Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
4.4. ネットワークアクセスのセキュリティー保護
4.4.1. TCP Wrapper および xinetd でのサービスのセキュリティー保護
TCP Wrapper は、サービスへのアクセスを拒否するよりもはるかに多くなります。本セクションでは、それらを使用して接続バナー、特定のホストからの攻撃の警告、およびロギング機能の拡張を行う方法を説明します。TCP Wrapper 機能および制御言語の詳細は、hosts_options(5) の man ページを参照してください。利用可能なフラグの xinetd.conf(5) の man ページを参照してください。このフラグは、サービスに適用できるオプションとして機能します。
4.4.1.1. TCP Wrapper および接続バナー
ユーザーがサービスに接続する場合は、適切なバナーを表示します。これにより、システム管理者にとっては、攻撃者が重要であることを認識させるのが良い方法になります。また、ユーザーに提示されるシステムに関する情報を制御することもできます。サービスの TCP Wrapper バナーを実装するには、
banner オプションを使用します。
この例では、vsftpd のバナーを実装します。まず、バナーファイルを作成します。システムの任意の場所に配置することができますが、デーモンと同じ名前を持つ必要があります。この例では、ファイルは
/etc/banners/vsftpd という名前で、以下の行を追加します。
220-Hello, %c 220-All activity on ftp.example.com is logged. 220-Inappropriate use will result in your access privileges being removed.
%c トークンは、ユーザー名やホスト名などのさまざまなクライアント情報、または接続をより強力にするためにユーザー名や IP アドレスなどのさまざまなクライアント情報を提供します。
このバナーを受信接続を表示するには、以下の行を
/etc/hosts.allow ファイルに追加します。
vsftpd : ALL : banners /etc/banners/
4.4.1.2. TCP Wrapper および attacks Warnings
特定のホストまたはネットワークがサーバーの攻撃を検出した場合は、TCP Wrapper を使用して、そのホストまたはネットワークから後続の攻撃について管理者が警告します。spawn
この例では、206.182.68.0/24 ネットワークからのクラッカーが、サーバーの攻撃を試みることが検出されていることを前提としています。以下の行を
/etc/hosts.deny ファイルに置き、そのネットワークから接続試行を拒否し、特別なファイルの試行をログに記録します。
ALL : 206.182.68.0 : spawn /bin/echo `date` %c %d >> /var/log/intruder_alert
%d トークンは、攻撃者がアクセスしようとしているサービスの名前を提供します。
接続を許可してログを記録するには、spawn ディレクティブを
/etc/hosts.allow ファイルに配置します。
注記
spawn ディレクティブはシェルコマンドを実行するため、特別なスクリプトを作成し、特定のクライアントがサーバーへの接続を試みる際に、管理者がコマンドチェーンを実行することが推奨されます。
4.4.1.3. TCP Wrapper および Enhanced Logging
特定の種類の接続が他のタイプよりも懸念される場合は、severity オプションを使用してそのサービスに対してログレベルを昇格できます。
この例では、FTP サーバーのポート 23(Telnet ポート)への接続を試みるユーザーはクラッカーであると仮定しています。これを指定するには、デフォルトのフラグ info ではなくログファイルに emerg フラグを配置し、接続を拒否します。
これを行うには、
/etc/hosts.deny に以下の行を追加します。
in.telnetd : ALL : severity emerg
これはデフォルトの authpriv ロギング機能を使用しますが、info から emerg までのデフォルト値の優先度を昇格し、ログメッセージを直接コンソールに解放します。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。