iWiz ShareBase

IT Specialist 윤태현의 iWiz ShareBase는 IT뿐 아니라 각종 잡다한 지식들을 함께 나누는 지식공유 커뮤니티입니다.

iWiz,ShareBase,윤태현,Java,JSP,EJB,IT,정보기술,웹프로그래밍,PHP,ASP,DBMS,MySQL,서버,네트워크,server,network,WAS,웹애플리케이션,블로그,blog,웹서버,DB,오라클,oracle,mysql,JRun,웹로직,톰캣,tomcat,아파치,자동차,EF쏘나타,로또 6/45

갤러리 Pixelgrapher.com | 로또 6/45 번호생성 및 통계 데이터 | 전체기사보기 | 전체글 #1 | 전체글 #2 | 전체글 #3 | 전체글 #4 | 전체글 #5 | 전체글 #6 | 전체글 #7 | 전체글 #8 | 전체글 #9 | 전체글 #10 |

iWiz
ShareBase

Cool Sense

Mania Zone

IT Paper

Be FREE!

My Blog

Gallery

About me

Member

지식은 나눌수록 커집니다 - iWiz's ShareBase

System/OS/Server

시스템이나 서버, 운영체제 등의 구축, 운영에 관련된 자료입니다.

iWiz

(2004-01-04 22:59:43, Hit : 8070, Vote : 14)

http://www.wz.pe.kr

리눅스서버의 FTP로그인 시간이 오래 걸릴때 해결 방법

평소 리눅스 기반 서버에 FTP 접속시 로그인 시간이 오래걸려 답답했는데,
이번에 웹메일 서버에서 작업을 하면서도 같은 현상이 계속 나타나서 한번 뒤져봤습니다.
해결방법에 대한 원문은 다음과 같구요...

------------------------------------------------------------------------------------
http://www.wu-ftpd.org/wu-ftpd-faq.html#QA84

Logins to the ftp server take a long time, after that things run smooth

Possible causes: IDENT (RFC931) lookup is enabled in WU-FTPD. This has a timeout of 10 seconds. If the protocol (port 113) gets blocked by a firewall or such like, it will wait for timeout. If it is 30 seconds and you are using redhat 7.x with xinetd, disable AUTH in inetd as well. Change the entries in /etc/xinetd.d/ftp that read:

log_on_success      += DURATION USERID
log_on_failure      += USERID

Remove the 'USERID' from both. Any other time period: DNS is broken for the IP address the connection is coming from.
------------------------------------------------------------------------------------

뭐 대충 WU-FTPD에서는 IDENT 조회 기능이 활성화되어 있는데, identd가 사용하는 포트113번이 방화벽 등에 의해 막혀있으면 타임아웃 시간(10~30초)까지 대기하기 때문에 이런 문제가 발생한다고 합니다.

해결 방법은 /etc/xinetd.d/ftp 파일이나 /etc/xinetd.d/wu-ftp 파일을 편집기로 열어서 아래 부분을 찾은 다음
log_on_success      += DURATION USERID
log_on_failure      += USERID
여기에서 USERID를 모두 지워준 후에 xinetd를 재시작해주면 됩니다.
xinetd 재시작은 /etc/rc.d/init.d/xinetd restart 명령을 내려주면 됩니다.

==========================================================================
identd는 주로 inetd 서버에서 수행되는 작은 풀그림이다. 어느 사용자가 어떤 TCP 서비스를 수행시키는지 추적하고, 요구하는 누구에게든 추적 결과를 보고한다.

많은 사람들이 identd의 유용성을 오해하고, 이것을 꺼 버리거나 외부 사이트로부터 오는 요청을 거부하도록 막아 둔다. identd는 단지 원격 사이트에 도움을 주기 위해서 있는 것이 아니다. 여러분이 원격 identd로 얻은 자료가 옳은지 알 방법은 없으므로. identd 요청에는 아무런 인증 절차가 없기 때문이다.

그렇다면 왜 identd를 수행시켜야 할까? identd가 여러분을 도와주기 때문이고, 추적 시에는 여러분의 검문소 역할을 하기 때문이다. 여러분의 identd가 변조되지 않았다면 TCP 서비스를 쓰고 있는 사람들의 사용자 이름이나 uid를 identd가 원격 사이트에 말해 줄 수 있는 것을 알 것이다. 만에 하나, 원격 사이트의 관리자가 여러분에게 와서 여러분 컴퓨터의 어느 사용자가 자기의 사이트로 침입하려고 했다고 말한다면, 여러분은 손쉽게 그 사용자에 대해서 행동을 취할 수 있다. identd를 실행시키고 있지 않았다면, 누가 그 때 있었는지 알아내기 위해서 수많은 기록들을 살펴보아야 하고, 이런 경우 일반적으로 그 사용자를 추적하기 위해서 훨씬 긴 시간이 걸리게 된다.

대부분의 배포판에 들어 있는 identd는 대부분의 사람들이 생각하는 것보다 더 다양한 설정이 가능하다. 특정한 사용자용으로 identd가 작동하지 않도록 할 수 있고 (이 사용자들은 .noident 파일을 만들면 된다), 모든 identd 요청을 기록하도록 할 수 있으며 (필자는 이렇게 하기를 권한다) 사용자 이름 대신 uid나 NO-USER를 표기하도록 할 수도 있다.

==========================================================================

이 이슈와는 직접적으로 관련은 없는 내용이지만 identd와 관련해 네트워크 속도가 지연되는
문제에 대한 한가지 측면을 볼 수 있습니다.

다음은 리눅스 방화벽의 identd 관련 설정 예입니다.

# identd에 대한 접속 요청은 거절(reject)
# 우리는 여기서 'reject'를 사용함으로써 접속하는 호스트에게 즉시 접속
# 해도 소용없다는 반응을 보내준다. 그렇지 않으면 ident가 타임아웃 걸리
# 는 동안 지연이 생긴다.
#
/sbin/ipfwadm -F -a reject -o -P tcp -S 0/0 -D 172.16.37.0/24 113

아무튼 문제의 근원은 서버애플리케이션에서 ident 조회 기능을 사용하는 것입니다.

만약 ftpd, telnetd 등에서 identd 조회기능이 있을 경우 클라이언트가 원격에서
접속할 경우 바로 접속이 이뤄지지 않고, 해당 데몬에서는 AUTH 프로토콜(포트113)을
사용해서 원격 클라이언트 호스트의 identd에 AUTH 프로토콜로 접속해서
방금 자신에게 접속한 사람의 신원을 묻게되고, 클라이언트 호스트쪽의 identd에서는
해당 사용자의 uid나 이름을 보내줍니다. 그럼 서버쪽의 데몬에서는 이 정보를 받아
로그로 남기거나 하겠죠.

그런데 클라이언트쪽이 ① 방화벽으로 막혀있거나, ② Windows기반 컴퓨터이거나
③ Unix기반의 컴퓨터지만 identd를 실행하지 않고 있을 경우에는 서버 데몬에서는
timeout이 될때까지 대기하였다가 접속이 이뤄지므로 그만큼 시간이 지연될 것입니다.
현실적으로 인터넷이라는 매체가 초창기처럼 유닉스 호스트간의 통신에 국한되지 않고
있으며 M$가 데스크탑 시장을 독점하고 있는 상황에서 ②번 상황이 가장 빈발하게
발생할 것입니다.

따라서 유닉스 기반 서버에서 httpd나 ftpd, telnetd 등 각종 데몬을 돌리고 있으며
만약 해당 데몬에서 identd 조회 기능을 가지고 있다면 이를 disable 시키는 것이
초기접속 시간 단축에 도움이 될 것입니다