RSS구독하기:SUBSCRIBE TO RSS FEED
즐겨찾기추가:ADD FAVORITE
글쓰기:POST
관리자:ADMINISTRATOR
Web_developing/Apache  2006/09/11 10:34
Apache-ProFTPd] Order, Allow, Deny 비교
출처 블로그 > Human Packet
원본 http://blog.naver.com/jabusunin/30000023873

[Apache-ProFTPd] Order, Allow, Deny 비교

- 작성자 : 김칠봉 <san2(at)linuxchannel.net>
- 작성일 : 2003-11-22
- 내  용 : 아파치와 ProFTPd 의 Order, Allow, Deny 비교
- 수  준 : 초보용
- 키워드 : Apache, ProFTPd, Order Allow, Deny

*주)
이 문서에 대한 최신 내용은 아래 URL에서 확인할 수 있습니다.

http://www.linuxchannel.net/docs/order-apache-vs-proftpd.txt


------------------------------------------------------
1. Apache Order allow,deny
2. ProFTPd Order allow,deny
3. 비교
4. 정리
------------------------------------------------------

1. Apache Order allow,deny

Order directive

- Syntax  : Order ordering
- Default : Order Deny,Allow  <---- Deny 에 없는 것은 모두 Allow 됨
- Context : directory, .htaccess
- Override: Limit
- Status  : Base
- Module  : mod_access

Allow directive

- Syntax  : Allow from all|host|env=variablename [host|env=variablename] ...
- Context : directory, .htaccess
- Override: Limit
- Status  : Base
- Module  : mod_access
- List    : 구분 공백(' ')
  A (partial) domain-name
Example: Allow from apache.org
  A full IP address
Example: Allow from 10.1.2.3
  A partial IP address
Example: Allow from 10.1
  A network/netmask pair
Example: Allow from 10.1.0.0/255.255.0.0
  A network/nnn CIDR specification
Example: Allow from 10.1.0.0/16

  Allow from 10.1.2.3 env=foo   <-- 틀린 경우(X)
  Allow from env=foo 10.1.2.3   <-- 맞는 경우(O), env 가 앞에 옴

기본정책이 Deny 에 없는 것은 모두 Allow 되고, Deny,Allow 사이는 빈공백없이
콤마(,)로 분리.

- Order Deny,Allow

  Allow 를 평가하기 전에 먼저 Deny 를 평가하고, 그 다음 Allow 에
  override 함. 그리고 여기에 매치되지 않는 나머지 호스트 모두
  Allow 됨. 따라서 이 Order 의 기본정책은 첫번째 Deny 지시자에서 결정함

  즉 순서는,

  1. Deny 매치 우선 결정(기본 정책 결정)
  2. 그 다음 Allow 매치를 override 함
  3. 나머지 포함되지 않은 호스트는 모두 Allow 됨

- Order Allow,Deny

  Deny 를 평가하기 전에 먼저 Allow 를 평가하고, 그 다음 Deny 에
  override 함. 그리고 여기에 매치되지 않은 나머지 호스트는 모두
  Deny 됨. 이 Order 의 기본정책은 첫번째 Allow 지사자에서 결정함.

(*** 이점이 ProFTPd 와 서로 다름 ***)


ex1) 기본정책은 Allow 이고, 예외로 bad.com hacker.com 은 금지

  Order Allow,Deny              <-- Order Mutual-failure 와 같음
  Allow from all
  Deny from bad.com hacker.com  <-- 리스트 나열은 빈공백으로 구분

ex2) 기본정책은 Deny 이고, 예외로 myhost.com 만 접근을 허용함

  Order Deny,Allow
  Deny from all
  Allow from myhost.com

ex3) 중요

  Order Allow,Deny
  Allow from apache.org
  Deny from foo.apache.org

이것은 foo.apache.org 를 제외한 *.apache.org 만 허용하고
나머지 모든 호스트는 접근을 금지함(foo.apache.org 는 당연히 금지)

이유는 Order 순서에 의해서 Deny 를 평가하기 전에 Allow 를 평가하고,
그 다음에 Deny 매치에 override 하기 때문이며, 나머지 매치되지 않는 모든
호스트는 Deny 됨.

ex4) 주의

  Order Deny,Allow
  Deny from all           <--- 기본정책이 모두 Deny 임
  Allow from aaa.foo.com
  Allow from bbb.foo.com ccc.foo.com
  Allow from ddd.com.com
  Deny from ccc.foo.com   <--- *** 이 호스트는 Allow 됨 ****

Allow 를 평가하기 전에 Deny 를 먼저 평가하기 때문에 평가 순서는
다음과 같음.

