TCP_Wrapperよるアクセス制御

tcp_wrapperは、設定した特定のIPアドレスからのみサービスへの接続要求を受け付ける様にする事ができます。
この、tcp_wrapperは比較的旧来からあるある、セキュリティ制御の仕組みです。

 

tcp_wrapperの設定

tcp_wrapperの設定は、以下の設定ファイルです。
/etc/hosts.allow<—tcp_wrapperアクセス許可用設定ファイル。
/etc/hosts.deny<—tcp_wrapperアクセス拒否用設定ファイル。

 

設定時の注意点

tcp_wrapperが許可、拒否の評価をする順番に気をつけてください。
実際に評価する順は以下の通りです。

 

1.アクセス拒否ファイルに記述してある物は拒否

2.アクセス許可ファイルに記述してあるものは許可

3.記述の無いものは許可

 

*”1.”に該当し、”2.”に該当する場合は、”2.”が優先されます。
特に注意が必要なのは、3.の記述が無い物は許可。と言う部分です。

 

設定ファイルの記述方法

設定ファイルには、以下の記述方法を用います。

 [service] : [host] : [command]

[service] = サービス名(/etc/service)やinetd、xinetdに記述してある[argument]を指定します。
[host] = ホスト名をFQDNで記述したり、IPアドレスなどで指定します。
[command] = 特定のコマンドを発行できます、例えば、拒否したときにmailを送信するとか。。。

 

[host]指定

host指定には、いくつか書式がありますので、ここで記載しておきます。

.domainNmae <---このドメインに属するホストを対称にします。
hostname <---ホスト名を指定します。DNSや/etc/hostsで名前引きができる必要があります。
192.168.0.10 <---IP アドレスを指定します。
192.168.0. <---192.168.0.0/255.255.255.0に属するホストが対象になります。
ALL <--- 全てのホストを対称にします。
127.0.0.1 <--- ローカルホストを対称にします。
userName@192.168.0.15 <---192.168.0.15ホストのユーザー:userNameのみ対称になります。

ほかにもありますが、このあたりを覚えて おけば、さしあたって困らないのではないでしょうか。

 

設定例

ここでは、xinetdから起動される、proftodのアクセス制御を行う例を示します。

ProFTPdでの例

まずは/etc/hosts.deny全て拒否としておきます。

 ALL:ALL

 

/etc/hosts.allowで許可の設定をします。

ALL:127.0.0.1 <---ローカルホストからは許可
proftpd:192.168.0. <---このネットワークのホストからは許可

 

TCP Wappersを利用すると、この様に、簡単にアクセス制御が可能になります。
ちょっとアクセス制御したい場合などには、非常に有効な手段でだと思います。

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <img localsrc="" alt="">