TCP Wrapper

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索
TCP Wrapper
開発元 Wietse Venema
最新版 v0.7.6
対応OS Unix系
種別 セキュリティ
ライセンス BSDライセンス
公式サイト ftp.porcupine.org
テンプレートを表示

TCP Wrapper は、LinuxBSD系の(Unix系オペレーティングシステム上のTCP/IPサーバへのネットワークアクセスをフィルタリングするホストベースのACLシステムである。ホストまたはサブネットのIPアドレスホスト名Identプロトコルのクエリ応答などをアクセス制御のためのフィルタのトークンとして使う。

元のコードを書いたのは Wietse Venema で、1990年から1995年にかけてオランダアイントホーヘン工科大学に在籍中に開発した。2001年6月1日、このプログラムはBSDライセンスでリリースされた。

TCP Wrapper のtarボールには libwrap というライブラリが含まれ、これに実際の機能が実装されている。当初はinetdのようなスーパーサーバから起動されるサービスだけに対応していて、そのための tcpd というプログラムがあった。しかし、現在ではネットワークサービスを提供するデーモンの多くは、直接 libwrap をリンクできる。これによりスーパーサーバから起動させる形式でないデーモンにも対応でき、単一プロセスで複数のコネクションを制御する場合にも対応できる。さもなくば、最初のコネクションだけがACLに対してチェックされる。

デーモンの構成ファイルにもアクセス制御ディレクティブを書ける場合があるが、TCP Wrapper の場合、実行中にACLの再構成が可能という利点がある(サービスを停止して再起動する必要がない)。

これにより、BlockHostsDenyHostsFail2ban といったワーム対策スクリプトが使いやすくなる。つまり、コネクション数が異常に増えたり、ログイン失敗が発生したときに、クライアントのブロックを追加したり、やめたりといった制御が簡単である。

元々は、TCPおよびUDPのサービスを対象としていたが、例えば特定のICMPパケット(例えば、pingd を使う ping 要求)をフィルタリングすることもできる。

トロイの木馬(1999年)[編集]

1999年1月、アイントホーヘン工科大学の配布パッケージがすりかえられるという事件が発生した。すりかえ後のパッケージはトロイの木馬になっていて、インストールしたサーバ上に容易に侵入できる仕掛けをするようになっていた。すりかえの数時間後には発見され、元のパッケージに置き換えられた。これほど素早く発見されたのは、オープンソースだったからだとの指摘が多数なされている。[1]

関連項目[編集]

脚注[編集]

参考文献[編集]

外部リンク[編集]