読者です 読者をやめる 読者になる 読者になる

tcp_wrappersのちょっとした話

tcp_wrappers、言わずと知れた「/etc/hosts.deny」「/etc/hosts.allow」を使った
ネットワークサービスのアクセス制御です。

大抵、

  • 「/etc/hosts.deny」に「ALL:ALL」
  • 「/etc/hosts.allow」に「許可したいデーモン:許可したいネットワーク」

とするかと。

この場合、使うデーモンを許可しておかないと、アクセスできなくなることに。
inetdやxinetd経由で起動している場合は意識するのですが、
スタンドアロンで動かしているデーモンは忘れることも。

怪しいと思ったら、lddコマンドで調べてみるといいと思います。
lddコマンドを使うと、使用している共有ライブラリを調べることができます。
「libwrap.so」が含まれている場合はデーモン自身がtcp_wrappersを使うようになっているので、
「/etc/hosts.allow」に書いてやる必要があります。

下はSendmailの場合。

# ldd /usr/sbin/sendmail
        linux-gate.so.1 =>  (0x003f9000)
        libssl.so.6 => /lib/libssl.so.6 (0x004fa000)
        libcrypto.so.6 => /lib/libcrypto.so.6 (0x00110000)
        libdb-4.3.so => /lib/libdb-4.3.so (0x00251000)
        libresolv.so.2 => /lib/libresolv.so.2 (0x007bb000)
        libnsl.so.1 => /lib/libnsl.so.1 (0x00a42000)
        libwrap.so.0 => /lib/libwrap.so.0 (0x00ede000)
        libhesiod.so.0 => /usr/lib/libhesiod.so.0 (0x00349000)
        libcrypt.so.1 => /lib/libcrypt.so.1 (0x0034d000)
        libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x0037f000)
        libldap-2.3.so.0 => /usr/lib/libldap-2.3.so.0 (0x005f4000)
        liblber-2.3.so.0 => /usr/lib/liblber-2.3.so.0 (0x00398000)
        libc.so.6 => /lib/libc.so.6 (0x0062e000)
        libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x00ddc000)
        libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x00858000)
        libcom_err.so.2 => /lib/libcom_err.so.2 (0x00a00000)
        libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0x003fa000)
        libdl.so.2 => /lib/libdl.so.2 (0x003a6000)
        libz.so.1 => /usr/lib/libz.so.1 (0x003ab000)
        libpthread.so.0 => /lib/libpthread.so.0 (0x00952000)
        /lib/ld-linux.so.2 (0x003c6000)
        libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0x003e3000)
        libkeyutils.so.1 => /lib/libkeyutils.so.1 (0x003be000)
        libselinux.so.1 => /lib/libselinux.so.1 (0x00420000)
        libsepol.so.1 => /lib/libsepol.so.1 (0x00438000)

OpenSSHなんかも。

# ldd /usr/sbin/sshd
        linux-gate.so.1 =>  (0x00d74000)
        libwrap.so.0 => /lib/libwrap.so.0 (0x00110000)
        libpam.so.0 => /lib/libpam.so.0 (0x00d61000)
        libdl.so.2 => /lib/libdl.so.2 (0x00713000)
        libselinux.so.1 => /lib/libselinux.so.1 (0x00a3e000)
        libaudit.so.0 => /lib/libaudit.so.0 (0x00d3a000)
        libfipscheck.so.1 => /usr/lib/libfipscheck.so.1 (0x00bd6000)
        libresolv.so.2 => /lib/libresolv.so.2 (0x005e5000)
        libcrypto.so.6 => /lib/libcrypto.so.6 (0x00799000)
        libutil.so.1 => /lib/libutil.so.1 (0x00cfe000)
        libz.so.1 => /usr/lib/libz.so.1 (0x006e8000)
        libnsl.so.1 => /lib/libnsl.so.1 (0x00118000)
        libcrypt.so.1 => /lib/libcrypt.so.1 (0x0044e000)
        libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x00131000)
        libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x00517000)
        libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0x00622000)
        libcom_err.so.2 => /lib/libcom_err.so.2 (0x00f98000)
        libnss3.so => /usr/lib/libnss3.so (0x0029f000)
        libc.so.6 => /lib/libc.so.6 (0x008da000)
        /lib/ld-linux.so.2 (0x00dd2000)
        libsepol.so.1 => /lib/libsepol.so.1 (0x003d7000)
        libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0x0015f000)
        libkeyutils.so.1 => /lib/libkeyutils.so.1 (0x00cee000)
        libnssutil3.so => /usr/lib/libnssutil3.so (0x00168000)
        libplc4.so => /usr/lib/libplc4.so (0x00c1b000)
        libplds4.so => /usr/lib/libplds4.so (0x00181000)
        libnspr4.so => /usr/lib/libnspr4.so (0x00b3a000)
        libpthread.so.0 => /lib/libpthread.so.0 (0x00184000)


「libwrap.so」が含まれていたら、後は「/etc/hosts.allow」に書いてやるだけ。


今日はこんなところで。