- ベストアンサー
/etc/xinetd.d/と/etc/hosts.allow
環境はTBL7.0Serverです /etc/xinetd.d/と/etc/hosts.allowについてなんですが、基本的には/etc/xinetd.d/の直下のファイルでアクセス制御すればいいと思うのですが、/etc/hosts.allowでもサービスを許可してやらないとつかえません。 この2段階でアクセス制御するのは、標準的なやり方なんですか?管理上煩雑なので、できれば/etc/xinetd.d/以下の各サービスのファイルのみでアクセス制御したいのですがみなさんどうしています。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
全然違うかもしれませんが。 私のところ(Laser5、Kondara)は、/etc/hosts.allowと/etc/hosts.denyファイルは空のままで、きちんと動作しています。この両ファイルは空っぽの場合だと、デフォルトで全て許可という情報もあったので、TCPWrapperは開けっ放しで使っているのかなと思っています。 http://stwww.eng.kagawa-u.ac.jp/Jikken/kawaguti/Installation/securty2.htm それとか、xinetdのrpm版は「--with-libwrap 」付きでコンパイルされているため、いやでもTCPWrapperを使用してしまうとか。 http://synack.net/xinetd/faq.html
その他の回答 (2)
- Jack3K
- ベストアンサー率40% (12/30)
TBL7.0Serverを使ったことがないので参考に見てもらえればと思います。 私の場合ですが、RHL7.2での設定でも同様にftpが出来ない事態に陥ったことがありました。 hosts.allowのみでアクセス制限を行っていたのをxinetd.dでのみの制限に切り替えた時にアクセス出来ない事がありました。 とりあえず元の設定に戻したのですが、TCP Wrapperである/etc/hosts.allowと/etc/hosts.deny のみの制限で動作させています。 only_from = 192.168.0.0/24 の記述を外して /etc/hosts.allow に ALL:127.0.0.1 in.telnetd:192.168.0. でのみのサービス提供だと二重の手間は省けると思います。 #ちなみに /etc/hosts.allow に ALL : 192.168.0.0/255.255.255.0 だと全てのサービスに対してアクセスできてしまいますのであまりよろしくないかと思われます。
お礼
おそらく私と同じですね。ちなみに私は ALL : 192.168.0.0/255.255.255.0 で全て許可して only_from = 192.168.0.0/24 で制限をかけるとしています。 でもなんかしっくりしないんですが、 やっぱり二重で設定するものなんでしょうか? かなりWEBで調べたけど明確な答えはありませんでした。
補足要求です。 /etc/xinetd.d/以下の各サービスのファイルで、 server= のところで、/sbin/tcpd経由でサービスを動かしているとか無いですよね。 それとか、xinetdが、/sbin/tcpd経由で実行されているとか。 詳しくないので、見当はずれな事を言っているかもしれませんが。
補足
例えば、TELNET の設定は以下のようにしています。 # default: off # description: Telnet server # securlevel: 30 service telnet { disable = no socket_type = stream protocol = tcp wait = no user = root server = /usr/sbin/in.telnetd server_args = -h only_from = 192.168.0.0/24 } これでだけでは、TELNET 接続できないので /etc/hosts.allow に ALL : 192.168.0.0/255.255.255.0 を加えると、192.168.0.0/24のセグメントのクライアントはTELNET出来るようになります。 そう考えると、/etc/xinetd.d/以下の各サービスで only_from = 192.168.0.0/24 とアクセス許可をして、さらに/etc/hosts.allowでもアクセス許可をしていることになりますよね。 どう考えても二度手間ですよね。
お礼
ドンピシャ!!です。 /etc/hosts.allowと/etc/hosts.denyすべて無効になるようにコメントアウトすると、 xinet.dのみの設定で制限かけれました。 ちなみにTBL7.0SVの場合はデフォルトでは全て許可ではなく、 ローカル(127.0.0.1)のみすべて可能、sshはすべて許可になっていました。 ほんと、すっきりしました。恐らく多くの方がこの疑問を持っていたと思います。 ありがとうございました。