TCP/IP サービスの制限 - TCP_Wrappers

アクセスコントロールしたい
inetd から起動される TCP サービス (ftp, telnet 等) のアクセスを制限し、リクエストをログに記録します。
リソース
ソースを入手します。

コンパイルとインストール

アーカイブを展開します。

% pwd
/usr/local/src
% gzip -cd tcp_wrappers-7.6.tar.gz | tar xvf -
	:
%

Makefile を書き換えてコンパイルします。以下の３行を加えます。

REAL_DAEMON_DIR=/usr/sbin
CC=gcc
STYLE=-DPROCESS_OPTIONS

qmail で使用する可能性があるので -DPROCESS_OPTIONS を有効にしています。

コンパイルします。

% pwd
/usr/local/src/tcp_wrappers_7.6
% gmake sunos5
	:
%

実行可能ファイルが５個作成されます。

-rwxr-xr-x   1 tachi    staff      10724 12月 12日  21:58 safe_finger
-rwxr-xr-x   1 tachi    staff      36308 12月 12日  21:58 tcpd
-rwxr-xr-x   1 tachi    staff      36352 12月 12日  21:58 tcpdchk
-rwxr-xr-x   1 tachi    staff      36808 12月 12日  21:58 tcpdmatch
-rwxr-xr-x   1 tachi    staff      24672 12月 12日  21:58 try-from

root になり、作成されたバイナリファイルを手動でインストールします。

# mkdir -p /usr/local/sbin
# pwd
/usr/local/src/tcp_wrappers_7.6
# mv safe_finger tcpd tcpdchk tcpdmatch try-from /usr/local/sbin/
# cd /usr/local/sbin
# chmod 500 tcpd tcpdchk tcpdmatch safe_finger try-from
# chown root:root tcpd tcpdchk tcpdmatch safe_finger try-from
# ls -l
合計 280
-r-x------   1 root     root       10212 12月  9日 2000年 safe_finger
-r-x------   1 root     root       35796 12月  9日 2000年 tcpd
-r-x------   1 root     root       35840 12月  9日 2000年 tcpdchk
-r-x------   1 root     root       36296 12月  9日 2000年 tcpdmatch
-r-x------   1 root     root       24160 12月  9日 2000年 try-from
#

バイナリファイルを配置するディレクトリを作成し、バイナリファイルを mv してパーミッションと所有者、グループを変更しています。

マニュアルをインストールします。

# cd /usr/local/man
# mkdir man3 man5 man8
# pwd
/usr/local/src/tcp_wrappers_7.6
# cp hosts_access.3 /usr/local/man/man3
# cp hosts_access.5 hosts_options.5 /usr/local/man/man5
# cp tcpd.8 tcpdchk.8 tcpdmatch.8 /usr/local/man/man8
# pwd
/usr/local/man
# ls -l man3/hosts_access.3 man5/hosts_* man8/tcpd*
-r--r--r--   1 root     other       3602 12月  3日 2000年 man3/hosts_access.3
-r--r--r--   1 root     other      15225 12月  3日 2000年 man5/hosts_access.5
-r--r--r--   1 root     other       6655 12月  3日 2000年 man5/hosts_options.5
-r--r--r--   1 root     other       7022 12月  3日 2000年 man8/tcpd.8
-r--r--r--   1 root     other       2570 12月  3日 2000年 man8/tcpdchk.8
-r--r--r--   1 root     other       3252 12月  3日 2000年 man8/tcpdmatch.8
#

man コマンドで参照できるように環境変数 MANPATH に /usr/local/man を加えておきます。
例えば csh だと以下のようにします ($HOME/.cshrc に記述します)。

% setenv MANPATH /usr/local/man:$MANPATH
%

inetd.conf の編集 - /etc/inet/inetd.conf

inetd (Internet services daemon) は、/etc/inet/inetd.conf ファイルの設定にしたがってサービスを起動します。起動するプログラムを tcpd に変更することでアクセスの制限を実現します。inetd の子プロセスとして tcpd が起動し、tcpd は /etc/hosts.allow と /etc/hosts.deny を参照してリクエストの可否を判断します。

inetd.conf を書き換え、起動されるサーバプログラムを tcpd に置き換えます。

ftp     stream  tcp     nowait  root    /usr/sbin/in.ftpd       in.ftpd
telnet  stream  tcp     nowait  root    /usr/sbin/in.telnetd    in.telnetd
                                               ↓↓↓
ftp     stream  tcp     nowait  root    /usr/local/sbin/tcpd    in.ftpd
telnet  stream  tcp     nowait  root    /usr/local/sbin/tcpd    in.telnetd

Makefile 中で定義した、REAL_DAEMON_DIR=/usr/sbin 以外のディレクトリに存在するサーバプログラムを tcpd で置き換える場合は、引数の指定でプログラム名を絶対パスで記述します。

imap    stream  tcp     nowait  root    /usr/local/libexec/imapd   imapd
                                               ↓↓↓
imap    stream  tcp     nowait  root    /usr/local/sbin/tcpd       /usr/local/libexec/imapd

ついでに permission を変更しておきます (policy に依存すると思います)。

# chmod go-r /etc/inet/inetd.conf
#

hosts.allow と hosts.deny

tcpd によるアクセスコントロールは /etc/hosts.allow と /etc/hosts.deny の２つのファイルの検索によって決定します。最初に hosts.allow の検索を行い、これと一致する場合アクセスを許可します。hosts.allow と一致しない場合は hosts.deny の検索を行い、これと一致する場合はアクセスを拒否します。hosts.deny とも一致しない (つまり両方に一致しない) 場合はアクセスを許可します。

