Dell Optiplex GXa

SolarisTM 10  x86  3/05

OSインストール完了後の各種設定2 (inetadm svcadm)
戻る


Solaris10は、Solaris9以前のinetd.confは使われず、inetdの設定はinetadmを使用する。
また、inetd自体は"svc.startd"から起動されるようになった。svc.startdの設定はsvcadmを使用する。
慣れないと使い辛いが、これを克服しないとどうにもならなそうだ。



# inetadm -?

オプションなしでは inetadm は inetd 管理のすべてのサービスを表示します。

オプション:
  -?    ヘルプを出力します。
  -p    デフォルトの inetd プロパティ値をすべて表示します。
  -l    inet サービスの inetd プロパティ値をすべて表示します。
  -e    inet サービスを有効にします。
  -d    inet サービスを無効にします。
  -m    inet サービスの inetd プロパティ値を変更します。
  -M    デフォルトの inetd プロパティ値を変更します。




# inetconv -?

使用法: inetconv [-fn] [-i <ソースファイル>] [-o <出力先ディレクトリ>]
       inetconv -e [-n] [-i <ソースファイル>]
-?          この使用法のメッセージを表示します
-e          入力ファイル内で有効になっている smf サービスを
            有効にします
-f          既存のマニフェストを強制的に上書きします
-n          変換されたマニフェストをインポートしないか、あるいは
            有効化されるサービスだけを表示します
-i <ソースファイル>  代替の入力ファイル
-o <出力先ディレクトリ>  マニフェストを格納する代替の出力先ディレクトリ




# svcadm

使用法: svcadm [-v] [cmd [args ... ]]

        svcadm enable [-rst] <サービス> ...     - サービスを使用可能にしてオンラインにします
        svcadm disable [-st] <サービス> ...     - サービスを使用不可にしてオフラインにします
        svcadm restart <サービス> ...           - 指定されたサービスを再起動します
        svcadm refresh <サービス> ...           - サービスの設定を再度読み取ります
        svcadm mark [-It] <状態> <サービス> ... - 保守状態を設定します
        svcadm clear <サービス> ...             - 保守状態を消去します
        svcadm milestone [-d] <マイルストン>    - 特定のサービスマイルストンに進みます
		
		




01. telnetの無効化

02. tcp_wrappersの有効化

03. sshのinetd経由での起動







telnetの無効化：

全てsshでログインすることにする。telnetは必要ないので殺してしまう。

現在のtelnetの状態を確認。
# inetadm | grep telnet
  enabled   online         svc:/network/telnet:default

無効にする。
# inetadm -d telnet

無効後のtelnetの状態を確認。
# inetadm | grep telnet
  disabled  disabled       svc:/network/telnet:default




tcp_wrappersの有効化：

inetd経由で起動するデーモンに対して、tcp_wrappersによるアクセスの制御をするので、
tcp_wrappersを有効化する。
# inetadm -M tcp_wrappers=TRUE



/etc/hosts.deny というファイルをviで作る。
# vi /etc/hosts.deny

以下のように記述して保存する。

ALL	:	ALL

/etc/hosts.allow というファイルをviで作る。
# vi /etc/hosts.allow

以下のように（例）記述して保存する。

# LAN内(192.168.1.0/24)からは全て許可する場合
ALL	:	192.168.1.	:	allow

# DNSで逆引きできないホストはすべて拒否する場合
ALL	:	UNKNOWN	:	deny

# DNSで正引きと逆引きが一致しないホストはすべて拒否する場合
ALL	:	PARANOID	:	deny

# 特定のIPアドレス172.16.1.5（勤務先とか）からのsshログインを許可する場合
sshd	:	172.16.1.5	:	allow

# ftpを何処からでも許可する場合
in.ftpd	:	ALL	:	allow






sshdのinetd経由での起動：

sshdはデフォルトでは、サービス(svc.startd)で常駐起動している。
tcp_wrappersによるアクセス制御をするので、inetd経由で起動するように変更する。

新規ファイル "inetd.conf_sshd"をviで作成しておく。
# vi /etc/inet/inetd.conf_sshd

以下の内容を記述して保存する。

ssh	stream	tcp	nowait	root	/usr/lib/ssh/sshd	/usr/lib/ssh/sshd -i


常駐起動する設定になっているサービスから、sshだけを取り除く。
# svcadm -v disable network/ssh
   svc:/network/ssh:default が無効になりました


作成した "inetd.conf_sshd" をinetconvで変換・有効化する。
# inetconv -i /etc/inet/inetd.conf_sshd


常駐起動しているsshdを止める。
# pkill sshd


sshの状態の確認
# inetadm | grep ssh
  enabled   online         svc:/network/ssh/tcp:default

次回からsshでログインすると、inetd経由でsshdが起動され、tcp_wrappersによるアクセス制御も有効になる。

その後、OSデフォルトのsshdの使用は止めて、opensshを使用する設定を行った。記録はこちら。