[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:04073] Re: NFS



森岡です.

In article <37F4D531186.C78FT_ARAI@po.interlink.or.jp>
t_arai@interlink.or.jp writes:

>> hosts.denyを下記のように設定すると
>> 今度はFTPとtelnetが繋がらなくなりました??
>> 
>> --------hosts.deny----------
>> #
>> # portmap: ALL
>> ALL : ALL
>> # End of hosts.deny.

そりゃそうでしょう.

まず, hosts.allow と hosts.deny がどのように解釈されるのかを理解
して下さい.
hosts_access 機能を使用するプログラム (tcpd や nfs-server 等) は
まず /etc/hosts.allow を読んで, そこに設定されていれば, アクセス
を許可します. 次に /etc/hosts.deny を読んで, そこに設定されてい
れば, アクセスを拒否します. 最後にどちらにも記載が無ければ, アク
セスを許可します.
このようになっているので,
  1) hosts.deny が空であれば, 全てのアクセスが許可されます.
  2) hosts.deny に ALL : ALL と設定すると, hosts.allow に設定さ
    れたものだけが許可され, 残りは全て拒否されます.

あなたの hosts.deny の設定

>> portmap: ALL

は, portmap のみを拒否し, 他の全てのアクセスを許可しています.
一般にこれは望ましくありません.

また, hosts.allow と hosts.deny の両方を使うと, 設定が判りにくく
なる事と, 「最初に全てを禁止して, 必要なもののみを許可すべし」と
いうセキュリティの王道に違反する事になりますから, 特に理由が無け
れば hosts.deny は ALL : ALL と「原則禁止」にして, hosts.allow
のみで設定する事が望ましいと思います.

telnet や FTP は tcpd 経由で動作するように設定されているので,
hosts.allow に設定が必要になります.
では具体的に telnet や FTP を許可するにはどうしたら良いかというと,

in.telnetd : 192.168.0.0/255.255.255.0
wu.ftpd : 192.168.0.0/255.255.255.0

といった設定を hosts.allow に追加して下さい. ただし, 上の設定で,
":" の右側に書くべき名前はディストリビューションによって異なり
ます. あなたの /etc/inetd.conf を読んで, ftp や telnet で始まる
行の "/usr/sbin/tcpd" の次の欄の名前を指定して下さい.
FTP の例で言えば,

ftp     stream  tcp     nowait  root    /usr/sbin/tcpd  wu.ftpd -l -i -a
                                            ここです → ~~~~~~~

いちいち全てのサービスを記述するのが面倒なら, hosts.allow を

ALL : 192.168.0.0/255.255.255.0     

としておけば, 全てのサービスが許可されます.

ちなみに, 192.168.0.0/255.255.255.0 だけではなく,
127.0.0.0/255.0.0.0 192.168.0.0/255.255.255.0 と指定しておか
ないと, 自ホストからのアクセスまで拒否されてしまうのでご注意
下さい.

**************************************************
* 森岡和才 - メールアドレスにエイリアス付けました*
* Kazutoshi Morioka <k-morioka@pop07.odn.ne.jp>  *
* 福岡県遠賀郡 http://k-pup.zoma.co.jp/~morioka/ *
**************************************************

Follow-Ups
[plamo:04075] Re: NFS, arai tadashi
References
[plamo:04069] Re: NFS, arai tadashi

[検索ページ] [メール一覧]
Plamo ML 公開システム