|
Top ドメイン名入門 入門ガイド 管理ガイド基礎 [Email] [FTP] [Web] [Ports] [Shell] [User] [iManager] [CPX] [Webmin] 管理上級編 安全性を高める サービスの管理 daily run output v2カスタマイズ カスタマイズと システムファイル Perl Perl5 Module Perl5 Java |
| v3 Top |
v3 Start |
v3 |
v3 Ftp |
v3 Web |
v3 Ports |
v3 Shell |
v3 User |
v3 Perl |
v3 Java |
v3 System |
v3 CPX |
提供サービスを管理する
本ページは 2008-04-01 更新されました
inetd のようなプロセスで起動されている、telnet, ssh, ftp, smtp, pop, imap 等の全てのサービスの作動を管理することができます。
外部からの接続が上記のサービスに対して発生した場合、システムはサービスがどの様に扱われるべきかが記載されている /etc/hosts.allow と /etc/mail/access.db 設定ファイルを参照します。
ハッカーや侵入のための情報を収集している IP に対抗してサーバーのセキュリティを高めるために、上記の設定ファイルを編集してください。
/etc/hosts.allow ファイルで、安全性を高めたいサービスに付いての設定が行えます。
/etc/hosts.allow 記述ルール
1 行に 1 指定を記述します。指定は以下のように「サービス名」「ホスト名」「オプション」の順に記述し、各項をコロンで区切ります。
sshd : 192.168.1.1 : deny
サーバーに対してサービス要求があるとシステムは /etc/hosts.allow ファイルを参照し、当該サービスに付いての記述を探します。
そして、最初に該当した記述に従ってサービス提供を行ないます。
そのため、/etc/hosts.allow ファイルの記載順序は非常に大切です。
例えば以下のように記載されていた場合は、下の行で記載されている指定は意味をなしません。
ALL : ALL : allow
sshd : 192.168.1.1 : deny
ホスト名の記述には、ホスト名、ドメイン名、IP アドレスが使えます。
IP アドレスはサブネットマスクを使った範囲指定もできます。
sshd : black.attack.com : deny
sshd : attack.com : deny
sshd : 192.168.1.1 : deny
sshd : 191.168.1.1/255.255.255.192 : deny
IP アドレスのサブネットマスクについては以下を参照ください。
IPv4のIPアドレスの表記法
行頭がシャープで始まっている行は、コメントとみなされます。
# hosts.allow access control file for "tcp wrapped" applications.
# $FreeBSD: src/etc/hosts.allow,v 1.8.2.7 2002/04/17 19:44:22 dougb Exp $
/etc/hosts.allow 記述例
特定の IP アドレスからのメール受信をブロックする場合は、以下のように記述します。
sendmail : 192.168.1.1 : deny
特定のIP アドレスからの ssh アクセスをブロックする場合は、以下のように記述します。
sshd : 192.168.1.1 : deny
特定の IP アドレスからの sendmail 利用以外の全ての sendmail 利用をブロックする場合は、以下のように記述します。
sendmail : 192.168.2.2 : allow
sendmail : ALL : deny
メッセージを渡す場合は以下のように記述します。
sendmail : ALL : twist /bin/echo "450 account busy, please try/ later."
Telnet のアクセスにかわって SSH だけを提供する場合は、以下のように記述します。
telnetd : ALL : deny
特定のIP アドレスからの FTP 以外の全ての FTP アクセスをブロックする場合は以下のように記述します。
proftpd : 192.168.2.2 : allow
proftpd : 192.168.2.3 : allow
proftpd : ALL : deny
/etc/hosts.allow お勧めの記述例
ポートスキャンという方法で自動生成されたパスワードを使って root や test アカウント名でのサーバーへのアタックが多発しています。
パスワードの強化と共に /etc/hosts.allow ファイルでのセキュリティー強化をお勧めします。
サーバー管理者以外は SSH アクセスができないようにします。
サーバー管理者が固定 IP アドレスを使っている場合はもちろん、自動的に IP アドレスが振られる場合でもサブネットマスクや、ドメイン名を使うことでこうした設定が可能です。
固定 IP アドレスを使っていない場合は、サブネットマスクやドメイン名はご利用の ISP に確認ください。
以下の様な記述を /etc/hosts.allow ファイルの最初の指定行に記述してください。
デフォルトでは ALL : ALL : allow が最初の指定行になっています。
必ず、この行よりも上に記述してください。
sshd : 220.220.220.220/255.255.255.240 : allow
sshd : ALL : deny
ALL : ALL : allow
/etc/hosts.allow のマニュアルページ
以下のコマンドで /etc/hosts.allow のマニュアルページが読めます。
# man hosts_options
/etc/mail/access.db による設定
/etc/mail/access.db ファイルでは Sendmail に特定したサービス設定ができます。
詳細は以下ページを参照ください。
access ファイルで Spam 防止
株式会社サイバービジョンホスティング提供サービス一覧
再販売用レンタルサーバーのSPEEDEX | VPS(仮想専用サーバー) | 共用サーバー | 独自ドメイン取得・運用 | SSLサーバー証明書 | ワイルドカードサーバー証明書 | SEO | Google Apps(TM) | クリエイティブワークの検索エンジン