前回pg_hba.confについて書きました。
それで、ふと思い出しちゃいました。
アクセス制御について。
TCPラッパー
→これはhosts.allowとhosts.denyを順に見て
allowに当てはまれば許可。
当てはまらなかったらdenyを見て、当てはまれば拒否。
当てはまらなかったら許可。
と、言うことはdenyに書かない限り基本的に許可。
アクセスリスト(Ciscoルータ)
→これはリストを一行目から順に見て
当てはまった処理に従います。
どの行にも当てはまらなかった場合は拒否します。
「暗黙のdeny」って言うらしいです。
アクセスリストを適用したら、許可の記述がない限り拒否。
apacheのアクセス制限
→httpd.conf内で設定します。
order allow,denyもしくはorder deny,allowと設定します。
order allow,denyでは基本的に拒否で、許可するアクセスをAllow from 以降に記述します。
order deny,allowでは基本的に許可で、拒否するアクセスをDeny from 以降に記述します。
FireWall(パケットフィルタリング)
→これはポリシーを決めるのが重要。
基本は全て許可し、拒否するアクセスを決めていく。
基本は全て拒否し、許可するアクセスを決めていく。
下の方が、セキュリティ的にはいいです。だって何も指定しなかったら、接続できないわけで。。。
適当な順番で書いちゃいましたが、クライアント側からサーバにアクセスした場合
制限を通過する順序は
アクセスリスト(Ciscoルータ)
↓
FireWall(パケットフィルタリング)
↓
TCPラッパー
↓
apacheのアクセス制限
pg_hba.confによる制限
だと思います。他にもアクセス制限はあるかと思いますが
今のところ、僕が知っているものだけの概要です。
おしまい。
0 件のコメント:
コメントを投稿