特集
» 2008年05月09日 03時37分 UPDATE

UNIX処方箋:NISマスターサーバ情報へのアクセス制限

現場ですぐに役立つ知識を欲するあなたに贈る珠玉のTips集。今回は、/var/yp/securenetsを編集することで、NIS情報にアクセスを許可するクライアントをIPレベルで制限してみます。

[ITmedia]
80x80_1_solaris.jpg

Solaris 8を搭載しているサーバでNISマスターサーバを運用しています。現在、このマスターサーバのNIS情報は、どんなクライアントからでもアクセスが可能になっています。NIS情報にアクセスを許可するクライアントを制限したいのですが、何か方法はありませんか?


80x80_2.jpg

標準状態のNISマスターサーバは、どのネットワークのホストからでもNIS情報を引き出せるようになっています。これはセキュリティ上好ましくありません。そこで、NISマスターサーバにある/var/yp/securenetsを編集することで、IPレベルでアクセスを制限します。

 /var/yp/securenetsは、NISを標準で設定した際のファイルです。設定の際にYPDBDIRを変更している場合は、適宜環境に応じて読み替えてください。

 ファイルの実際の設定例を示します。書式としては、最初のフィールドにネットマスクを記述し、次のフィールドにIPアドレスを記述する形になります。例えば、192.168.1.0/24のネットワーク*からだけNISの情報にアクセスさせたい場合は次のように記述します。

255.255.255.0 192.168.1.0


 また、特定のホストのみNISの情報にアクセスさせたいときは次のように記述します。

255.255.255.255 192.168.1.1


 ホストが特定されている場合は、以下のような記述も行えます。

host 192.168.1.1


 NISクライアントが複数存在する場合は、クライアントの数だけ列挙する形になります。

 ここに記述する情報は、IPv6で運用している場合も同様の形になります。「fe80」で始まるアドレスすべてからアクセスを許可する場合は、次のように記述します。

ffff:: fe80::


 特定のホストからのみアクセスを許可する場合は以下のように記述します。

ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

fec0::11:abba:ace0:ee:fb:1


 または次のように記述します。

host fec0::11:abba:ace0:ee:fb:1


 前記の設定は自動では更新されません。変更を行った後はNISデーモンの再起動が必要になります。

このページで出てきた専門用語

192.168.1.0/24のネットワーク

IPアドレスを192.168.1.0、ネットマスクを255.255.255.0と指定し、192.168.1.1〜192.168.1.254の範囲内のIPアドレスを持つホストのみが接続できるようにした状態。


関連キーワード

セキュリティ | Solaris | UNIX | UNIX処方箋


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -