PC をネットワークにつなぐ前に行なうべきことは、 フィルタをかけて「とりあえず、すべて不許可」という状態にすることです。
NetBSD の主要な daemon は全て libwrap.a [1] というライブラリを組み込んでいます。 これは 「許可するサービス」と「許可する IP アドレスの範囲」を制御できます。
設定ファイルは /etc/hosts.allow と /etc/hosts.deny の二つです。 前者が許可するルール、後者が拒否するルールです。 [2]
(1) とりあえず、すべて不許可にする(すべて閉じる)。
# echo ALL: ALL >> /etc/hosts.deny
(2) サービスごとに有効にしてゆく(フィルタを開けてゆく)。
# echo sshd: 10.129.0.0/255.255.0.0 >> /etc/hosts.allowフォーマットは「daemon 名: ネットワークアドレス」です。 昔ながらのネットマスク表記をすることに注意してください( こういうことがあるから CIDR 表記もネットマスク表記も両方を 授業でおしえてるんだよ)。
ネットマスクを書かない方が楽ちん。
# echo sshd: 10.129. >> /etc/hosts.allowこれは 10.129.x.y 全部という意味になります!
[1] | 旧名称は tcp_wrappers です。 作者は tcp_wrappers、SATAN そして Postfix で有名な Wieste Venema。 物理学者くずれ仲間?(w)。 |
[2] | 許可/拒否は、 「hosts.allow の中で△△だけ拒否」といった複雑な書き方もできるのですが、 特殊な書き方をすると間違えるので、 単純な使い方をしてください。 |
Copyright (C) 1993-2025 Ken'ichi Fukamachi mail:< fukachan at fml.org >