[plamo:18423] Re: TCPWrapperでnamedの制御

[naomijj]

早間義博 <yossi@yedo.src.co.jp>さん：
> おはようございます、早間です。
おはようございます。
昨日今日と、雨です。田植え前には、恵みの雨ですね。

> 特定の相手（セカンダリ DNS）以外は UDP 53 のみアクセスを許可すれば
> 良いのではありませんか。
ルーター側で、上記のように設定すればよいと言うことですね。
まだルータの設定を、行っていませんが、参考にさせていただきます。

> DNS サーバは named のことだと思います。named はアクセス制限などの
> 機能を内在しているので期待されている使用方法は inetd 経由では無い
> と思います。
>     allow-query
>     allow-transfer
>     allow-update
> などでは目的を達成出来ないのでしょうか
やはり、named.confのところで行うのが、一般的なやり方だったのですか。
この辺りの部分、もう少し勉強したいと思います。
いまは、参考にした本の通り
allow-update { none; };
としています。
出来ましたら、参考に出来るURL,文献をご紹介いただければ幸いです。
まだまだ、探し方が下手なだけと思っています。

> named.8 に
>   -f     Run the server in the foreground (i.e. do not daemonize).
> と言う option があるのでこのフラグを付けると inetd.conf に指定して
> 使用できるかも知れません。
こちらの方法は、一般的でない方法と思いました。
まだ、冒険が出来るほども知識がありませんので、参考にさせていただきます。
inetdで、出来ないのかなと考えていたので、
自分の考えが、普通ではない方向で考えていました。と言う結果でしょう。

> > 当然、telnet,ftp,portmapなどのデフォルトで立ち上がっている
> > デーモンは停止させています。
> > portmap＝止めて良いかうまく把握していない。

> portmap を止めると /etc/hosts.allow /etc/hosts.deny での制御が出来
> なくなるのではありませんか （PORTMAP(8)）
あ！、そうですか。
すぐに、rc.inet2を手直しします。

参考にしたのは、
あるURLより

 普通にインストールしたのであれば、portmap が動作しています。
 確認したい場合は、以下のコマンドを打ってみて下さい。
# ps ax | grep portmap
90 ?? Is 0:00.00 /usr/sbin/portmap
これも NIS(Network Information Service)を使う必要性が無い為、
(DNS が同様のサービスをしています)、portmap 自体不必要です。

の部分からですが、今一、意味を理解できていませんでした。

> > 一応、Linuxセキュリティの本などでは、
> > named.confやzoneファイルに細工を施す例が載っています。
> 
> 言葉尻を捉えるつもりではありませんが「に細工を施す」と言う表現より、
> 「で機能を発現する」と言う感じで把握しています。
すみません。日本語が下手で。でも外国語が出来る訳ではありません。^^;


> DNS にアクセス出来ないとドメイン名が使えないので、DNS は無制限にア
> クセスを許可する必要があるように思うのですが、NTT の www.flets の
> 様に特定の世界だけで使用するのが目的なのでしょうか。
ご指摘通りだと思います。文書足らずですみません。
イメージとしては
named : ALL 
みたいなことが出来ないかなと思いました。
でも、
> named.8 に
>   -f     Run the server in the foreground (i.e. do not daemonize).
でしたので、おこなってみるとしても、もう少し知識を付けてからにします。
公開した際に、迷惑をかけたくありませんので。DNSとして

（ハッカー対策が大変だぞ。レンタルサーバーで充分。）と、心配してくれる
知人ばかりですが、一度は、公開してみたいと思います。
心配してもらっている内容は、もっともです。

構築する、NetWorkに対して、どう言った設定が最適か
まだまだ、これから経験を積んでいかないと、いけないと思っています。