新規記事投稿
フォロー記事投稿
記事のキャンセル
From: 竹田伸幸
<takeda@ses.co.jp>
Subject: Re: ご助言に対する独り言
Date: 1999/01/13 01:09:08
Reference: internet/00154
1月12日に、take-winさんは書きました。
>ip filter 14 pass in * * tcp * 113 remote 0
>あまり意味のない設定かな?
identプロトコルを使っているサービスに対しての応答が改善します。
設定していないと、外部から ident で繋いで来た時、フィルタに引っか
かってタイムアウトするまで待ってしまいます。
>>3.syslogd の設定ファイル /etc/syslog.conf に以下を加えます。
>> user.info /var/log/router.log
~~~~~~~~~
>「syslogd:unknown priority name
>”info (tab) /var/log/router.log”」
>
>って怒られました。
>何回も見直したんですがねぇ?
『info』としか書いていないようですが、『user.info』って書いていますか?
>ほんとは急がねばならんのでしょうが、
>見てもにわかに理解できなかったので、とりあえずパス
いわゆる stack overflow 問題です。
POPサーバに接続して、あらかじめ確保されているバッファよりも
長い文字列を送り込んでやることで、動作している POP プログラム
のスタックデータを破壊し、プログラムを異常動作させることが
簡単にできてしまいます。
popper は、root権限で動いています。したがって、送り込む長い
文字列をうまく指定することで root 権限を盗むプログラムコード
を送ってやることができます。
で、そういうプログラムは存在します。:)
>メール転送の禁止はsmtpdを設定したから大丈夫?
>(でも、メールを発信しようとすると
>202.232.○○○.△△△(クライアントのIP)
>202.232.○○○.△△△(クライアントのIP)
>は知らない、って言われるようになりました。
>受けられるけど発信できない・・・とほほ)
smtpd は、使ったことがありませんが、smtpd_check_rules を書いていますか?
基本は、以下の三行でいいのかなぁ?
allow *intiger.gr.jp:ALL:ALL → intiger.gr.jp を持つホストからはすべて許す
allow ALL:ALL:*intiger.gr.jp → 全てのホストは、送り先が intiger なら許す
deny ALL:ALL:ALL → その他は許さない。
>># このようなサイトに、nslookup のコマンドの一つの ls を使うと...
>
> # 無鉄砲なもので、いきなり「ls」と打つと
> # なぜか「160.124.129.10」が出てきて
> # loe2.lesoff.co.zaなるところか出てきました。
>
>「ls −d 202.232.○○○.▽▽▽」
>ってやると、そんなの答えられないって言われました?
help をみましょう。
指定するのは、ドメイン(厳密にはゾーン名)です。
named.boot に指定した *.*.*.in-addr.arpa とか intiger.gr.jp
などのゾーン名です。
>>『自分のネットワーク+外部セカンダリDNSサーバ+ループバックアドレス』
>>に制限をかけた方が安全です。
>うまくいっているのかどうか知りませんが、
>再起動しても一応エラーメッセージは出ませんでした。
うまくいっていないようですが...
FreeBSD 2.2.x は、標準が /etc/namedb/named.boot ですが、
http://www.inti\
ger.gr.jp/unixinstall/unixinstall3.htm
によると/etc/named.boot にしているようですけど、
これだと、/etc/namedb/named.boot でなく、/etc/named.boot で修正
しないと駄目ですよ。
結局、知られているホールは潰せるだけ潰すこと、運用されている
サービスに対して、非権限使用されないようにすることが大事です。