TCPWrapper のインストールについて

現在仕事でLinux（Fedora30）を使用している者です。
今、仕事で10数台のLinuxのPCをネットワークで繋げて使用している状況です。
この前初めてPCを組立てて新たにネットワークの一部として使用できるようにしたいのですが、なぜか「TCPWrapper」が入っていませんでした。
これは新たにインストールしてもいいのでしょうか？

初心者のため、このような分かりにくい文章になってしまいましたが、どなたかやり方などアドバイス等お願いします。

No.4 ベストアンサー 回答者： bx2 回答日時： 2022/10/06 22:10

ちなみに、TCP Wrapper に対応している Fedora の最終バージョンは 27 です。

Fedora 27 の OpenSSH は 7.5p1 なので TCP Wrapper のサポートは本体から削除されていますが、パッチファイル（openssh-6.7p1-debian-restore-tcp-wrappers.patch）でサポートが追加されています。


$ wget https://archives.fedoraproject.org/pub/archive/f …
$ rpmdev-extract openssh-server-7.5p1-5.fc27.x86_64.rpm
$ ldd openssh-server-7.5p1-5.fc27.x86_64/usr/sbin/sshd | grep libwrap
libwrap.so.0

$ wget https://archives.fedoraproject.org/pub/archive/f …
$ rpmdev-extract openssh-7.5p1-5.fc27.src.rpm
$ tar xvfz openssh-7.5p1-5.fc27.src/openssh-7.5p1.tar.gz
$ grep -r libwrap openssh-7.5p1
----------
openssh-7.5p1/CREDITS:David Rankin <drankin@bohemians.lexington.ky.us> - libwrap, AIX, NetBSD fixes
openssh-7.5p1/log.c: * If an external library (eg libwrap) attempts to use syslog
----------

$ grep -r libwrap openssh-7.5p1-5.fc27.src
----------
openssh-7.5p1-5.fc27.src/openssh-6.7p1-debian-restore-tcp-wrappers.patch:+ AC_MSG_CHECKING([for libwrap])
openssh-7.5p1-5.fc27.src/openssh-6.7p1-debian-restore-tcp-wrappers.patch:+ AC_MSG_ERROR([*** libwrap missing])
openssh-7.5p1-5.fc27.src/openssh-6.7p1-debian-restore-tcp-wrappers.patch:+ fatal("libwrap refuse returns");
----------

$ less openssh-7.5p1-5.fc27.src/openssh-6.7p1-debian-restore-tcp-wrappers.patch
----------
+# Check whether user wants TCP wrappers support
+TCPW_MSG="no"
+AC_ARG_WITH([tcp-wrappers],
+ [ --with-tcp-wrappers[[=PATH]] Enable tcpwrappers support (optionally in PATH)],
----------

この回答へのお礼

先程、2回目の回答に対して別の方「trkaさん」へのお礼を間違えて書いてしまい大変申し訳ありませんでした。
bx2さんにおかれましては何回も回答いただき本当にありがとうございます。
別途でも書きましたが、上司と相談して決めたいと思います。本当にお世話になりました。

お礼日時：2022/10/11 14:01

No.3 回答者： trka 回答日時： 2022/10/06 18:18

ご質問、及びNo1回答者様に興味を惹かれ私自身の環境(Debian 5.10.140-1 (2022-09-02))で状況を調べてみました。

1.入ってました
私自身はTCP Wrapperを使用していませんが、hosts.allow/hosts.denyのどちらも存在しました。さらに...

/usr/lib/x86_64-linux-gnu/libwrap.so.0.7.6
/usr/lib/x86_64-linux-gnu/libwrap.so.0

も存在していました。Debianのリポジトリを検索してみると、TCPWrapperのパッケージ名は...

libwrap0

となっているようでした。自らインストールした記憶はありませんので、OSインストール時に強制的に入ったのか、あるいは他のパッケージインストール時に依存ソフトとしてインストールされたのか判然としません。



2.ssh
No1回答者様が話題にされたsshですが、私のsshバージョンは...

$ ssh -V
OpenSSH_8.4p1 ......... 10 Sep 2019

となり、No1様ご主張の『既にTCPWrapperをサポートしないバージョン』と判明しました。実際に以下のコマンドを実行してみると...

