Tips記事
» 2002年07月31日 00時00分 UPDATE

xinetdのflagsオプションで不正アクセスに対しトラップを仕掛ける

[木田佳克,ITmedia]

 接続要求があった場合にサービスを呼び出すことができるスーパーデーモンの1つ「xinetd」。このデーモンには強力なサービス制御機能が備わっている。

 ここではその中の1つ「flags」オプションによるトラップ(罠)設置方法について紹介しよう。以下は、例としてftpサービスの設定ファイルを挙げている。このような設定ファイルを用意してグローバルからの要求を受けるようにすると、実際は稼働させていないftpサービスがトラップとして機能し、xinetdを介すほかのサービスへの接続も拒否されるようになる。

# cat /etc/xinetd.d/ftp
service ftp
{
    socket_type = stream
    wait = no
    user = root
    server = /usr/sbin/ftpd
    flags = SENSOR
    deny_time = 30
    log_on_success = HOST PID
}

 注目すべきは、「flags=」と「deny_time=」の2行だ。この2つは組み合わせとして考えておきたい。

 flagsにより前述するトラップが発動した際には、deny_timeで設定された時間設定の間だけxinetdを介したサービス要求が拒否される。例えば、上記のdany_time = 30は「30分」の拒否を意味し、ほかにもxinetdの再起動時までの「FOREVER」、ログ記録だけを行う「NEVER」などがある。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