- ベストアンサー
VPS TCP Wrapper
サーバ初心者で勉強中です はじめてのCentOS5という本を読みながら お名前.comのVPSサーバでSSHサーバの設定中です TCPWrapperの設定なのですが /etc/hosts.allow sshd: 192.168.0. /etc/hosts.deny ALL: ALL と設定するように書いてました でもこれをしてしまうとローカルからでしかアクセスできなくなってしまうと思うんです VPSではTCPWrapperの理想的な設定とか定番の設定みたいなものはあるのでしょうか? ご指導 アドバイスをおねがいします。
- Linux系OS
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
>でもこれをしてしまうとローカルからでしかアクセスできなくなってしまうと思うんです もちろん、そうなります。 そういった書籍ではVPSとか特殊な環境の場合は考慮されていないでしょう。 その辺りは、自分で読み替える必要があります。 # VMWareだと192.168.0ではローカルからすら不可能になる可能性が。 勿論、自分の実機環境でも自ネットワークが192.168.0.0以外で構築されていれば読み替えは必要です。 # ウチの場合は192.168.1.0のネットワークですし。 >VPSではTCPWrapperの理想的な設定とか定番の設定みたいなものはあるのでしょうか? 元々、外部からのアクセスが必須なVPSでは…特にないんじゃないでしょうか。 「自分だけ接続したい」&「TCPWrapperで制御したい」というのであれば、使用しているISPが割り当てるIPアドレスの範囲で設定するしかありません。 # そして、そういう割り当てでは「自分だけ」という要件は無理でしょう…。 # 自宅の方を固定IPの契約にして、そのIPアドレスだけ…というのもアリではありますが…(通常、追加料金とか必要ですけどね) sshdなら…「非標準ポート」と「公開鍵認証」に設定しておけばTCPWrapperでの制御は不要…と思われます。 標準ポート&パスワード認証&rootログインもオッケー。なんて設定だと、さっくり乗っ取られているかも知れませんけど。 # VPSでなければ…そもそも外からの接続を受け付けない。というのが安全かと思いますけど。
関連するQ&A
- sshってxinetdを通して起動されるんでしょうか?
hosts.allowに、 vsftpd:***.***. :allow とすることで、外部からのftpサーバへの接続を アクセス制限することは出来たのですが、 今度は、sshdが外部からアクセスできなく なってしまいました。 hosts.denyは、勿論、ALL:ALLです。 しかし、sshは、xinetdを通さないで起動していると ばかり思っていましたので、host.denyとは関係なく 接続できるとおもっておりましたが、違うのでしょうか? RedHat8をインストールした後は、何も特に変更していない のですが・・・デフォルトでsshもTCPWrapperとかいう ものの影響を受けるのでしょうか? chkconfig --list で調べた時は、 xinetdをベースとしたプログラムにはsshは無かったのですが・・・? 何卒、ご存知の方、ご指導の程願います。
- ベストアンサー
- その他(OS)
- /etc/hosts.allow にて alex@192.168.1.10 指定
CENTOS5を使っております。 FIREWALL 有効 SELINUX 有効 server1 リモートホスト server2 SSHサービス稼動中。 ============================================ ここで、制御ファイルにて下記のようにしていますが、 server2側でアクセス拒否されてしまいます。 1. /etc/hosts.allow # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # ALL:127.0.0.1 sshd: alex@192.168.10.62 2 /etc/hosts.deny # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! sshd: ALL [root@server1 ssh]# ssh alex@server2 ssh_exchange_identification: Connection closed by remote host 私の認識では、allow→denyの読み取りで判断されるので許可されると 考えています。 それともUSER@を指定した記述が違うのでしょうか。 deny にて、sshd : ALL EXCEPT alex@192とも指定したがぺけでした。 どなたかご指摘お願いします。 P.S グーグルでもUSER@指定の場合を検索してみました。 http://www.cromwell-intl.com/unix/ssh.html sshd_config にてAllowUsers alexもぺけでした。。。 よろしくご指摘お願いいたします。
- ベストアンサー
- Linux系OS
- NFSのマウントができません
今、Linuxマシンが3台あります。 vine、Fedora4、CentOSです。vineはweb・メールサーバーとしています。そこで、NFSを組んだのですが、すべてをサーバーとクライアントとして設定しました。 /etc/exports、/etc/hosts.allow、/etc/hosts.denyの設定はしました。ちょっとうろ覚えで設定したので、ここが間違っているのかもしれないのですが、すべてのの設定を、/etc/hosts.allowはportmap:192.168.0.としています。/etc/hosts.denyはportmap:ALLです。 /etc/exportsはローカルIPからならrwが出来るように書式通り設定。 そして一応/etc/fstabで起動すれば、自動的にマウントできるようにしているのに、FedoraとCentOSからvineはマウントできているのに逆が出来ません。何か見落としているのでしょうか?
- 締切済み
- Linux系OS
- hosts.allowとhosts.denyについて
centos5を利用しています。 /var/log/btmpファイルが200M、/var/log/secureファイルも20Mにもなっていました。 恥ずかしながら初めて中身をチェックしたのですが、SSHログインの失敗履歴のようでした。 このような場合の対処法をお聞きしたいのですが、 1. hosts.allowとhosts.denyを設定すればこの手のアタックは防げるのでしょうか? 2. hosts.allowとhosts.denyを設定後、/etc/rc.d/init.d/sshd restart でSSHを再起動したのですが、これで反映されたのでしょうか? 3. btmpファイルは削除しても問題ないでしょうか?削除する際に注意点などありましたらあわせて教えて頂けると幸いです。
- ベストアンサー
- Linux系OS
- ファイアウォールは必要?hosts.allow と hosts.deny だけではダメ?
ネットで調べたところ、次のことが分かりました。 ●TCP Wrappers (/etc/hosts.{allow,deny} で設定)は inetd または xinetdで制御されていないプロセスへのアクセスをブロックできない。 ●とはいえ、sshd, sendmail は inetd/xinetdで制御されていないものの、/etc/hosts.{allow,deny}を自ら読みに行って、ここで許可されてないアクセスは拒否することができる。 sshd や sendmail も hosts.allow と hosts.deny で守ることができるとすると、Firewall(iptables)は、なぜ必要なのでしょうか?hosts.allow と hosts.deny で守ることができないデーモンがあるのでしょうか?
- ベストアンサー
- Linux系OS
- Linux hosts.allowでのアクセス制御
いつもありがとうございます。 RedHat hosts.allowでのアクセス制御について設定方法を質問させて頂きます。 /etc/hosts.allowに以下のサービスについて制御したいと思っております。 ************************************************************* http ssh icmp smtp ntp pgadmin samba postgresql dns ************************************************************* 以下「hosts.allow」の内容 ↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓ # ssh sshd: 192.168.1. # http httpd: ALL # dns domain: ALL # icmp icmp: ALL # ntp ntpd: ALL # netbios-ssn netbios-ssn: ALL # smtp smtp: ALL # postgresql postgresql: 192.168.1. # pgadmin pgadmin: 192.168.1. -------------------------------------------------------------------- 上記にて設定すると、SSHのみ適用されますが他の設定が反映されません。 ※hosts.denyは「ALL: ALL」としております。 また、ファイアーウォールを有効にすると、SSHも含め接続できなくなります。 ※ファイアーウォールのルールは定義していません。 初心者からの質問で申し訳ありません。 アドバイスの程よろしくお願い致します。
- ベストアンサー
- その他(ITシステム運用・管理)
- xinetd を使う場合の hosts.allow/hosts.deny
サーバ:CentOS 4.4 xinetd を使ってアクセスコントロールをしようとしています。 /etc/xinetd.d/サービス名 でサービス毎の設定が出来ますが、その中で(only_fromを使って)制御しようとしていますが、その際に /etc/hosts.allow と /etc/hosts.deny はどうなるのでしょうか。これらのファイルを削除して、xinetd の設定ファイルのみでアクセス制御するにしても、xinetd を通さないデーモンが直接 hosts.allow と hosts.deny を参照しようとする場合もありそうで怖そうです。 かといって xinetd と hosts.allow,hosts.deny の両方でアクセス制御するのもわかりにくくなりそうですし。 何かスマートなやり方というものはあるのでしょうか。
