FreeBSD QandA 2224

FreeBSD QandA

Q. FreeBSD 4.X-RELEASE で May 19 05:52:07 サイト名 sshd[1866]: warning:
   /etc/hosts.allow, line 23: can't verify hostname: getaddrinfo(ドメイン
   名, AF_INET) failed がでるのですが、セキュリティ上問題はありませんか?
   /etc/hosts.allow はオリジナルのまま変更していません。

A. このメッセージは sshd(8) にかぎらず、 libwrap(3) をリンクしたサーバプログ
   ラム、具体的には inetd(8), portmap(8), sendmail(8) からも発生します。

   これは接続して来たクライアントの逆引き→正引きを行なった後、
   /etc/hosts.allow の評価を行ないます。そして 逆引き→正引きを行なった際、正
   引き情報と一致しないものを排除するためのものです。該当するアクセスがあれば、
   逆引きに失敗するのでこの様な warning が発生します。

   ホスト名・ドメイン名を偽造したアクセスである可能性が高いので、 warning が気
   になる人は、 /etc/hosts.allow の先頭、少なくとも ALL : ALL : allow の前に、
   ALL : PARANOID : RFC931 20 : deny
   を追加して下さい。 warning は消えませんが、この様なアクセスを排除することが
   できます。

間違い・追加情報を見付けた場合は、 修正案の投稿のしかた を読んだ上で、
QandA@jp.FreeBSD.org まで お知らせください。