環境:FreeBSD 12.2-RELEASE r366954
FreeBSD ハンドブックを参考にTCP Wrappersを設定した(^^)/
サービスにアクセス制限は、/etc/hosts.allowと/etc/hosts.denyの2つのファイルに明記して制御するのがスタンダート?と思っていたが、FreeBSDハンドブックを参照するに下記の注記を発見!
他の TCP Wrappers の実装と異なり、 hosts.deny は廃止されました。 すべての設定オプションは /etc/hosts.allow に書かれている必要があります。
稼働サービス自体は、サーバごとに分散しているし、必要最低限しか動かしていないので制御する項目は少ないものの・・・Exampleファイルには、
This is an example! You will need to modify it for your specific
requirements!
と書かれているけど、正直、めちゃ解りずらいです。
Exampleファイルでは「ALL : PARANOID : RFC931 20 : deny」が有効になってるけど・・
DNSの逆引きと正引きの結果が一致しないとdenyるってこと?
自身のDNSがミスってたら全滅ってことじゃ(-_-;)
sshdだけは厳しめに設定してみた。
設定ミスで自分自身がsshでアクセスできなくなったら本末転倒(笑)
設定後にちゃんと制御できているか確認!
外部からのsshアクセスは、拒否される?
# tcpdmatch sshd XXXXX.com
warning: host address 150.95.255.XX->name lookup failed
client: address 150.95.255.XX
server: process sshd
matched: /etc/hosts.allow line 29
option: deny
access: denieddenyってるのでOK(^^)/
許可しているグローバルIPからのアクセスは?
# tcpdmatch sshd 202.XXX.XXX.XXX
client: address 202.XXX.XXX.XXX
server: process sshd
matched: /etc/hosts.allow line 27
option: allow
access: grantedOK!
自分自身(ローカル)からsshのアクセスは?
# tcpdmatch sshd 192.168.XXX.XXX
client: address 192.168.XXX.XXX
server: process sshd
matched: /etc/hosts.allow line 24
option: allow
access: grantedOK!
かなりアバウトな私も・・・セキュリティ関係の設定は、慎重にやってます(汗
