Solaris 10でTelnetやFTPの接続制限をかける:UNIX処方箋
現場ですぐに役立つ知識を欲するあなたに贈る珠玉のTips集。今回は、Solaris 10で最初から使用可能となっているTCP Wrapperを使って接続ホストの制限設定を行ってみましょう。
Solaris 10で、TelnetやFTPの接続制限をかけたいのですが、TCP Wrapperをコンパイルしないといけないのでしょうか?
Solaris 10では、OSの機能としてTCP Wrapperが最初から使用可能となっています。そのため、新しくTCP WrapperをコンパイルしなくてもTelnetやFTPなどのサービスの接続制限を行えます。実際にSolaris 10でTelnetの接続ホストの制限設定を行ってみましょう。
TCP Wrapperの有効化
まず、「inetadm -p」コマンドで現状のTCP Wrapperの状態を確認します。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
上記例では、tcp_wappersの値がFALSEとなっており、TCP Wrapperは機能していません。TCP Wrapperを有効化するには、inetadmコマンドを次のように実行します。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
前記コマンドを実行した後に再度「inetadm -p」を実行して確認します。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
すると、tcp_wrappersの値がFALSEからTRUEに変化しているのが分かります。このように、tcp_wrappersの値がTRUEになった場合に、TCP Wrapperの機能が有効化されます。
/etc/hosts.allow、/etc/hosts.denyを作成
inetadmによるTCP Wrapperの有効化後、従来のTCP Wrapperと同じように/etcにhosts.allowおよびhosts.denyを作成し、設定を行います。
例えば、Telnetのみ、172.17.0.0のネットワークから許可したい場合は次のように設定します。
</etc/hosts.allow>
in.telnetd: 172.17.0.0/255.255.0.0 127.0.0.1
</etc/hosts.deny>
ALL: ALL
hosts.allow、hosts.denyを編集したときから設定が有効になるため、inetdを再起動する必要はありません。実際に、172.17.0.0のネットワークにあるホストからtelnetを実行すると以下のようになります。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
ここで、172.17.0.0のネットワーク以外のホストからtelnetを実行すると以下のようになり、Telnetできなくなることが分かります。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
また、アクセスできない場合、/var/log/messagesファイルに以下のようなlogを残しますので、どこからアクセスしてきたのか参照できます。
Jul 16 10:35:47 test in.telnetd[2101]: [ID 808958 daemon.warning]
refused connect from 172.30.40.12 (access denied)
同様の手順で、Telnet以外にもFTPやrloginなどもアクセス制限をかけられます。
UNIX関連の悩みなら、「UNIX処方箋」にどうぞ
関連記事
- PerlのDate::Manipモジュールを利用し、日付の計算を行う
- Solarisのrtcコマンドとは?
- Solaris用SCSIカードのSCSIイニシエータIDを変更する
- BINDで連番レコードを生成する
- AIXを管理する上でのポイント
- Solaris 9で、Qpopperのログ出力先を指定する
- sudoコマンドを利用し、一般ユーザーにroot権限を部分的に与える
- SolairsでISOイメージをマウントする
- Solarisのリリース番号とは?
- Solaris 10の最小特権機能の利用方法
- RAID 1の再同期の速度を速くする
- Solaris 9上で、TCPを用いて接続記録やアクセス制御を行う
- Solarisマシンにおける/tmpのファイルシステム
- Solaris 9におけるCDの自動マウント
- Basic認証を用いたアクセス制御
- quotaコマンドでファイルシステムの容量制限を行う
- 電源投入時にdiagが実行される設定の解除(ALOMの設定)
- mdbコマンドでSCSIのTagged Command Queueing設定を確認
- tarアーカイブ内から、特定キーワードを含むファイルを指定してリストアする
- /etc/systemファイルの編集に失敗してマシンが起動しない場合の対処法
- Perlを用いた自動FTP転送
- iノード数の変更方法
- Solaris 8以前と9以降のログローテーション設定の違い
- HTTPSサーバを構築する
- SolarisからIPv6ルーターのようにRAを配信する
- Solstice Backup 7.1によるディスクバックアップ
- シェルスクリプトによる特定ファイルのバックアップ
- 9個以上のディスクスライス作成
- bashが起動時に実行するファイル
- acctcomコマンドによる終了ステータスの確認
- 電源制御キーの役割と無効化
- 「load average」によるCPU負荷の確認
- FTP利用でのファイル/ディレクトリの属性変更
- UFS loggingによるエラーと復旧方法
- ALOMにおけるSC用ユーザーの確認とパスワード変更
- PostgreSQLのテーブルデータをファイルへコピーする方法
- sotrussやapptraceによる実行コマンドのトレース
- TCP遅延肯定応答タイマーのタイムアウト値の変更
- 複数のマシンで効率的にシャットダウンする方法
- WWW::MechanizeモジュールによるWebアクセスの自動化
- IPv6アドレスの自動生成による不具合解消法
- キャッシュファイルを利用したNFSマウント
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.