ネットで調べたところ、次のことが分かりました。
●TCP Wrappers (/etc/hosts.{allow,deny} で設定)は inetd または xinetdで制御されていないプロセスへのアクセスをブロックできない。
●とはいえ、sshd, sendmail は inetd/xinetdで制御されていないものの、/etc/hosts.{allow,deny}を自ら読みに行って、ここで許可されてないアクセスは拒否することができる。
sshd や sendmail も hosts.allow と hosts.deny で守ることができるとすると、Firewall(iptables)は、なぜ必要なのでしょうか?hosts.allow と hosts.deny で守ることができないデーモンがあるのでしょうか?
No.3ベストアンサー
- 回答日時:
#2です。
>勘違いしていたらすみません。
>そもそも、IPレベル(hosts.*が防御)を突破できないとアプリケーションレベル(iptablesが防御?)に到達できないと思うのですが、どうでしょうか?
勘違いです。
iptablesは、カーネルの持つIP通信機能の設定を変更して、IP通信のレベルでガードします。
/etc/hosts.{allow,deny} というのは、アプリケーションが、通信相手のIPアドレスを取得して、hosts.*ファイルを読んで、通信していいかどうかを判断するものです。判断はすべて、xinetdやsendmail,sshdといったアプリケーション(カーネルではないという意味)で行っています。
iptablesの設定で蹴った場合は、アプリケーションにパケットが届きません。
この回答への補足
> iptablesは、カーネルの持つIP通信機能の設定を変更して、IP通信のレベルでガードします。
ありがとうございます。ものすごくよくわかりました!
#1さんが書いていることの意味もわかりました。
No.2
- 回答日時:
アプリケーションレベルのガードと、IPレベルのガードなので、階層が違います。
例えば、sendmailの/etc/hosts.*を見に行く前の部分に脆弱性があって、そのセキュリティホールをつく攻撃を受けると、/etc/hosts.* にどう書いてあろうが意味がありません。
この回答への補足
勘違いしていたらすみません。
そもそも、IPレベル(hosts.*が防御)を突破できないとアプリケーションレベル(iptablesが防御?)に到達できないと思うのですが、どうでしょうか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- MySQL Mac です。ローカルホストの phpMyAdmin にアクセスできません。 1 2023/06/06 17:14
- UNIX・Linux Linux(fedora)でホスト名について 2 2022/06/21 14:24
- その他(開発・運用・管理) LocalでWordPressのローカル環境を構築するをためしてからエラーが出るように 4 2023/06/03 14:58
- 英語 英語についての質問です。 先日問題を解いていると次の文章に会いました。 …an eight-week 1 2022/09/15 11:55
- 英語 Ninety bone level Straumann implants will randomly 1 2022/07/18 11:14
- 英語 英語についてお願いします。 In general, the stronger the threat 2 2023/06/02 17:45
- その他(プログラミング・Web制作) robots.txtが”allow”のサイトを探しています 2 2022/10/09 13:07
- UNIX・Linux iptablesを設定するとメール送信処理が遅くなる!? 6 2022/06/07 01:11
- TOEFL・TOEIC・英語検定 この I'd は何の略ですか?仮定法の練習問題です。 3 2022/06/07 17:25
- 英語 Please allow me introduce Mr. Smith to you. 間違いはあり 1 2022/12/21 09:08
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ファイアウォールとしてping of...
-
iptablesが起動しない!?
-
サイレント変異とミスセンス変...
-
sambaで使用するポートについて
-
AWSでSSH接続をしたいのですが...
-
xperia 5 iiのroot化
-
ネットワークの再起動方法
-
循環参照にならない方法があっ...
-
sshでlogin後、操作中、固まる...
-
Postfix+Dovecot, ThunderBird...
-
postfix,dovecotにて送信はでき...
-
リモートデスクトップ接続でパ...
-
「DNSサーバーを自動的に取得す...
-
FFFTP、filezllaに詳しい方教え...
-
linux NTP で エラー になる
-
Mac標準メールソフト「Mail」で...
-
サーバーというのとメインフレ...
-
SSHに繋がらない
-
レンタルサーバーについて(長...
-
sambaのゴミ箱設定について
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
chkconfig iptables --listって...
-
ファイアウォールは必要?hosts...
-
iptablesにてRDPが通らない。
-
Linux環境で、UDP514ポートが開...
-
サーバーでポート587番が開放で...
-
iptablesを使用してのDNSゾーン...
-
linuxのルーティング処理
-
UDPパケットのバッファサイズ変...
-
iptablesでNATログを取りたい。
-
CentOS6.5のiptablesについて
-
iptablesのデフォルトの設定(#...
-
Choose the correct word(s) fo...
-
scpコマンドでサーバー間のファ...
-
iptablesを設定するとメール送...
-
iptablesの設定について
-
ProFTPdとポート開放
-
RH-Firewall-1-INPUTとは?
-
プログラムに別のPCからアクセ...
-
Linuxサーバに社内からSSH接続...
-
iptablesによるルーティング
おすすめ情報