手当たり次第に書くんだ

飽きっぽいのは本能

CentOS 7 TCP Wrapper – 古いアクセス制御をどう読むか

作者: si62512548投稿日: カテゴリー: CentOSタグ: , , , , CentOS 7 TCP Wrapper – 古いアクセス制御をどう読むか へのコメントはまだありません

CentOS 7 は既にサポートが終了しています。このページは新規構築を推奨するものではなく、過去環境の保守、移行前調査、設定の読み解きに使うためのレガシー Linux 手順です。新規構築では現行の Linux ディストリビューションを利用してください。

CentOS 7 サーバー構築・保守ガイドへ戻る

拒否設定

cp -a /etc/hosts.deny /etc/hosts.deny.bak

cat <<'EOF' > /etc/hosts.deny
ALL: ALL
EOF

許可設定

cp -a /etc/hosts.allow /etc/hosts.allow.bak

cat <<'EOF' > /etc/hosts.allow
sshd: 192.168.0.0/255.255.255.0
EOF

注意点

現在の観点

TCP Wrapper は古いアクセス制御の仕組みであり、現在の Firewall やセグメント制御の代替として考えるべきものではありません。既存環境を読む時は、対応サービスにだけ効く制御として位置づけます。

  • libwrap にリンクされているサービスか。
  • hosts.allowhosts.deny の順序。
  • Firewall や SSH 設定と役割が重複していないか。

特に注意したいのは、TCP Wrapper の設定が存在していても、それが実際に効いているとは限らない点です。サービスが libwrap に対応していなければ設定は無視されます。古いサーバーを引き継ぐ場合は、設定ファイルの有無ではなく、対象サービスに本当に効く制御なのかを確認する必要があります。

確認コマンド

ldd /usr/sbin/sshd | grep libwrap
cat /etc/hosts.allow
cat /etc/hosts.deny

この設定を変更する場合は、変更前の状態、変更理由、変更後の確認結果を残しておくと、後から移行や障害調査を行う時に判断しやすくなります。

CentOS 7 TCP Wrapper – 古いアクセス制御をどう読むか

関連記事

CentOS 5 TCP Wrapper – hosts.allow / hosts.deny によるアクセス制御 CentOS 7 PPPoE で Bad TCP checksum が多発したときのメモ CentOS 7 Cacti 監視サーバー構築 – リソースグラフ監視の基本 CentOS 7 構成図のサンプル – ネットワークと仮想化基盤の整理 CentOS 7 SELinux 無効化 – 既存環境での扱いと注意点 CentOS 7 ネットワーク設定 – network サービスと ifcfg の既存運用 CentOS 7 LDAP データ登録 – base / group / user の LDIF 例 CentOS 7 Apache TLS 設定 – 自己署名証明書で HTTPS 化する

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

トップへ戻る