CentOS 7 TCP Wrapper – 古いアクセス制御をどう読むか

CentOS 7 は既にサポートが終了しています。このページは新規構築を推奨するものではなく、過去環境の保守、移行前調査、設定の読み解きに使うためのレガシー Linux 手順です。新規構築では、現在サポートされている Linux ディストリビューションを利用してください。

CentOS 7 サーバー管理ガイドへ戻る

CentOS 7 の既存環境に残っている TCP Wrapper の設定をどう読むかを整理します。/etc/hosts.allow と /etc/hosts.deny による制御は古い方式ですが、過去のサーバーではアクセス制御の一部として使われていました。

現在の設計では、TCP Wrapper に頼るより、サービス側設定、firewalld、上位ファイアウォール、ネットワーク ACL で整理する方が自然です。ただし、既存環境では残骸が通信トラブルの原因になることがあります。

設定ファイルを確認する

cat /etc/hosts.allow
cat /etc/hosts.deny

対象サービスを確認する

TCP Wrapper はすべてのサービスに効くわけではありません。対象サービスが libwrap に対応しているかを確認します。

ldd /usr/sbin/sshd | grep libwrap

典型的な設定例

/etc/hosts.deny
ALL: ALL

/etc/hosts.allow
sshd: 10.0.0.0/255.255.255.0

ログを確認する

tail -n 100 /var/log/secure
journalctl -u sshd -n 100

確認するポイント

• 本当に対象サービスに TCP Wrapper が効いているか。
• hosts.deny の ALL: ALL が意図せず残っていないか。
• firewalld や上位 FW と制御箇所が二重化していないか。
• 新規環境で TCP Wrapper 前提の設計にしない。

hosts.allow / hosts.deny の読み方

TCP Wrapper は、/etc/hosts.allow で許可し、/etc/hosts.deny で拒否する古いアクセス制御です。既存環境では、設定した本人がいなくなった後も残っていることがあり、通信できない原因として見落とされがちです。

現在の設計へ置き換えるなら

TCP Wrapper は、現在のサーバー設計で中心に置く仕組みではありません。通信制御は、サービス側の listen、OS の firewall、上位ファイアウォール、ネットワーク ACL で整理する方が読みやすくなります。既存環境に TCP Wrapper が残っている場合は、いきなり削除するのではなく、同じ制御がどこで代替されているかを確認します。

• TCP Wrapper が効くサービスか確認する。
• 同じ制御が firewalld や上位 FW に存在するか確認する。
• DNS 逆引きに依存した制御を残していないか確認する。
• 移行時には TCP Wrapper 前提のアクセス制御を持ち込まない。

まとめ

TCP Wrapper は、CentOS 7 の古い既存環境を読むときにだけ意識すべきレガシーなアクセス制御です。現在の設計では主役にせず、通信制御をサービス、OS、ネットワークのどこで行っているかを整理し、移行時にはより明確な制御方式へ置き換えるのが自然です。

関連する記事

参考書籍

関連記事

CentOS 5 TCP Wrapper – hosts.allow / hosts.deny によるアクセス制御 CentOS 7 PPPoE で Bad TCP checksum が多発したときのメモ CentOS 7 自動アップデート設定 – yum-cron の扱い CentOS 7 GRUB 設定 – シリアルコンソールと eth 名固定 CentOS 7 Firewalld 無効化 – 既存環境での扱いと代替の考え方 CentOS 7 Zabbix エージェント設定 – passive / active と監視方式の使い分け CentOS 7 BIND 外部 DNS サーバー構築 – 公開ゾーンの基本設定 CentOS 7 Apache TLS 設定 – Let’s Encrypt で HTTPS 化する