FreeBSD QandA 2224
Q. FreeBSD 4.X-RELEASE で May 19 05:52:07 サイト名 sshd[1866]: warning:
/etc/hosts.allow, line 23: can't verify hostname: getaddrinfo(ドメイン
名, AF_INET) failed がでるのですが、セキュリティ上問題はありませんか?
/etc/hosts.allow はオリジナルのまま変更していません。
A. このメッセージは sshd(8) にかぎらず、 libwrap(3) をリンクしたサーバプログ
ラム、具体的には inetd(8), portmap(8), sendmail(8) からも発生します。
これは接続して来たクライアントの逆引き→正引きを行なった後、
/etc/hosts.allow の評価を行ないます。そして 逆引き→正引きを行なった際、正
引き情報と一致しないものを排除するためのものです。該当するアクセスがあれば、
逆引きに失敗するのでこの様な warning が発生します。
ホスト名・ドメイン名を偽造したアクセスである可能性が高いので、 warning が気
になる人は、 /etc/hosts.allow の先頭、少なくとも ALL : ALL : allow の前に、
ALL : PARANOID : RFC931 20 : deny
を追加して下さい。 warning は消えませんが、この様なアクセスを排除することが
できます。
間違い・追加情報を見付けた場合は、
修正案の投稿のしかた を読んだ上で、
QandA@jp.FreeBSD.org まで
お知らせください。