• ベストアンサー
  • 暇なときにでも

Linux (hosts.allowとFreenxの関係)

家から仕事場のlinux machine(Fedora 10)を動かそうとしているのですが、その際SSHの事がよく分らなくなりました。分らない点は、hosts.allowとFreenxの関係で、どちらもセキュリティを保ちながら、サーバーとのコンタクト(SSH)を可能としてくれると理解しております。Freenxの方がセキュリティが高い(秘密鍵を使うため)と聞いたのですが、Freenxを使う場合はhosts.allowとhosts.denyは設定しなくていいんでしょうか。セキュリティの面から見た意見を伺えれば幸いです。

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数167
  • ありがとう数2

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.2

No,1 です。 個人的には、適切な接続制限がされていればほぼ安全と思います。 ただ、どれだけ堅牢なサーバも100%安全とは言い切れません。 (例えば、銃を突きつけられてデータのコピーを要求されたらとか..) セキュリティとは、堅牢性と可用性のジレンマを避けることが 出来ないので、どこかで納得したり妥協したりする必要があり 判断は個々が行うべきではないでしょうか。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとうございます。おかげで、頭の中がスッキリしました。

その他の回答 (1)

  • 回答No.1

> どちらもセキュリティを保ちながら とありますが、これは暗号化されているためということでしょうか。 であるなら、「通信経路の安全が確保されている」という前提が あれば telnet でも安全です。(例えば、VPNとか) 個人的意見になりますが、セキュリティとはサーバ毎に脅威がことなります。 例えば、公開サーバと非公開サーバでも異なりますし、 保持しするデータの種類でも異なります。 また、一般的に鍵認証の方がセキュリティが高いと思いますが、 その鍵の管理方法によっては脆弱にもなりえます。 SSHは、公開サーバにあると間違いなくブルートフォースアタックを 受けますが、SSHの設定などでその脅威を取り除くことも可能です。 (ファイアフォールを使うとか、パスワード認証をしないとか、ポート番号を変えるなど) そのため、ブルートフォースアタックを防ぐために、接続制限(hosts.allowなど)を 行う事が推奨される要因と思います。 本題ですが、Freenxだからアクセス制限をする必要がないとは思いません。 だた、hosts.allowでアクセス制限を行うには、tcpwrapに対応している事が 前提となっていて、Freenxが対応しているかは不明です。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

すいません、よくこのサイトの使い方が分っていませんでした。 deb_null様ありがとうございます。

質問者からの補足

deb_null 様 ご指南ありがとうございます。また様々なポイントの情報が抜け落ちており、すみませんでした。 仕事場のサーバーは非公開で、現時点ではSSHで接続可能な状況です。もちろん接続制限をつけた状態です。 tcpwrap自体知りませんでしたので、勉強してみます。 確かにご指摘のことから考えると、SSHで接続した方が無難なのかもしれないと思いました。当方、サーバー使用人数が3人程度で、非公開です。従って、hosts.allowで縛っておけば、安全は確保できると考えてよろしいのでしょうか? よろしくお願いいたします。

関連するQ&A

  • hosts.allowとhosts.denyについて

    centos5を利用しています。 /var/log/btmpファイルが200M、/var/log/secureファイルも20Mにもなっていました。 恥ずかしながら初めて中身をチェックしたのですが、SSHログインの失敗履歴のようでした。 このような場合の対処法をお聞きしたいのですが、 1. hosts.allowとhosts.denyを設定すればこの手のアタックは防げるのでしょうか? 2. hosts.allowとhosts.denyを設定後、/etc/rc.d/init.d/sshd restart でSSHを再起動したのですが、これで反映されたのでしょうか? 3. btmpファイルは削除しても問題ないでしょうか?削除する際に注意点などありましたらあわせて教えて頂けると幸いです。

  • hosts.allowのIPアドレスの記述ついて

    Red Hat Linux9を使用して勉強しています。 SSHを動かしていて、hosts.deny と hosts.allowを使い IPアドレスの接続制限をかけようと思っています。 hosts.denyはALL:ALLにしてあるのでhosts.allowに 接続を許可するIPを記述するのですが、例えば許可する範囲を 「192.168.1.90~192.168.1.99」とする場合は、どうやって 記述すればいいのでしょうか。 まさか1個ずつカンマで区切って記述するということではないですよね。 宜しくお願いします。

  • Linux hosts.allowでのアクセス制御

    いつもありがとうございます。 RedHat hosts.allowでのアクセス制御について設定方法を質問させて頂きます。 /etc/hosts.allowに以下のサービスについて制御したいと思っております。 ************************************************************* http ssh icmp smtp ntp pgadmin samba postgresql dns ************************************************************* 以下「hosts.allow」の内容 ↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓ # ssh sshd: 192.168.1. # http httpd: ALL # dns domain: ALL # icmp icmp: ALL # ntp ntpd: ALL # netbios-ssn netbios-ssn: ALL # smtp smtp: ALL # postgresql postgresql: 192.168.1. # pgadmin pgadmin: 192.168.1. -------------------------------------------------------------------- 上記にて設定すると、SSHのみ適用されますが他の設定が反映されません。 ※hosts.denyは「ALL: ALL」としております。 また、ファイアーウォールを有効にすると、SSHも含め接続できなくなります。 ※ファイアーウォールのルールは定義していません。 初心者からの質問で申し訳ありません。 アドバイスの程よろしくお願い致します。