以下に /etc/hosts.deny と /etc/hosts.allow の例を挙げます。

# cat /etc/hosts.deny
ALL: ALL
#

# cat /etc/hosts.allow
in.ftpd: hoge.hogeratta.com
in.telnetd: hoge.hogeratta.com 123.45.67.89
ALL: 127.0.0.1 192.168.5. EXCEPT 192.168.5.45
#

この場合は hosts.deny ですべてを拒否しておいて、許可する address をサービス毎に hosts.allow で許可しています。テスト用にひとつのローカルアドレスをアクセス拒否しています。
記述の書式は以下です。

daemon_list : client_list [ : shell_command ]

それぞれの list element は comma か blank で区切ります。daemon_list には以下の wildcard が使用でき、client_list には host 名と、以下の address, pattern, wildcard が使用できます。

table 5-1
wildcards	notes
ALL	すべて (のサービス or host) に match します
LOCAL	dot (.) を含まない名前の host に match します
UNKNOWN	名前か address が不明な host に match します
NKOWN	名前と address が引ける host に match します
PARANOID	名前が address に一致しない host に match します
operators	notes
EXCEPT	a EXCEPT b と記述するとき、b 以外の a に match します
patterns	notes
. で始まる文字列 (e.g. .hoge.com)	一致するドメイン名の host に match します
. で終わる文字列 (e.g. 192.168.)	数値が address に一致する host に match します
@ で始まる文字列	nis の netgroup として扱います
n.n.n.n/m.m.m.m	net/mask の pair と解釈します address の bit 幅と、mask 値でマスクしたネットワークアドレス番号の両方が一致する host に match します

/etc/hosts.allow, /etc/hosts.deny の２つも permission を変更しておきます。

# chmod 600 /etc/hosts.allow /etc/hosts.deny
#

制限の確認

/etc/inetd/inetd.conf, /etc/hosts.allow, /etc/hosts.deny の編集のあとで tcpdchk を実行します。
error が出力される場合はファイルを修正し、error (と warning ) が出力されないように設定します。
ちなみに上の例だと下のように warning が出力されます。

# /usr/local/sbin/tcpdchk
warning: /etc/hosts.allow, line 1: hoge.hogeratta.com: host not found
warning: /etc/hosts.allow, line 2: hoge.hogeratta.com: host not found
warning: /etc/hosts.allow, line 2: host address 123.45.67.89->name lookup failed
#

つぎに、tcpdmatch でいくつかのパターンを match してみます。これは policy に従った設定がされているか確認するためのもの (oracle: 預言) ですので、重要なパターンを確認すれば問題ないと思います。

# /usr/local/sbin/tcpdmatch in.telnetd 192.168.5.45
client:   address  192.168.5.45
server:   process  in.telnetd
matched:  /etc/hosts.deny line 1
access:   denied
# /usr/local/sbin/tcpdmatch in.telnetd localhost
client:   hostname localhost
client:   address  127.0.0.1
server:   process  in.telnetd
matched:  /etc/hosts.allow line 3
access:   granted
#

実際にアクセス制御を開始するために inetd を再起動します。

# ps -ef | grep inetd
    root   160     1  0 16:30:21 ?        0:00 /usr/sbin/inetd -s
# kill -HUP 160
#

実際に他の host からリクエストし、アクセス制限を確認します。

メッセージの出力

ちょっと淋しいので、アクセスを拒否するときにメッセージ (banner) を表示するようにしてみます。

banner 用ディレクトリ (例えば /etc/banners) を作成し、Banners.Makefile を cp します。

# mkdir /etc/banners
# pwd
/usr/local/src/tcp_wrappers_7.6
# cp ./Banners.Makefile /etc/banners/Makefile
#

banner 用ディレクトリに prototype という名前のファイルを作成し、表示するメッセージを記述します。

# cat /etc/banners/prototype
Hello %c, what brings you here?
#

shell command で使用できる expansion を以下に挙げます。

table 7-1
expansions	notes
%a	client の address を展開します。
%A	server の address を展開します。
%c	client の情報 (可能であれば user@host) を展開します。
%d	サービスプログラム名を展開します。
%h	client の hostname (あるいは address) を展開します。
%H	server の hostname (あるいは address) を展開します。
%n	client の hostname (あるいは "unknown" か "paranoid") を展開します。
%N	server の hostname (あるいは "unknown" か "paranoid") を展開します。
%p	サービスプログラムのプロセスＩＤを展開します。
%s	server の情報 (可能であれば daemon@host) を展開します。
%u	client username (あるいは "unknown") を展開します。
%%	% いっこです。

つぎに banner 表示用のコマンドを作成します。

# pwd
/etc/banners
# gmake CC=gcc
	:
#

banner は /etc/hosts.allow と /etc/hosts.deny の rule ひとつひとつに割り当てることが可能です。それぞれの rule に対してディレクトリを用意し、banner 表示プログラムを置きます。ここでは、アクセスを拒否する場合のディレクトリ (/etc/banners/refuse) を用意し、ファイルを cp します。

# pwd
/etc/banners
# mkdir refuse
# mv in.* nul refuse
#

/etc/hosts.deny ファイルを編集して、アクセス拒否時の banner ディレクトリを指定します。

# cat /etc/hosts.deny
ALL: ALL: banners /etc/banners/refuse
#

アクセスを拒否する場合、banner が表示されるようになります。

Last modified: 04/09/01 00:41:05 JST

archive:		tcp_wrappers-7.6.tar.gz
os release:		Solaris 8 (IA-32)