  Order Deny,Allow
  Deny from all           <--- 기본정책이 모두 Deny 임
  Deny from ccc.foo.com
  Allow from aaa.foo.com
  Allow from bbb.foo.com ccc.foo.com  <--- Allow 됨
  Allow from ddd.com.com


2. ProFTPd Order allow,deny

Order directive

- Syntax: Order [ Order allow,deny|deny,allow]
- Default : Order allow,deny
- Context : <Limit>
- Module  : mod_core
- Compatibility : 0.99.0pl6 and later

Allow directive

- Syntax  : Allow [ ["from"] "all"|"none"|host|network[,host|network[,...]]]
- Default : Allow from all
- Context : <Limit>
- Module  : mod_core
- Compatibility : 0.99.0pl6 and later
- List    : 구분 컴마(,)
  A (partial) domain-name
Example: Allow from .proftpd.org   <--- 아파치와 다르게 앞에 점 추가
  A full IP address
Example: Allow from 10.1.2.3       <--- 아파치와 같음
  A partial IP address
Example: Allow from 10.1.          <--- 아파치와 다르게 뒤에 점 추가         
  A network/netmask pair                   <--- 없음
  A network/nnn CIDR specification
Example: Allow from 10.1.0.0/16    <--- 아파치와 같음


ProFTPd 의 Order, Allow, Deny 지시자는 Apache와 비슷한 구문을 갖지만
그 결과는 아주 상이함.

- Order deny,allow   <-- 우선권 deny 둠

  allow 를 평가하기 전에 deny 를 먼저 평가하고 결정해 버림(overrid 하지 않음)
  그리고 allow 를 평가하고(같은 것이 있으면 deny 가 우선), 나머지
  매치되지 않은 모든 호스트는 deny 됨(아파치와 서로 반대임)

- Order allow,deny   <-- 우선권을 allow 둠

  deny 를 평가하기 전에 allow 를 먼저 평가하고 결정해 버림(overrid 하지 않음)
  그리고 deny 를 평가하고(같은 것이 있으면 allow 가 우선), 나머지
  매치되지 않은 모든 호스트는 allow 됨(아파치와 서로 반대임)

즉 같은 호스트가 allow 와 deny 에 둘다 있을 경우 그 우선권은
Order 지시자에서 설정한 앞부분의 keyword 에 따름.

  Order deny,allow
  Deny from 192.168.0.1
  Allow from 192.168.0.

  deny 가 우선이므로 192.168.0.1 은 deny 됨.(Override 되지 않음)
  또한 다음과 같이 Order 순서를 그대로 두고, 위치만 바꾸어도 동일함.

  Order deny,allow
  Allow from 192.168.0.
  Deny from 192.168.0.1

*중요)
ProFTPd 는 Apache 와 같이 Order 의 순서대로 Override 되지 않고,
Order 순서에 의해서 먼저 접근을 결정해 버림.

ex1) 특정 호스트만 허용함

  <Limit LOGIN>
   Order allow,deny
   Allow from 192.168.0.100,192.168.1.
   Deny from all       <--- all 은 매치되지 않은 나머지를 의미함.
  </Limit>

  192.168.0.100 192.168.1.0/24 만 허용하고 나머지는 모두 접속을 금지함.
  즉 특정 호스트만 허용(Allow) 하기 때문에 Order allow,deny 순으로
  설정하여 우선권을 allow 가 갖도록함.

ex2) 특정 호스트만 금지함

  <Limit LOGIN>
   Order deny,allow
   Deny from 192.168.0.100,192.168.1.
   Allow from all       <--- all 은 매치되지 않은 너머지를 의미함.
  </Limit>

  ex1) 과 서로 반대임

ex3) 부분과 전체

  <Limit LOGIN>
   Order allow,deny
   Allow from 128.44.26.,128.44.26.
   Allow from myhost.mydomain.edu,.trusted-domain.org
   Deny from all
  </Limit>

