[Apache-ProFTPd] Order, Allow, Deny 비교
- 작성자 : 김칠봉 <san2(at)linuxchannel.net>
- 작성일 : 2003-11-22
- 내 용 : 아파치와 ProFTPd 의 Order, Allow, Deny 비교
- 수 준 : 초보용
- 키워드 : Apache, ProFTPd, Order Allow, Deny
*주)
이 문서에 대한 최신 내용은 아래 URL에서 확인할 수 있습니다.
http://www.linuxchannel.net/docs/order-apache-vs-proftpd.txt
------------------------------------------------------
1. Apache Order allow,deny
2. ProFTPd Order allow,deny
3. 비교
4. 정리
------------------------------------------------------
1. Apache Order allow,deny
Order directive
- Syntax : Order ordering
- Default : Order Deny,Allow <---- Deny 에 없는 것은 모두 Allow 됨
- Context : directory, .htaccess
- Override: Limit
- Status : Base
- Module : mod_access
Allow directive
- Syntax : Allow from all|host|env=variablename [host|env=variablename] ...
- Context : directory, .htaccess
- Override: Limit
- Status : Base
- Module : mod_access
- List : 구분 공백(' ')
A (partial) domain-name
Example: Allow from apache.org
A full IP address
Example: Allow from 10.1.2.3
A partial IP address
Example: Allow from 10.1
A network/netmask pair
Example: Allow from 10.1.0.0/255.255.0.0
A network/nnn CIDR specification
Example: Allow from 10.1.0.0/16
Allow from 10.1.2.3 env=foo <-- 틀린 경우(X)
Allow from env=foo 10.1.2.3 <-- 맞는 경우(O), env 가 앞에 옴
기본정책이 Deny 에 없는 것은 모두 Allow 되고, Deny,Allow 사이는 빈공백없이
콤마(,)로 분리.
- Order Deny,Allow
Allow 를 평가하기 전에 먼저 Deny 를 평가하고, 그 다음 Allow 에
override 함. 그리고 여기에 매치되지 않는 나머지 호스트 모두
Allow 됨. 따라서 이 Order 의 기본정책은 첫번째 Deny 지시자에서 결정함
즉 순서는,
1. Deny 매치 우선 결정(기본 정책 결정)
2. 그 다음 Allow 매치를 override 함
3. 나머지 포함되지 않은 호스트는 모두 Allow 됨
- Order Allow,Deny
Deny 를 평가하기 전에 먼저 Allow 를 평가하고, 그 다음 Deny 에
override 함. 그리고 여기에 매치되지 않은 나머지 호스트는 모두
Deny 됨. 이 Order 의 기본정책은 첫번째 Allow 지사자에서 결정함.
(*** 이점이 ProFTPd 와 서로 다름 ***)
ex1) 기본정책은 Allow 이고, 예외로 bad.com hacker.com 은 금지
Order Allow,Deny <-- Order Mutual-failure 와 같음
Allow from all
Deny from bad.com hacker.com <-- 리스트 나열은 빈공백으로 구분
ex2) 기본정책은 Deny 이고, 예외로 myhost.com 만 접근을 허용함
Order Deny,Allow
Deny from all
Allow from myhost.com
ex3) 중요
Order Allow,Deny
Allow from apache.org
Deny from foo.apache.org
이것은 foo.apache.org 를 제외한 *.apache.org 만 허용하고
나머지 모든 호스트는 접근을 금지함(foo.apache.org 는 당연히 금지)
이유는 Order 순서에 의해서 Deny 를 평가하기 전에 Allow 를 평가하고,
그 다음에 Deny 매치에 override 하기 때문이며, 나머지 매치되지 않는 모든
호스트는 Deny 됨.
ex4) 주의
Order Deny,Allow
Deny from all <--- 기본정책이 모두 Deny 임
Allow from aaa.foo.com
Allow from bbb.foo.com ccc.foo.com
Allow from ddd.com.com
Deny from ccc.foo.com <--- *** 이 호스트는 Allow 됨 ****
Allow 를 평가하기 전에 Deny 를 먼저 평가하기 때문에 평가 순서는
다음과 같음.
