ネットで調べたところ、次のことが分かりました。
●TCP Wrappers (/etc/hosts.{allow,deny} で設定)は inetd または xinetdで制御されていないプロセスへのアクセスをブロックできない。
●とはいえ、sshd, sendmail は inetd/xinetdで制御されていないものの、/etc/hosts.{allow,deny}を自ら読みに行って、ここで許可されてないアクセスは拒否することができる。
sshd や sendmail も hosts.allow と hosts.deny で守ることができるとすると、Firewall(iptables)は、なぜ必要なのでしょうか?hosts.allow と hosts.deny で守ることができないデーモンがあるのでしょうか?
No.3ベストアンサー
- 回答日時:
#2です。
>勘違いしていたらすみません。
>そもそも、IPレベル(hosts.*が防御)を突破できないとアプリケーションレベル(iptablesが防御?)に到達できないと思うのですが、どうでしょうか?
勘違いです。
iptablesは、カーネルの持つIP通信機能の設定を変更して、IP通信のレベルでガードします。
/etc/hosts.{allow,deny} というのは、アプリケーションが、通信相手のIPアドレスを取得して、hosts.*ファイルを読んで、通信していいかどうかを判断するものです。判断はすべて、xinetdやsendmail,sshdといったアプリケーション(カーネルではないという意味)で行っています。
iptablesの設定で蹴った場合は、アプリケーションにパケットが届きません。
この回答への補足
> iptablesは、カーネルの持つIP通信機能の設定を変更して、IP通信のレベルでガードします。
ありがとうございます。ものすごくよくわかりました!
#1さんが書いていることの意味もわかりました。
No.2
- 回答日時:
アプリケーションレベルのガードと、IPレベルのガードなので、階層が違います。
例えば、sendmailの/etc/hosts.*を見に行く前の部分に脆弱性があって、そのセキュリティホールをつく攻撃を受けると、/etc/hosts.* にどう書いてあろうが意味がありません。
この回答への補足
勘違いしていたらすみません。
そもそも、IPレベル(hosts.*が防御)を突破できないとアプリケーションレベル(iptablesが防御?)に到達できないと思うのですが、どうでしょうか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
このQ&Aを見た人はこんなQ&Aも見ています
-
フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
あなたが普段思っている「これまだ誰も言ってなかったけど共感されるだろうな」というあるあるを教えてください
-
フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
あなたが普段思っている「これまだ誰も言ってなかったけど共感されるだろうな」というあるあるを教えてください
-
映画のエンドロール観る派?観ない派?
映画が終わった後、すぐに席を立って帰る方もちらほら見かけます。皆さんはエンドロールの最後まで観ていきますか?
-
海外旅行から帰ってきたら、まず何を食べる?
帰国して1番食べたくなるもの、食べたくなるだろうなと思うもの、皆さんはありますか?
-
天使と悪魔選手権
悪魔がこんなささやきをしていたら、天使のあなたはなんと言って止めますか?
-
FTPエラー425
その他(コンピューター・テクノロジー)
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・歩いた自慢大会
- ・許せない心理テスト
- ・字面がカッコいい英単語
- ・これ何て呼びますか Part2
- ・人生で一番思い出に残ってる靴
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・初めて自分の家と他人の家が違う、と意識した時
- ・単二電池
- ・チョコミントアイス
このQ&Aを見た人がよく見るQ&A
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ファイアウォールは必要?hosts...
-
iptablesでFTPのパッシブモード...
-
RH-Firewall-1-INPUTとは?
-
iptablesを使ってルーターを作...
-
CentOS6.5のiptablesについて
-
パスワード設定していないユー...
-
同一のホスト名で何か問題があ...
-
同じ独自ドメインを2つのサーバ...
-
”Tortoise SVN” と ”Subversio...
-
DNSサーバを設定したのですがns...
-
「DNSサーバーを自動的に取得す...
-
VirtualBoxのGuestマシンのネッ...
-
エラーメールで"too many hops"...
-
リモートデスクトップ接続でパ...
-
ドメインに参加しようとするとD...
-
循環参照にならない方法があっ...
-
エクセルで#N/Aを含めた平均値...
-
応答を解析できません
-
android studioエラー
-
サーバーというのとメインフレ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ファイアウォールは必要?hosts...
-
RH-Firewall-1-INPUTとは?
-
iptablesにてRDPが通らない。
-
portmapについて
-
iptablesを使って、複数のサブ...
-
iptablesによるルーティング
-
iptablesでNATログを取りたい。
-
iptablesを設定するとメール送...
-
iptablesでFTPのパッシブモード...
-
Linuxである特定のIPアドレス...
-
Linux環境で、UDP514ポートが開...
-
UDPパケットのバッファサイズ変...
-
iptablesの書き方
-
DMZのLinuxサーバでメールとFTP...
-
サーバーでポート587番が開放で...
-
linuxのルーティング処理
-
Linuxサーバに社内からSSH接続...
-
SAMBAの設定に付いて
-
Linux ES3 firewallの解除
-
iptablesのログ記述について
おすすめ情報