  • /etc/hosts.allow にて alex@192.168.1.10 指定

    CENTOS5を使っております。 FIREWALL 有効 SELINUX 有効 server1 リモートホスト server2 SSHサービス稼動中。 ============================================ ここで、制御ファイルにて下記のようにしていますが、 server2側でアクセス拒否されてしまいます。 1. /etc/hosts.allow # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # ALL:127.0.0.1 sshd: alex@192.168.10.62 2 /etc/hosts.deny # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! sshd: ALL [root@server1 ssh]# ssh alex@server2 ssh_exchange_identification: Connection closed by remote host 私の認識では、allow→denyの読み取りで判断されるので許可されると 考えています。 それともUSER@を指定した記述が違うのでしょうか。 deny にて、sshd : ALL EXCEPT alex@192とも指定したがぺけでした。 どなたかご指摘お願いします。 P.S グーグルでもUSER@指定の場合を検索してみました。 http://www.cromwell-intl.com/unix/ssh.html sshd_config にてAllowUsers alexもぺけでした。。。 よろしくご指摘お願いいたします。

  • osxをクライアントでlinux fedora 4へshh接続したいのですが

    ご存知の方教えて頂けますか? osxとlinuxをクロスケーブルで繋いでます。 osxをクライアントでlinux fedora 4へshh接続したいのですが、 いまいち良くわかりません。shh-keygen -t rsa はlinux で行えばいいですか?それから秘密鍵?公開鍵?をmacのどこに保存すれば良いでしょう?macからはターミナルでssh -l username serverAddress でいいですか? linuxはsshdは起動してあります。 すみませんよろしくお願いします。

    • ベストアンサー
    • Mac
  • VNCのインストール後の allowとdenyの設定

    お世話になります。 vine linux3.2でrealVNCをインストールしたのですが /etc/hosts.allow /etc/hosts.deny への記述が上手くできずクライアント(windowsXP 192.168.1.11)からサーバー(192.168.1.20)に接続できずに困っています。 /etc/hosts.deny には ALL : ALL /etc/hosts.allow には Xvnc :192.168.1.11 としているのですが何がいけないのでしょうか? 教えてください。/etc/hosts.denyの方を何も書かないでいたら きちんと接続できるんですけど・・・・。 私がOSをインストールしてから、Linuxで行った作業は VNCまでです。

  • sftpコマンドで秘密鍵を指定する方法

    linuxのシェルでコマンドラインのsftpを利用して、リモートサーバに 接続する際にsshの秘密鍵を指定する方法を教えてください。 sshを利用する場合は ssh ユーザ名@ホスト -i ~/.ssh/秘密鍵 で秘密鍵を認識しますが、sftpだといろいろ調べましたが指定の仕方が わかりませんでした、よろしくお願いします。

  • putty の秘密鍵をlinuxで利用したい。

    putty の PUTTYgen.exe で生成した秘密鍵を linux の ssh コマンドでも使えるようにしたいのですが、どうすればよいでしょうか。ファイルの仕様が異なるみたいなので、どうすればよいかわかりません。

  • sshでログインするパスワードの変更

    WindowsからlinuxにputtyやWinSCPでsshでアクセスしています。 linuxには、公開鍵を置いています。  /home/hogehoge/.ssh/authorized_keys2 Windowsには、秘密鍵を置いています。 鍵は、puttygen.exeで作りました。 この場合、パスワードを変更する場合は、もういちどputtygen.exeで公開鍵と秘密鍵を作り直して ssh-keygenを実行しないといけないのでしょうか? 簡単にパスワードだけを変更できるのでしょうか? すみません、linuxはあまり詳しくないです。 環境 linux: SuSE 9 Windows7(64bit)

  • SSHって・・?

    Linux勉強中で疑問に思っている点があります。 SSHを利用すると、暗号化を行うことができるということですが・・・・教えて下さい。たとえば・・・ 例:Aはサーバーで秘密鍵を保持、Bはクライアントで   公開鍵を保持。 B(クライアント/公開鍵)→A(サーバー/秘密鍵) 公開鍵を使ってサーバーAにデータを送信後、 サーバー側では、秘密鍵を使ってデータを解読。 A(サーバー/秘密鍵)→B(クライアント/公開鍵) この場合は、データはどう暗号化されているのでしょうか?秘密鍵でデータを暗号をすると、公開鍵を持ってる人達には解読できてしまうのですよね? "ls"コマンドで叩いた機密情報が仮にA→Bに結果が返ってくる場合は、暗号化されないのでしょうか? SSHを使ってFTPをする場合も同様のことはいえないのでしょうか?? Webで情報を集めて、公開鍵と秘密鍵の事に関しては 調べてみたつもりなのですが・・・ 申し訳ありませんが、ご教授下さい。 よろしくお願い致します。