[plamo:18425] Re: TCPWrapperでnamedの制御

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:18425] Re: TCPWrapperでnamedの制御

From:Shun-ichi TAHARA (田原俊一)

Date:Sun, 20 Apr 2003 11:44:12 +0900 (JST)

Subject: [plamo:18425] Re: TCPWrapperでnamedの制御
From: Shun-ichi TAHARA (田原俊一) <jado@xxxxxxxxxxxxxxx>
Date: Sun, 20 Apr 2003 11:45:55 +0900 (JST)

From: naomijj@hi-ho.ne.jp
Message-Id: <JO20030420105711.5926687@hi-ho.ne.jp>

> やはり、named.confのところで行うのが、一般的なやり方だったのですか。

です。ちなみに、

> > DNS サーバは named のことだと思います。named はアクセス制限などの
> > 機能を内在しているので期待されている使用方法は inetd 経由では無い
> > と思います。

というのもなんか変(namedがアクセス制限機能を持っていることとinetd経由
ではないことは無関係)です。

# 例: Samba は自前のアクセス制限機能を持ってますが、設定方法によっては
#     TCP wrapper でも絞れます

inetd ってのは、TCPのセッションを標準入出力に繋いでくれるものですので、
inetd 経由で起動できるのは、そのような起動方法に対応している(標準入出
力を使ってくれる)サーバに限られます。

UDPなプロトコルでも inetd から呼べますが、これの仕掛けがどうなってるの
かは、不勉強にてわかりません (__)。

TCP wrapper は、inet.conf の 6番目のエントリに /usr/sbin/tcpd と設定し
ているときに機能します。ようは、tcpd ってのが TCP wrapper の正体で、こ
れが /etc/hosts.{deny,allow} をチェックしてから、実際のデーモン
(inetd.conf の 7番目のエントリ = tcpd の argv[0])を exec() する仕掛け
になっているわけです。

> > named.8 に
> >   -f     Run the server in the foreground (i.e. do not daemonize).
> > と言う option があるのでこのフラグを付けると inetd.conf に指定して
> > 使用できるかも知れません。

というわけで、foreground で動くときに inetd から使えるかというと、標準
入出力の使い方の問題がありますので、あまり期待していません。

おそらく、単に標準出力をクローズしないので、ここにログが出てくる、程度
のものじゃないかなぁと思っているのですが、誰か実験してみます?

> > > 当然、telnet,ftp,portmapなどのデフォルトで立ち上がっている
> > > デーモンは停止させています。
> > > portmap＝止めて良いかうまく把握していない。
> 
> > portmap を止めると /etc/hosts.allow /etc/hosts.deny での制御が出来
> > なくなるのではありませんか （PORTMAP(8)）

わー、違います違います。上にも書きましたが、hosts.{allow,deny} は、
tcpd の管轄ですので、inetd.conf をいじらない限りは効くはずです。

portmap ってのは、rpc portmapper のことですので、RPC 系のサービスを使
わない限りは止めても大丈夫です。実際のところでは、NFS サーバを上げない
限りは、多分止めても大丈夫。

もし止めてまずかったら、どこかのログに RPC 関係で portmapper がどうの
こうのというエラーが出てるはずなので、すぐにわかります。

> これも NIS(Network Information Service)を使う必要性が無い為、
> (DNS が同様のサービスをしています)、portmap 自体不必要です。

そか、NIS も portmap 使ってましたっけ。

# NIS とは、/etc/passwd とか /etc/hosts とかを共有するサービス、とでも
# 思って戴ければいいと思います

「DNS が NIS と同様のサービスをしてる」ってのは、SunOS4.x 全盛な頃の名
残ですね。今だと、「LDAP 等の DB 系認証サービスが NIS と同様のサービス
をしている」と言った方がしっくり来るような気もいたします。

で、

> でしたので、おこなってみるとしても、もう少し知識を付けてからにします。
> 公開した際に、迷惑をかけたくありませんので。DNSとして
> 
> （ハッカー対策が大変だぞ。レンタルサーバーで充分。）と、心配してくれる
> 知人ばかりですが、一度は、公開してみたいと思います。
> 心配してもらっている内容は、もっともです。

このへんを見てると、確かにちょっと心配ですね。

> 構築する、NetWorkに対して、どう言った設定が最適か
> まだまだ、これから経験を積んでいかないと、いけないと思っています。

とりあえず、どのようなネットワークを作ってるのかを投げてもらえると、も
うちょっと実際的なアドバイスが得られると思います。

・どこにどう繋がっていて
・どの範囲のホスト情報をどの範囲に見せるためのネームサーバなのか

あたりの情報がわかれば大丈夫だと思います。
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
田原 俊一   jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
                                  http://flowernet.gr.jp/jado/
FingerPrint:  16 9E 70 3B 05 86 5D 08  B8 4C 47 3A E7 E9 8E D9
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

Follow-Ups
: [plamo:18426] Re: TCPWrapperでnamedの制御, naomijj; [plamo:18427] Re: TCP Wrapperでnamedの制御networ構成です。, naomijj; [plamo:18428] Re: TCP Wrapperでnamedの制御プライマリの設定, naomijj; [plamo:18429] Re: TCPWrapperでnamedの制御, naomijj; [plamo:18430] Re: TCPWrapperでnamedの制御, 早間義博

References
: [plamo:18418] Re: TCPWrapperでnamedの制御, 早間義博; [plamo:18423] Re: TCPWrapperでnamedの制御, naomijj

Prev by Date: [plamo:18424] Re: 初歩的？
Next by Date: [plamo:18426] Re: TCPWrapperでnamedの制御
Previous by thread: [plamo:18423] Re: TCPWrapperでnamedの制御
Next by thread: [plamo:18426] Re: TCPWrapperでnamedの制御
Index(es):
- Date
- Thread

[検索ページ] [メール一覧]
Plamo ML 公開システム