TCP Wrapper を用いた際のr系コマンドの認証のしくみについて

r系コマンドの実行をTCP Wrapperで制御している場合、通常のr系コマンド実行時の認証に使われるrhostsファイルも参照の上、hosts.allow 及び host.deny ファイルも参照するという仕組みなのでしょうか？
それともTCP Wrapperで制御している場合は、rhostsファイルは参照しないのでしょうか？

No.1 ベストアンサー 回答者： s-n-m 回答日時： 2006/01/28 00:39

　OSが示されていませんが(UNIX系なら大方は同じですが、細かい違いがたくさんあります)、BSD起源の一般的なr系デーモンについて言えば、tcp wrapperを使用していたとしても、rhostsファイルは参照します。

　具体的には、最初にtcp wrapperによる認証(つまりhosts.allow,hosts.denyによる確認)が行われ、これで許可されて初めて、r系デーモンの本来の認証(~/.rhosts, /etc/hosts.equivによる確認)が行われます。両方の認証に通過した場合に限り、r系コマンドの実行が許可されるということになります。
　~/.rhostsには、各ユーザが任意のホストを好きに書くことができますが、管理者が/etc/hosts.allowなどを記述することにより、「特定のホスト群からだけ、rloginを許可する」ということができます。
　なお、r系コマンドは時代遅れのコマンドです(今でもベンダ系UNIXの資格検定などに出てくるのが信じられません)。アクセス制御がかなり貧弱な上に通信内容も暗号化されませんので、ホストのネットワークが完全に外部と物理的に隔絶され、利用者も絶対に信頼できる人々に限られ、ウィルス・ワームなどの侵入もありえない、という環境でもない限り利用はおすすめしません。tcp wrapperでアクセス制御が必要、ということは、そのような確実に安全な環境ではないと思いますので、ssh などの利用をお勧めします。

この回答へのお礼

ご回答ありがとうございます。

r系デーモンの本来の認証は、ユーザが任意に設定することが可能なのに対して、Tcp Wrapperでは管理者が包括的に認証の設定をするというものなのですね。
(ただTcp Wrapperの認証では、ユーザごとの認証はできないように思いましたが。)
おっしゃるとおり、r系コマンドは安全性の観点から一般的には使用されていないものですので、ssh利用についても検討しなければと考えております。
大変参考になるご意見ありがとうございました。

お礼日時：2006/01/29 08:36