- - PR -
認証に失敗したアクセス元をリジェクト
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2005-12-06 22:29
新しい iptables を使うには新しい kernel を利用する必要があるので, 代替する機能が付加されなければ削除されることはないのでは? もっとも「かならずそう」とは断言できかねます,悪しからず. | ||||
|
投稿日時: 2005-12-06 22:37
kazさん,早速のコメント本当にありがとうございます.
たしかにkazさんのおっしゃるとおりだと思います. 私は,いざ削除されたり変更された時に気かない可能性大ですので,recent より若干のアクセスを許してしまうと思いますが,ログから拒否リストを追加する方法で行きたいと思います. | ||||
|
投稿日時: 2005-12-06 23:16
この部分ですが、hosts.denyで全ての接続を拒否して、hosts.allowに接続を許可する ホストなりネットワークなりを追加するほうが、運用上はよりすっきりすると 思いますよ。 | ||||
|
投稿日時: 2005-12-06 23:42
zumeさん,ご指摘有難う御座います. おっしゃるとおりで,hosts.deny ALL:ALL して,許可するホストだけ hosts.allow に追加したほうがセキュリティ的にも運用的にもすっきりすると思います. ただ,使用者が自宅,社内,出張先など,どこのネットワークから接続してくるか特定できないので困っています. このような場合,特定のホストを DENY して,あとは許可するしかないのでしょうね. | ||||
|
投稿日時: 2005-12-07 09:21
私もiptables&カーネルのバージョンが低いためrecentが使えなかった一人です。
TCP wrapperとiptablesを使った方法が紹介されてます。 http://search.luky.org/linux-users.a/msg04927.html egrepとiptablesの記述を自分の環境に変更してますが、 これでほぼ防いでくれています。 | ||||
|
投稿日時: 2005-12-08 03:05
BBさん,こんばんわ.
大変参考になるサイトをありがとうございます. 私も,ほぼ同様のことがしたいのですが,スクリプトの意味がいまいち分からなかったりと,勉強不足を痛感しています. とりあえず,空いているマシンでテスト環境をつくって見ようと思います. | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。