- - PR -
TCPWrapperとxinetdについて
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2003-06-03 18:14
むーです。
いつもお世話になっております。 早速なのですが、TCPWrapperとxinetdは 併用できるものなのでしょうか? 私の考えとしては、特に問題はないと思っておりますが、 正直根拠がありません。 可否および発生し得る問題点などお気づきの方は是非 ご教示のほどよろしくお願いします。 |
|
投稿日時: 2003-06-04 10:01
こんにちは。
>早速なのですが、TCPWrapperとxinetdは >併用できるものなのでしょうか? たしかxinetd自身がTCPWrapperを利用しているはずですから、 併用できるのではないでしょうか。 すいません、うろ覚えで。 |
|
投稿日時: 2003-06-04 12:18
下記のLinuxSquare連載記事でサポートしているという記述があるので
大丈夫ではないでしょうか。 http://www.atmarkit.co.jp/flinux/rensai/security01/security01b.html |
|
投稿日時: 2003-06-04 14:10
ありがとうございます。
ところで、xinetdがあればTCPWrapperは要らないのでしょうか? xinetdはあくまでもxinetd(inetd)管理下サブサーバに対する アクセス制御ができるものであり、それ以外のサービス(例えば sendmailとかpingとかNTPとか)のアクセス制御(パケットフィルタ)は できないものと認識しております。 この認識は誤りでしょうか? [ メッセージ編集済み 編集者: むー 編集日時 2003-06-04 14:13 ] |
|
投稿日時: 2003-06-04 16:07
>ところで、xinetdがあればTCPWrapperは要らないのでしょうか?
機能的には含まれているらしいので、基本的にはいらないじゃない んでしょうか?古い設定ファイルを使わなければならないとか特別な 理由がない限りは。 >xinetdはあくまでもxinetd(inetd)管理下サブサーバに対する >アクセス制御ができるものであり、それ以外のサービス(例えば >sendmailとかpingとかNTPとか)のアクセス制御(パケットフィルタ)は >できないものと認識しております。 >この認識は誤りでしょうか? すいません。未熟ものなのでそれら(pingはICMPなので出来ないような 気がしますが...)に使ったことはありませんが、それぞれのサーバ プログラム側の作りによるのではないかと思っています。 少し興味があるので調べてみようかと思ってはいますが... また、この場合のアクセス制御はパケットフィルタというよりは、サー ビスフィルタとでもいうようなもの(TCPとかUDPのポートレベル)だと 認識しています。 |
|
投稿日時: 2003-06-06 15:31
TCP Wrappersを使用して/etc/hosts.denyに"ALL:ALL"設定
(つまりすべて拒否する設定)を施した場合でも、pingはできると 考えてよろしいでしょうか? お恥ずかしい話、TCP Wrappersが制御するサービスがどこから どこまでなのかが分かっておらず、現在の認識としては、上記設定を すればすべてのパケットを受け付けない状態になってしまうと 思っておりました。 また、xinetdが制御するサービスはinetdで管理されるサブサーバのみで よろしいのでしょうか?ひょっとして他のサービスもxinetd.confの 設定如何で制御できるのがxinetdなのでしょうか? |
|
投稿日時: 2003-06-06 16:24
こんにちは。
>TCP Wrappersを使用して/etc/hosts.denyに"ALL:ALL"設定 >(つまりすべて拒否する設定)を施した場合でも、pingはできると >考えてよろしいでしょうか? できると思いますよ。PINGを通さないなどの設定を行うのは iptablesなどのファイアーウォールだと認識しています。 たとえば/etc/hosts.deny等の書式は デーモンリスト:ホストまたはIPアドレスなど と言うようになりますので、アクセス制御の対象は デーモンと言うことになります。 |
|
投稿日時: 2003-06-06 18:06
こつぶさん、ご回答ありがとうございます。
しつこくなってしまい申し訳ありません。 > たとえば/etc/hosts.deny等の書式は > デーモンリスト:ホストまたはIPアドレスなど > と言うようになりますので、アクセス制御の対象は > デーモンと言うことになります。 ということは、UNIX一般のネットワーク関連サーバ (デーモン)であれば登録できると考えてよろしいでしょうか? 例えば、NTPのxntpdデーモン、SMTPのsendmailデーモン、 NFS関連デーモンなどもここに設定できるのでしょうか? |