今回からは設定をいじることにしましょう。
注)
[root@centos~]# はコマンドを表す。
# はコメントか、ファイルないでコメントアウトされているものを表す。
特定のホストからのアクセスを許可し、その他のホストからのアクセスを制限します。
iptablesだけでも大丈夫なのですが、サービスとホストを組み合わせてかけるので、TCP Wrapperも併用します。
# TCP Wrapper
# 説明:ttp://e-words.jp/w/TCP20wrapper.html
# 設定:ttp://www.atmarkit.co.jp/fsecurity/rensai/unix_sec03/unix_sec02.html
/etc/hosts.allow に許可するホストを、/etc/hosts.deny に拒否するホストを記述します。
流れとしては、
/etc/hosts.allow を読み、アクセスを許可
↓
/etc/hosts.deny を読み、アクセスを拒否
↓
上記2つのファイルに記述されていないアクセスは許可
となります。
2つのファイルに一致する記述が無い場合、アクセスが許可されてしまうので、/etc/hosts.deny には「ALL : ALL」を必ず記述し、すべてのアクセスを拒否します。
記述して保存するだけで反映されるので、再起動する必要はありません。
ファイルへ記述する書式は
サービス名 : ホスト名
ex)sshd : 192.168.1.0/255.255.255.0 # ネットワーク単位での指定
TCP Wrapperの設定をチェックする方法
ttp://www.atmarkit.co.jp/flinux/rensai/linuxtips/235chktcpwrapper.html
コマンドの書式は
[root@centos~]# tcpdchk [オプション]
です。
特定のホストと特定のサービスをチェックする時のコマンドの書式は
[root@centos~]# tcpdmatch [サービス名] [クライアント名]
ex)# tcpdmatch ssh 192.168.1.15
です。
今回はこの辺で。
追記 2009/08/25
CnOS5初期設定
(6)root宛メールを転送する
http://centossrv.com/centos5-init.shtml
において、外部にメールを送ることになります。
なので、/etc/hosts.allow に 「sendmail : 自分のサーバのドメイン名」を追加します。
# 自分のサーバから送るので「sendmail : 127.0.0.1」でもO.K.
# 自分のサーバから自分自身へのアクセスをすべて許可しておく場合は「ALL : 127.0.0.1」です。
これで、毎日のメールが届きます。
2009/08/12
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