:

○inetd をバンバンしちゃいまつ。

sync シグナルを含む tcp パケット・・・・いわゆる、「接続要求パケット」 の選別をしまつ。inetd 単体だと、/etc/inetd.conf で使わないプロトコル プログラムのエントリを削ったり、追加したりで、「接続する・しない」の 設定しかなく、ある特定の接続先は OK って設定ができませんでした。

Solaris10 で標準実装された tcp_wrappers で接続元のチェックをすることに より、許可された特定の接続先なら接続できるよーになりまつ。

tcp_wrappers の使いどころは、 inet からキックされるプロトコル・プログラム なのでつが、 Standalone で常駐している sshd とかのプロトコル・プログラムも 接続制御可でつ。

Solaris9 では、ソースをダウンして Build しるしかありませんでしたが、 Solaris10 では、SMF で TRUE してあげればすぐに使えるやぅになりますよ。

○必要なファイル

2 つ必要です。/etc/hosts.allow と /etc/hosts.deny でつ。
OS をインストールしただけでは、作られないので、

• # touch /etc/hosts.allow
• # touch /etc/hosts.deny

とかしてファイルを作っておいてくらさい。
/etc/hosts.allow は接続許可するプロトコルプログラムと接続元を記述しまつ。
/etc/hosts.deny は接続禁止するプロトコルプログラムを接続元を記述しまつ。

基本的な設定ポリシーとしては、

• /etc/hosts.deny で全て禁止しておいて、
• /etc/hosts.allow で必要なとこだけ許可

っつーポリシーにしておくと、宜しいかと・・・。

○/etc/hosts.deny

全部禁止なので、書くのは 1 行ダケ。

で、オシマイ。

○/etc/hosts.allow

このファイルは必要に応じて。

で、オシマイ。プロトコルプログラムの名前は、インストールされた daemon のファイル名そのまんまっす。

○書き方はこれまでとおんなぢ。

一例として vsftpd をば。

/etc/inetd.conf の書き方はいままでとイッショ。
必要に応じて pop や imap なんかも加えて下さい。

/etc/inetd.conf を書き換えたら、マニフェストを update しないと イケマセン。

• # inetconv -f -i /etc/inetd.conf

とかしてくらさい。マニフェスト update したら、

あ、あと、 /etc/services も良きに計らっておいてくらさい。

○SMF 管理で TRUE しまつ。

すぐ終わりまつ。

• # inetadm -M tcp_wrappers=TRUE

で、おしまい。
-M option だと、全てのマニフェストに適用するってことになりまつので、 このコマンド一つで ftp とか、 rlogin とか telnet も tcp_wrapper の 影響を受けまつ。
ある、特定のマニフェストだけ TRUE したい場合わ、

• # inetadm -m ftp tcp_wrappers=TRUE

とかしてくらさい。option は小文字で、 -m ね。
tcp_wrappers の制御を受けたくなくなくなったときは、 FALSE を指定しませぅ。

• # inetadm -m ftp tcp_wrappers=FALSE

こんなかんぢだ。
設定を確認したい場合は、

• # inetadm -l ftp

すると、こんなメッセージがでるぞよ。

これで tcp_wrappers の制御が OK になっているハヅでつ。
動作確認してみてくらさい。

  

Copyright(c) ORATORIO-TANGRAM.com 2001-2007 All Rights Reserved.
Total: