[plamo:01926] Re: Can not FTP&TELNET.

[KOJIMA Mitsuhiro]

このヘンのバランスはかなり難しいのですが、、

From: masaki takeda <goblin@tko.fitweb.or.jp>
Subject: [plamo:01923] Re: Can not FTP&TELNET.
Date: Sat, 20 Mar 1999 20:41:57 +0900
Message-ID: <36F38956138.A2C8GOBLIN@smtp.tko.fitweb.or.jp>


> 私はてっきりTCP wrapperだと思っていました。

です。

> PlamoはrootでもTELNETできるので楽です。
> 
> Vineはできなくしてあります。

これは、多分 /etc/securetty の設定でしょう。

> セキュリティーに気をつける必要のある
> 人はそれなりに知識があると思いますので
> 自分なりのポリシーでそれを設定すると思いますし、
> 初心者はセキュリティーが邪魔をして
> 分からなくなってしまうことが多いと思うからです。

確かに私自身も、インストールしたらまず /etc/hosts.{allow,deny} をコメ
ントアウトするのですが(苦笑)、最近は、あまりセキュリティに関する知識の
無い人でも OCN エコノミーとかで専用線接続する世の中ですから、多少安全
側に振っておく方がいいだろう、と考えています。

個人的には、/etc/hosts.{allow,deny} で接続可能なホストを限定しておけば、
かなりの確率で外部からの侵入は防止できるんじゃないかと思っているので、
とりあえずここでハマって、このファイルの存在と意味に気がついてくれれば
うれしいかな、と思ってます。

一方、

From: terada@catnet.ne.jp
Subject: [plamo:01924] sendmail daemon(Re: Can not FTP&TELNET.)
Date: Sat, 20 Mar 1999 21:28:00 +0900
Message-ID: <19990320212422O.terada@catnet.ne.jp>

> 例えば、sendmail等がデフォルトで立ち上がっている必要が
> あるのかどうかは私は疑問です。

> 	＃sendmailの設定はとても複雑で
> 	＃正しく設定をしなければインターネットを利用する
> 	＃全ての方に迷惑をかけてしまう事があるからです。
> 	＃＃mail の不正経由等

sendmail の方は、デーモンとして動いていても、それほど致命的な問題はな
いと考えています。

確かに sendmail.cf の設定は多少複雑ですが、たいていの環境ではデフォル
トのまま使えるし、その状態でリレー拒否など、かなり安全側に振るようになっ
てるので、それほど問題になることは無いと思っています。

また、mew + IM でメールをやりとりする限りはローカルの sendmail は不要
ですが、fetchmail でメールを取ってきてローカルのスプールに入れる時や、
ログやエラーをメールで送ることを想定しているプログラムがあることを考え
ると、sendmail は動いている方がうれしいと思います。

> TELNET、FTP等はセキュリティに注意を払わなければ
> 迷惑がかかるのは自分(そのマシン)だけですが、sendmail等他人にまで
> 迷惑を掛けてしまう恐れがあるのは、注意を払ったほうがいいのでは
> ないかと思います。

私は、踏台に使われる可能性を考えれば、むしろ TELNET の方に注意が必要だ
と考えています。そういう意味で、「/etc/hosts.{allow,deny} で、外部から
の接続を制限できるのだ」、ということを気づいてもらいたいと思って、あえ
て今回のような設定にしてみました。

-------
こじま