Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.4. ネットワークアクセスのセキュリティー保護

4.4.1. TCP Wrapper および xinetd でのサービスのセキュリティー保護

TCP Wrapper は、サービスへのアクセスを拒否するよりも多くなります。本セクションでは、接続バナーの送信、特定のホストからの攻撃を警告し、ロギング機能を強化するために使用する方法を説明します。TCP Wrapper 機能および制御言語の詳細は、hosts_options(5) man ページを参照してください。サービスに適用できるオプションとして機能するフラグについては xinetd.conf(5) の man ページを参照してください。

4.4.1.1. TCP Wrapper および接続バナー

ユーザーがサービスに接続すると、適切なバナーを表示すると、システム管理者には適正であることを認識できる場合があります。また、ユーザーに提示されるシステムに関する情報を制御することもできます。サービスの TCP Wrapper バナーを実装するには、banner オプションを使用します
この例では、vsftpd 用のバナーを実装します。まず、バナーファイルを作成します。これは、システムのどこでも指定できますが、デーモンと同じ名前である必要があります。この例では、ファイルは /etc/banners/vsftpd と呼ばれ、以下の行が含まれます。
220-Hello, %c
220-All activity on ftp.example.com is logged.
220-Inappropriate use will result in your access privileges being removed.
%c トークンは、ユーザー名やホスト名、ユーザー名、IP アドレスなど、さまざまなクライアント情報を提供し、接続をより強調して接続を確立します。
このバナーを内向き接続に表示するには、以下の行を /etc/hosts.allow ファイルに追加します。
vsftpd : ALL : banners /etc/banners/

4.4.1.2. TCP Wrapper および Attack Warning

特定のホストまたはネットワークがサーバー攻撃を検知した場合、TCP Wrapper を使用して、produce ディレクティブを使用してそのホストまたはネットワークからの後続の攻撃を警告できます
この例では、206.182.68.0/24 ネットワークからのクラッカーがサーバーの攻撃を試行する際に検出されていると仮定しています。以下の行を /etc/hosts.deny ファイルに置き、そのネットワークからの接続試行を拒否します。また、特殊ファイルへの試行のログを記録します。
ALL : 206.182.68.0 : spawn /bin/echo `date` %c %d >> /var/log/intruder_alert
%d トークンは、攻撃者がアクセスしようとしているサービスの名前を提供します。
接続を許可してログに記録するには、生成されるディレクティブを / etc/hosts.allow ファイルに配置します。
注記
spawn ディレクティブは shell コマンドを実行するため、特定のクライアントがサーバーへの接続を試みる際に、管理者が通知したり、コマンドチェーンを実行する特別なスクリプトを作成することをお勧めします。

4.4.1.3. TCP Wrapper および Enhanced Logging

特定のタイプの接続が他のタイプよりも懸念されている場合は、Severity オプションを使用してそのサービスに対してログレベルを昇格できます
この例では、FTP サーバーのポート 23(Telnet ポート)への接続を試行するユーザーがクラッカーであると仮定します。これを示すには、デフォルトフラグ 、情報、および接続を拒否します。
これを行うには、以下の行を /etc/hosts.deny に配置します。
in.telnetd : ALL : severity emerg
これはデフォルトの authpriv ロギング機能を使用しますが、info のデフォルト値からより優先度を昇格し 、ログメッセージをコンソールに直接投稿します