ネットで調べたところ、次のことが分かりました。
●TCP Wrappers (/etc/hosts.{allow,deny} で設定)は inetd または xinetdで制御されていないプロセスへのアクセスをブロックできない。
●とはいえ、sshd, sendmail は inetd/xinetdで制御されていないものの、/etc/hosts.{allow,deny}を自ら読みに行って、ここで許可されてないアクセスは拒否することができる。
sshd や sendmail も hosts.allow と hosts.deny で守ることができるとすると、Firewall(iptables)は、なぜ必要なのでしょうか?hosts.allow と hosts.deny で守ることができないデーモンがあるのでしょうか?
No.3ベストアンサー
- 回答日時:
#2です。
>勘違いしていたらすみません。
>そもそも、IPレベル(hosts.*が防御)を突破できないとアプリケーションレベル(iptablesが防御?)に到達できないと思うのですが、どうでしょうか?
勘違いです。
iptablesは、カーネルの持つIP通信機能の設定を変更して、IP通信のレベルでガードします。
/etc/hosts.{allow,deny} というのは、アプリケーションが、通信相手のIPアドレスを取得して、hosts.*ファイルを読んで、通信していいかどうかを判断するものです。判断はすべて、xinetdやsendmail,sshdといったアプリケーション(カーネルではないという意味)で行っています。
iptablesの設定で蹴った場合は、アプリケーションにパケットが届きません。
この回答への補足
> iptablesは、カーネルの持つIP通信機能の設定を変更して、IP通信のレベルでガードします。
ありがとうございます。ものすごくよくわかりました!
#1さんが書いていることの意味もわかりました。
No.2
- 回答日時:
アプリケーションレベルのガードと、IPレベルのガードなので、階層が違います。
例えば、sendmailの/etc/hosts.*を見に行く前の部分に脆弱性があって、そのセキュリティホールをつく攻撃を受けると、/etc/hosts.* にどう書いてあろうが意味がありません。
この回答への補足
勘違いしていたらすみません。
そもそも、IPレベル(hosts.*が防御)を突破できないとアプリケーションレベル(iptablesが防御?)に到達できないと思うのですが、どうでしょうか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- MySQL Mac です。ローカルホストの phpMyAdmin にアクセスできません。 1 2023/06/06 17:14
- UNIX・Linux Linux(fedora)でホスト名について 2 2022/06/21 14:24
- その他(開発・運用・管理) LocalでWordPressのローカル環境を構築するをためしてからエラーが出るように 4 2023/06/03 14:58
- 英語 英語についての質問です。 先日問題を解いていると次の文章に会いました。 …an eight-week 1 2022/09/15 11:55
- 英語 Ninety bone level Straumann implants will randomly 1 2022/07/18 11:14
- 英語 英語についてお願いします。 In general, the stronger the threat 2 2023/06/02 17:45
- その他(プログラミング・Web制作) robots.txtが”allow”のサイトを探しています 2 2022/10/09 13:07
- UNIX・Linux iptablesを設定するとメール送信処理が遅くなる!? 6 2022/06/07 01:11
- TOEFL・TOEIC・英語検定 この I'd は何の略ですか?仮定法の練習問題です。 3 2022/06/07 17:25
- 英語 Please allow me introduce Mr. Smith to you. 間違いはあり 1 2022/12/21 09:08
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
CentOS6.5のiptablesについて
-
サーバーでポート587番が開放で...
-
ファイアウォールとしてping of...
-
Linuxサーバに社内からSSH接続...
-
LINUXのiptablesについて
-
iptablesのデフォルトの設定(#...
-
AWSでSSH接続をしたいのですが...
-
エラーメールで"too many hops"...
-
同一のホスト名で何か問題があ...
-
DNSサーバを設定したのですがns...
-
【DNS】ゾーン情報が上手く設定...
-
リモートデスクトップ接続でパ...
-
パスワード設定していないユー...
-
マネージャ・エージェントモデ...
-
コマンドでのFTP転送が進まない。
-
エクセルで#N/Aを含めた平均値...
-
mailコマンドでメール送信が出...
-
.NETでActiveXコントロールを使う
-
【QnapNAS】不良HDDと診断され...
-
WindowsからRLoginでFreebsdにS...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
chkconfig iptables --listって...
-
scpコマンドでサーバー間のファ...
-
サーバーでポート587番が開放で...
-
iptablesとipchainsの違い
-
CentOS7firewall-cmdでESP許可
-
sambaで使用するポートについて
-
iptablesを設定するとメール送...
-
iptablesの設定がうまく反映さ...
-
linuxのルーティング処理
-
LINUXのiptablesについて
-
vsftpdで動的IP制限をかけたい
-
さくらVPSのVPNサーバーの設定...
-
iptablesを設定するとメールが...
-
DMZのLinuxサーバでメールとFTP...
-
sshでリモートアクセス
-
iptablesについて
-
Linux環境で、UDP514ポートが開...
-
ローカル環境でwebサーバーにつ...
-
iptablesにてRDPが通らない。
-
iptablesを使用してのDNSゾーン...
おすすめ情報