원리
client program(telnet)-----server(in.telnetd)-----application(remote login)
client program(ftp)-----server(in.ftpd)-----application(file transfer)
위와 같이 telnetd나 ftpd와 같은 프로그램이 telnet또는 ftp와 같은 프로토콜(pro tocol)의 요청을 받아들여 실제 작업을 수행하는 것이 인터넷 서비스의 원리이다. tcp wrapper는 client와 server사이에 위치하며 어떤 프로토콜에 대해서 어떤 호스트의 어떤 사용자가 요청을 하였는가를 체크하여 허용되는 경우에는 실제 server를 불러주고 , 그렇지 못한 경우에는 이런 정보들을 log로 남긴다. 이런 이유로 해서 tcpd(실제 wrapper)의 사용에는 overhead가 걸리지 않는다.
client(ftp)-----tcp wrapper(tcpd)-----server(in.ftpd)