Order Deny,Allow
Deny from all <--- 기본정책이 모두 Deny 임
Deny from ccc.foo.com
Allow from aaa.foo.com
Allow from bbb.foo.com ccc.foo.com <--- Allow 됨
Allow from ddd.com.com
2. ProFTPd Order allow,deny
Order directive
- Syntax: Order [ Order allow,deny|deny,allow]
- Default : Order allow,deny
- Context : <Limit>
- Module : mod_core
- Compatibility : 0.99.0pl6 and later
Allow directive
- Syntax : Allow [ ["from"] "all"|"none"|host|network[,host|network[,...]]]
- Default : Allow from all
- Context : <Limit>
- Module : mod_core
- Compatibility : 0.99.0pl6 and later
- List : 구분 컴마(,)
A (partial) domain-name
Example: Allow from .proftpd.org <--- 아파치와 다르게 앞에 점 추가
A full IP address
Example: Allow from 10.1.2.3 <--- 아파치와 같음
A partial IP address
Example: Allow from 10.1. <--- 아파치와 다르게 뒤에 점 추가
A network/netmask pair <--- 없음
A network/nnn CIDR specification
Example: Allow from 10.1.0.0/16 <--- 아파치와 같음
ProFTPd 의 Order, Allow, Deny 지시자는 Apache와 비슷한 구문을 갖지만
그 결과는 아주 상이함.
- Order deny,allow <-- 우선권 deny 둠
allow 를 평가하기 전에 deny 를 먼저 평가하고 결정해 버림(overrid 하지 않음)
그리고 allow 를 평가하고(같은 것이 있으면 deny 가 우선), 나머지
매치되지 않은 모든 호스트는 deny 됨(아파치와 서로 반대임)
- Order allow,deny <-- 우선권을 allow 둠
deny 를 평가하기 전에 allow 를 먼저 평가하고 결정해 버림(overrid 하지 않음)
그리고 deny 를 평가하고(같은 것이 있으면 allow 가 우선), 나머지
매치되지 않은 모든 호스트는 allow 됨(아파치와 서로 반대임)
즉 같은 호스트가 allow 와 deny 에 둘다 있을 경우 그 우선권은
Order 지시자에서 설정한 앞부분의 keyword 에 따름.
Order deny,allow
Deny from 192.168.0.1
Allow from 192.168.0.
deny 가 우선이므로 192.168.0.1 은 deny 됨.(Override 되지 않음)
또한 다음과 같이 Order 순서를 그대로 두고, 위치만 바꾸어도 동일함.
Order deny,allow
Allow from 192.168.0.
Deny from 192.168.0.1
*중요)
ProFTPd 는 Apache 와 같이 Order 의 순서대로 Override 되지 않고,
Order 순서에 의해서 먼저 접근을 결정해 버림.
ex1) 특정 호스트만 허용함
<Limit LOGIN>
Order allow,deny
Allow from 192.168.0.100,192.168.1.
Deny from all <--- all 은 매치되지 않은 나머지를 의미함.
</Limit>
192.168.0.100 192.168.1.0/24 만 허용하고 나머지는 모두 접속을 금지함.
즉 특정 호스트만 허용(Allow) 하기 때문에 Order allow,deny 순으로
설정하여 우선권을 allow 가 갖도록함.
ex2) 특정 호스트만 금지함
<Limit LOGIN>
Order deny,allow
Deny from 192.168.0.100,192.168.1.
Allow from all <--- all 은 매치되지 않은 너머지를 의미함.
</Limit>
ex1) 과 서로 반대임
ex3) 부분과 전체
<Limit LOGIN>
Order allow,deny
Allow from 128.44.26.,128.44.26.
