NISマスターサーバ情報へのアクセス制限：UNIX処方箋

現場ですぐに役立つ知識を欲するあなたに贈る珠玉のTips集。今回は、/var/yp/securenetsを編集することで、NIS情報にアクセスを許可するクライアントをIPレベルで制限してみます。

[ITmedia]

Solaris 8を搭載しているサーバでNISマスターサーバを運用しています。現在、このマスターサーバのNIS情報は、どんなクライアントからでもアクセスが可能になっています。NIS情報にアクセスを許可するクライアントを制限したいのですが、何か方法はありませんか？

標準状態のNISマスターサーバは、どのネットワークのホストからでもNIS情報を引き出せるようになっています。これはセキュリティ上好ましくありません。そこで、NISマスターサーバにある/var/yp/securenetsを編集することで、IPレベルでアクセスを制限します。

　/var/yp/securenetsは、NISを標準で設定した際のファイルです。設定の際にYPDBDIRを変更している場合は、適宜環境に応じて読み替えてください。

　ファイルの実際の設定例を示します。書式としては、最初のフィールドにネットマスクを記述し、次のフィールドにIPアドレスを記述する形になります。例えば、192.168.1.0/24のネットワーク*からだけNISの情報にアクセスさせたい場合は次のように記述します。

255.255.255.0 192.168.1.0

　また、特定のホストのみNISの情報にアクセスさせたいときは次のように記述します。

255.255.255.255 192.168.1.1

　ホストが特定されている場合は、以下のような記述も行えます。

host 192.168.1.1

　NISクライアントが複数存在する場合は、クライアントの数だけ列挙する形になります。

　ここに記述する情報は、IPv6で運用している場合も同様の形になります。「fe80」で始まるアドレスすべてからアクセスを許可する場合は、次のように記述します。

ffff:: fe80::

　特定のホストからのみアクセスを許可する場合は以下のように記述します。

ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

fec0::11:abba:ace0:ee:fb:1

　または次のように記述します。

host fec0::11:abba:ace0:ee:fb:1

　前記の設定は自動では更新されません。変更を行った後はNISデーモンの再起動が必要になります。

このページで出てきた専門用語

192.168.1.0/24のネットワーク

IPアドレスを192.168.1.0、ネットマスクを255.255.255.0と指定し、192.168.1.1〜192.168.1.254の範囲内のIPアドレスを持つホストのみが接続できるようにした状態。