  ProFTPd 는 Override 되지 않기 때문에 제일 마지막에 Deny from all 설정이
  온다고 하더라고 먼저 설정한 호스트(ex 128.44.26.1)는 Allow 되고,
  상위 설정에서 포함되지 않은 나머지 호스트는 제일 마지막에 모두 Deny 됨

ex3) 우선권

  <Limit LOGIN>
   Order deny,allow
   Allow from 192.168.0.
   Deny from 192.168.0.152
   Deny from all            <--- all 은 매치되지 않은 너머지를 의미함.
  </Limit>

  192.168.0.152 호스트는 앞부분 'Allow from 192.168.0.*'에 포함되지만
  Order 순서가 deny 가 우선이므로 결국 이 호스트는 deny 됨.
  즉 같은 호스트가 allow 와 deny 에 둘다 있을 경우 그 우선권은
  Order 지시자에서 설정한 앞부분의 keyword 에 따름.

  <Limit LOGIN>
   Order deny,allow
   Deny from 192.168.0.152
   Allow from 192.168.0.    <--- override 되지 않음
   Deny from all            <--- all 은 매치되지 않은 너머지를 의미함.
  </Limit>

  위의 설정도 같은 동일한 설정임.


3. 비교

1) 설정방향

- Apache  : Order 순서에 의해서 순차적으로 override 됨.
            매치되지 않은 나머지 호스트는 Order 의 뒤쪽 keyword 에 따름
- ProFTPd : Order 순서에 의해서 순차적으로 먼저 결정함.
            매치되지 않은 나머지 호스트는 Order 의 앞쪽 keyword 에 따름

2) override 비교

- Apache  : override 됨(뒤에 온 놈이 장땡)
- ProFTPd : override 되지 않음(먼저 온 놈(?)이 장땡)

3) 기본 접근정책 비교

- Apache  : 전체 --> 부분으로 override
- ProFTPd : 부분 먼저 설정 --> 나머지 결정

4) 리스트 나열 비교

- Apache  : 빈공백(' ')으로 구분, 여러줄 일 경우 `\'와 중복 지시자 모두 가능
Allow from 1.2.3.4 1.2.3.5 \
1.2.3.6 1.2.3.7
Allow from 10.10.10.1

- ProFTPd : 컴마(,)로 구분하고 여러줄일 경우는 중복 지시자만 가능
Allow from 1.2.3.4,1.2.3.5,1.2.3.6,1.2.3.7
Allow from 10.10.10.1

5) Partial IP 주소 비교

- Apache  : 192.168.0 192.168.1    <-- 뒤에 점이 없음
- ProFTPd : 192.168.0.,192.168.1.  <-- 뒤에 점이 있음

6) Partial domain-name 비교

- Apache  : foo.com bar.com        <-- 앞에 점이 없음
- ProFTPd : .foo.com,.bar.com      <-- 앞에 점이 있음


4. 정리

1) 설정 방향

  - Apache
   Order 순서에 의해서 전체를 먼저 설정하고 나머지 부분을 Override 함

  - ProFTPd
   Order 순서에 의해서 부분을 먼저 결정하고 나머지 전체를 설정한

  * 서로 반대임

2) 특정 호스트만 허용할 경우 : 기본 정책이 deny 임

  - Apache

  Order Deny,Allow
  Deny from all
  Allow from 192.168.0 192.168.1.111

  - ProFTPd

  Order allow,deny
  Allow from 192.168.0.,192.168.1.111
  Deny from all  <-- 나머지를 의미함

3) 특정 호스트만 막을 경우 : 기본 정책이 allow 임

  - Apache

  Order Allow,Deny
  Allow from all
  Deny from 192.168.0 192.168.1.111

  - ProFTPd

  Order deny,allow
  Deny from 192.168.0.,192.168.1.111
  Allow from all  <-- 나머지를 의미함


EOF


From :http://www.linuxchannel.net/docs/order-apache-vs-proftpd.txt

more..

2006/09/11 10:34 2006/09/11 10:34
Trackback
0
Reply
0
이 글에는 트랙백을 보낼 수 없습니다
웅쓰:웅자의 상상플러스
by웅쓰
웅자의 상상플러스
전체 (379)
게임 (5)
영화 (2)
기타 (23)
맛집 (5)
영어 (2)
대수학 (3)
형태소 (5)
Hacking (9)
Linux (112)
HTML (48)
Application_developing (48)
Web_developing (102)
Window (11)
«   2024/04   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        
  1. 2016/01 (1)
  2. 2015/12 (3)
  3. 2015/10 (3)
  4. 2015/03 (2)
  5. 2015/01 (4)