- 締切済み
- Linux系OS
- VNCのインストール後の allowとdenyの設定
お世話になります。 vine linux3.2でrealVNCをインストールしたのですが /etc/hosts.allow /etc/hosts.deny への記述が上手くできずクライアント(windowsXP 192.168.1.11)からサーバー(192.168.1.20)に接続できずに困っています。 /etc/hosts.deny には ALL : ALL /etc/hosts.allow には Xvnc :192.168.1.11 としているのですが何がいけないのでしょうか? 教えてください。/etc/hosts.denyの方を何も書かないでいたら きちんと接続できるんですけど・・・・。 私がOSをインストールしてから、Linuxで行った作業は VNCまでです。
- ベストアンサー
- Linux系OS
- tcpwrapper&proftpd について
Vine Linux です。 </etc/hosts.deny> ######## ALL : ALL ######## </etc/hosts.allow> ######## sshd: ALL #proftpd: ALL in.telnet: ALL ######## 上記の場合、telnet はうまくいきます。 (1)ssh はinetを経由していないに関わらず、アクセスでき、コメントアウトするとアクセスできなくなります。 これは、どうしてでしょうか?(なぜinet を経由させてないのに・・・?) (2)proftpd は、コメントアウトしても、アクセスできてしまいます。どうしてでしょうか?(当然、コメントアウトしていなくても、アクセスできますが・・・) inet とtcpwapper の関連がいまいちわからないので、どうかよろしくお願いします。
- 締切済み
- その他(OS)
- tcp wrapper の設定について
1つのサーバーで、数十のドメイン、それら合計で1千万件程度のページがあります。 検索エンジンのロボットアクセスが秒あたり複数回あり、MySQLで出来たブログページのためアクセスのたびに動的ファイルを作り続けておりCPUが休まりません。 そこで、 tcp wrapper で当方に必要ないロボットを弾きたいと考えています。 下記のような設定とし、特に頻繁に来るロボットを弾いたつもりなのですが、相変わらず該当IPからの訪問があります。CPUファンもフル回転状態です。 (ファイル /var/log/httpd/access_log に相変わらず記録されます) 下記の設定 → サーバーの再起動 では弾くことが出来ません。 記載方法に誤りがあるのかも知れません。 ご指導いただければ幸いです。よろしくお願いいたします。 サーバーはCentOS6.4です。 /etc/hosts.allow : ALL EXCEPT .ahrefs.com : ALL EXCEPT .easou.com : ALL EXCEPT .baidu.com : ALL EXCEPT 5.10.83.2 : ALL EXCEPT 5.10.83.3 : ALL EXCEPT 5.10.83.4 : ALL EXCEPT 5.10.83.5 : ALL EXCEPT 5.10.83.6 : ALL EXCEPT 5.10.83.7 : ALL EXCEPT 5.10.83.8 : ALL EXCEPT 5.10.83.9 : ALL EXCEPT 5.10.83.10 : ALL EXCEPT 5.10.83.11 : ALL EXCEPT 5.10.83.12 : ALL EXCEPT 5.10.83.13 : ALL EXCEPT 5.10.83.14 : ALL EXCEPT 5.10.83.15 : ALL EXCEPT 5.10.83.16 : ALL EXCEPT 5.10.83.17 : ALL EXCEPT 5.10.83.18 : ALL EXCEPT 5.10.83.19 : 延々数百のIPアドレス : : :
- 締切済み
- その他(ITシステム運用・管理)
お礼
ありがとうございます 大変勉強になりました >sshdなら…「非標準ポート」と「公開鍵認証」に設定しておけばTCPWrapperでの制御は不要…と思われます。 こちらの方法でやってみます