$ ldd /usr/bin/ssh
linux-vdso.so.1
libcrypto.so.1.1
libdl.so.2
libz.so.1
| | | | |

と、ソフトウエアが利用するライブラリ一覧が表示されますが、"libwrap.so"は『含まれていません』でした。但し、もう一方の"sshd(DはDaemonのD、つまりサーバプログラムです)では...

$ ldd /usr/sbin/sshd
| | | | |
libwrap.so.0
| | | | |

と、TCPWrapperが利用されていることが解りました。つまり、外部のコンピュータからsshログイン"される"際にはTCPWrapperが効くことになります。他のネットワークソフトウエアのサポート状況がどうか調査していませんが、TCPWrapperのインストールが「全く無意味」とも言えないと思われます。
但し、No1様が仰るように次第に捨てられつつある機能であることは間違いないようですね。



3.代替品
以下のurlを参照すると...

https://nwengblog.com/rhel-tcpwrapper/

TCPWrapperの代替品としてxinitdを利用することもできそうです。さらに以下のurlを参照すれば、それぞれを比較することもできそうです。

https://www.express.nec.co.jp/linux/distribution …

がしかし、No1様ご指摘のように、ご質問者様が利用するネットワークソフトウエアがサポートしているかどうかチェックすることも必要なようですね。


4.どうすべき?
結局どうすべきかはご質問者様のご判断にかかるようです。

私自身は一連のソフトウエア設定を覗くと、到底私が幅広く安全なネットワークを築く自信はありません。要するに完全なものを築くには、かなり専門的な知識と根気を要するものと思われます。
以上を勘案し、同時に対象となるOSが必ずしも最新でないことも考えながら判断すべき内容と思われます。

この回答へのお礼

お礼が遅くなり大変申し訳ありません。
さらにbx2さんの回答に対しても色々と考察していただき本当にありがとうございます。
とりあえず私の判断だけで同行できるようではないので、上司に相談してみたいと思います。

お礼日時：2022/10/11 13:59

No.2 回答者： bx2 回答日時： 2022/10/06 17:02

どうしても TCP Wrapper でないとダメなら、もっと古い OS をインストールするか、TCP Wrapper を使いたいサービスだけ SRPM からビルドするか、ソースコードからコンパイルしてインストールする方法もあります。

それとは別問題として、Fedora 30 は 2020年5月26日 にサポート期限が終了しています。脆弱性が見つかっても修正モジュールは提供されません。そもそも、Fedora はサポート期限が短いので、仕事で使用するのには不向きです。

https://ja.wikipedia.org/wiki/Fedora

Red Hat 系でサポート期限の長い Linux ディストリビューションであれば、AlmaLinux や Rocky Linux があります。

TCP Wrapper はサポートが終了しているので、新しい方法に対応すべきでしょう。

仕事の事なので、上司に相談してどうするか決めたらよろしいのでは。

この回答へのお礼

お礼が遅くなり大変申し訳ありません。
さらにbx2さんの回答に対しても色々と考察していただき本当にありがとうございます。
とりあえず私の判断だけで同行できるようではないので、上司に相談してみたいと思います。

お礼日時：2022/10/11 13:58

No.1 回答者： bx2 回答日時： 2022/10/06 14:10

インストールしても構いませんが、インストールしただけでは動作しません。

TCP Wrapper のライブラリ（libwrap.so）を使用するようにビルドされたプログラム（sshd や vsftpd）でないと動作しません。

OpenSSH の場合は、既にサポートが削除されています。

http://www.openssh.com/releasenotes.html
＞OpenSSH 6.7/6.7p1 (2014-10-06)
＞ * sshd(8): Support for tcpwrappers/libwrap has been removed.


Fedora 30 の下記プログラムを展開してソースを見てみましたが、TCP Wrapper はサポートされていません。

https://archives.fedoraproject.org/pub/archive/f …

この回答へのお礼

色々と調べていただきありがとうございます。
この回答内容を確認すると、TCPWrapperをインストールするだけではダメで、さらにサポートも切れているということですよね。
ということはOSのインストール自体やり直した方がいいのでしょうか？
申し訳ないのですが、さらに教えていただけるとありがたいです。

お礼日時：2022/10/06 14:47