2.6. TCP Wrapper および xinetd

ネットワークサービスへのアクセスを制御することは、サーバー管理者向けの最も重要なセキュリティータスクの 1 つです。Red Hat Enterprise Linux は、この目的でいくつかのツールを提供しています。たとえば、iptablesベースのファイアウォールは、カーネルのネットワークスタック内の未対応ネットワークパケットをフィルタリングします。ネットワークサービスを使用するネットワークサービスでは、TCP Wrapper は、どのホストが「ラップされた」ネットワークサービスに接続できないホストを定義して保護の層を追加します。このようなラップされたネットワークサービスの 1 つが xinetdスーパーサーバー です。このサービスは、ネットワークサービスのサブセットへの接続を制御し、さらにアクセス制御を改良するため、スーパーサーバーと呼ばれます。
図2.4「ネットワークサービスへのアクセス制御」 は、これらのツールがどのように連携してネットワークサービスを保護する方法についての基本的な図です。

図2.4 ネットワークサービスへのアクセス制御

ネットワークサービスへのアクセス制御
でファイアウォールを使用する方法は iptables、を参照してください 「iptables」

2.6.1. TCP Wrapper

TCP Wrapper パッケージ(tcp_wrappers および tcp_wrappers-libs)はデフォルトでインストールされ、ネットワークサービスにホストベースのアクセス制御を提供します。パッケージ内で最も重要なコンポーネントは、/lib/libwrap.so または /lib64/libwrap.so ライブラリーです。通常、TCP-wrapped サービスは、libwrap.so ライブラリーに対してコンパイルされたサービスです。
TCP-wrapped サービスへの接続を試みる/etc/hosts.allow と、サービスは最初にホストのアクセスファイルを参照 /etc/hosts.denyし、クライアントが接続できるかどうかを判断します。ほとんどの場合、syslog デーモン(syslogd)を使用して要求するクライアントと要求されたサービスの名前を /var/log/secure またはに書き込み /var/log/messagesます。
クライアントが接続できる場合は、要求されたサービスへの接続の TCP Wrappers リリース制御がクライアントとサーバー間の通信には含まれません。
TCP Wrapper はアクセス制御とログに加えて、要求されたネットワークサービスへの接続制御を拒否または解放する前に、クライアントと対話するコマンドを実行します。
TCP Wrapper は、サーバー管理者のセキュリティーツールに有用な追加機能であるため、Red Hat Enterprise Linux 内のほとんどのネットワークサービスは libwrap.so ライブラリーにリンクされます。このようなアプリケーションには、/usr/sbin/sshd /usr/sbin/sendmail、および /usr/sbin/xinetd が含まれます。
注記
ネットワークサービスバイナリーがリンクされているかどうかを確認するには libwrap.so、root ユーザーとして以下のコマンドを実行します。
ldd <binary-name> | grep libwrap
<binary-name> をネットワークサービスバイナリーの名前に置き換えます。コマンドが出力なしでプロンプトに直接返された場合、ネットワークサービスはにリンクされ ません libwrap.so
以下の例は、/usr/sbin/sshd がリンクされていることを libwrap.so示しています。
~]# ldd /usr/sbin/sshd | grep libwrap
        libwrap.so.0 => /lib/libwrap.so.0 (0x00655000)

2.6.1.1. TCP Wrapper の利点

TCP Wrapper は、その他のネットワークサービス制御技術と比較して、以下の利点を提供します。
  • クライアントとラップされたネットワークサービスへの解析 - 接続クライアントとラップされたネットワークサービスの両方 が、TCP Wrapper が使用されていることを認識しません。禁止されているクライアントからの接続に失敗し、正当なユーザーはログを記録し、要求されたサービスに接続します。
  • 複数のプロトコルの集中管理 (TCP Wrapper)は、保護するネットワークサービスとは別に動作するため、多くのサーバーアプリケーションは共通のアクセス制御設定ファイルセットを共有できるため、管理が簡単になります。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。