Allow from myhost.mydomain.edu,.trusted-domain.org
Deny from all
</Limit>
ProFTPd 는 Override 되지 않기 때문에 제일 마지막에 Deny from all 설정이
온다고 하더라고 먼저 설정한 호스트(ex 128.44.26.1)는 Allow 되고,
상위 설정에서 포함되지 않은 나머지 호스트는 제일 마지막에 모두 Deny 됨
ex3) 우선권
<Limit LOGIN>
Order deny,allow
Allow from 192.168.0.
Deny from 192.168.0.152
Deny from all <--- all 은 매치되지 않은 너머지를 의미함.
</Limit>
192.168.0.152 호스트는 앞부분 'Allow from 192.168.0.*'에 포함되지만
Order 순서가 deny 가 우선이므로 결국 이 호스트는 deny 됨.
즉 같은 호스트가 allow 와 deny 에 둘다 있을 경우 그 우선권은
Order 지시자에서 설정한 앞부분의 keyword 에 따름.
<Limit LOGIN>
Order deny,allow
Deny from 192.168.0.152
Allow from 192.168.0. <--- override 되지 않음
Deny from all <--- all 은 매치되지 않은 너머지를 의미함.
</Limit>
위의 설정도 같은 동일한 설정임.
3. 비교
1) 설정방향
- Apache : Order 순서에 의해서 순차적으로 override 됨.
매치되지 않은 나머지 호스트는 Order 의 뒤쪽 keyword 에 따름
- ProFTPd : Order 순서에 의해서 순차적으로 먼저 결정함.
매치되지 않은 나머지 호스트는 Order 의 앞쪽 keyword 에 따름
2) override 비교
- Apache : override 됨(뒤에 온 놈이 장땡)
- ProFTPd : override 되지 않음(먼저 온 놈(?)이 장땡)
3) 기본 접근정책 비교
- Apache : 전체 --> 부분으로 override
- ProFTPd : 부분 먼저 설정 --> 나머지 결정
4) 리스트 나열 비교
- Apache : 빈공백(' ')으로 구분, 여러줄 일 경우 `\'와 중복 지시자 모두 가능
Allow from 1.2.3.4 1.2.3.5 \
1.2.3.6 1.2.3.7
Allow from 10.10.10.1
- ProFTPd : 컴마(,)로 구분하고 여러줄일 경우는 중복 지시자만 가능
Allow from 1.2.3.4,1.2.3.5,1.2.3.6,1.2.3.7
Allow from 10.10.10.1
5) Partial IP 주소 비교
- Apache : 192.168.0 192.168.1 <-- 뒤에 점이 없음
- ProFTPd : 192.168.0.,192.168.1. <-- 뒤에 점이 있음
6) Partial domain-name 비교
- Apache : foo.com bar.com <-- 앞에 점이 없음
- ProFTPd : .foo.com,.bar.com <-- 앞에 점이 있음
4. 정리
1) 설정 방향
- Apache
Order 순서에 의해서 전체를 먼저 설정하고 나머지 부분을 Override 함
- ProFTPd
Order 순서에 의해서 부분을 먼저 결정하고 나머지 전체를 설정한
* 서로 반대임
2) 특정 호스트만 허용할 경우 : 기본 정책이 deny 임
- Apache
Order Deny,Allow
Deny from all
Allow from 192.168.0 192.168.1.111
- ProFTPd
Order allow,deny
Allow from 192.168.0.,192.168.1.111
Deny from all <-- 나머지를 의미함
3) 특정 호스트만 막을 경우 : 기본 정책이 allow 임
- Apache
Order Allow,Deny
Allow from all
Deny from 192.168.0 192.168.1.111
- ProFTPd
Order deny,allow
Deny from 192.168.0.,192.168.1.111
Allow from all <-- 나머지를 의미함
EOF
From :http://www.linuxchannel.net/docs/order-apache-vs-proftpd.txt |
0