問題ID:5120の参考がわかりません
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
Pnt353_180
投稿数: 2
投稿数: 2
問題の答えはわかるのですが、参考に書いてあることがよくわからないので、質問させていただきます。
問題ID:5120の参考内【スーパサーバ】
〜〜
xinetdによるアクセス制御は以下のルールで判定されます
・only_fromもno_accessも設定されていない場合、サービスへのアクセスは全て許可
・only_fromだけが設定されている場合、指定されたアクセス元しかサービスへアクセス出来ない
・no_accessだけが設定されている場合、指定されたアクセス元はサービスへアクセス出来ない
・only_fromとno_accessが同時に指定された場合、より厳密にマッチするほうに従う
例えばonly_fromとno_accessが以下のように設定されている場合、192.168.10.10からはサービスへのアクセスが出来ません。
service example1
{
only_from = 192.168.10.0/24
no_access = 192.168.10.0/25
}
〜〜
192.168.10.0/24の範囲は192.168.10.0〜192.168.10.255、
192.168.10.0/25の範囲は192.168.10.0〜192.168.10.127なので、どちらにも192.168.10.10が含まれていると思いますが、
なぜ上記設定では192.168.10.10からサービスにアクセスできなくなるのでしょうか。
問題ID:5120の参考内【スーパサーバ】
〜〜
xinetdによるアクセス制御は以下のルールで判定されます
・only_fromもno_accessも設定されていない場合、サービスへのアクセスは全て許可
・only_fromだけが設定されている場合、指定されたアクセス元しかサービスへアクセス出来ない
・no_accessだけが設定されている場合、指定されたアクセス元はサービスへアクセス出来ない
・only_fromとno_accessが同時に指定された場合、より厳密にマッチするほうに従う
例えばonly_fromとno_accessが以下のように設定されている場合、192.168.10.10からはサービスへのアクセスが出来ません。
service example1
{
only_from = 192.168.10.0/24
no_access = 192.168.10.0/25
}
〜〜
192.168.10.0/24の範囲は192.168.10.0〜192.168.10.255、
192.168.10.0/25の範囲は192.168.10.0〜192.168.10.127なので、どちらにも192.168.10.10が含まれていると思いますが、
なぜ上記設定では192.168.10.10からサービスにアクセスできなくなるのでしょうか。
laizacruz
投稿数: 4
投稿数: 4
「より厳密にマッチ」というのが、ルータでルート情報を選択するときの「最長一致」つまり「プレフィックス長が長い方を選ぶ」と同じ意味だからだと思います。
最後の方で分析されているとおり、/24 にも /25 にも該当するので、長い方の /25 が記載されてる no_access の動作を行うということです。
以下のページの最後の例が参考になると思います。
https://www.oreilly.com/library/view/linux-security-cookbook/0596003919/ch03s08.html
最後の方で分析されているとおり、/24 にも /25 にも該当するので、長い方の /25 が記載されてる no_access の動作を行うということです。
以下のページの最後の例が参考になると思います。
https://www.oreilly.com/library/view/linux-security-cookbook/0596003919/ch03s08.html
Pnt353_180
投稿数: 2
投稿数: 2
なるほど!厳密にマッチとはそういう意味だったのですね!
リンク先もありがとうございました。わかりやすかったです!
リンク先もありがとうございました。わかりやすかったです!
