[Subject Prev][Subject Next][Thread Prev][Thread Next][Subject Index][Thread Index]

[linux-users:36266] Re: identd: can't get client address:


BASSist の池田です。

荒木靖宏 氏が [linux-users:36210] でお書きですが、、、
> >   B. inetd から identd を起動しないようにしましたが、このことで何か別
> >      の問題は発生しますでしょうか?
> 
> 設定によってはメールが屆かなくなったりします。
> identdが動いてないとサービスしてくれないサービスもあるし。

identd について調べてみました。
Linux Security HOWTO(v0.9.11, 1 May 1998) に identd に関する記述
がありました。Linux Security HOWTO は以下の URL で参照しました。

	http://www.gee.kyoto-u.ac.jp/LDP/HOWTO/Security-HOWTO-8.html

これを読むと、identd へのアクセスは tcp_wrapper 等で制限せず、インター
ネット上の全ホストにアクセスを許可するべき、であるように思えます。
この解釈は正しいでしょうか?

以下に Linux Security HOWTO の該当部分と和訳を記します。

--- Linux Security HOWTO より
8.4 identd 

identd is a small program that typically runs out of your inetd.
It keeps track of what user is running what tcp service, and then
reports this to whoever requests it. 

identd は、通常 inetd から起動される小さなプログラムだ。inetd は誰が何
の tcp サービスを起動したのか監視し続け、要求されれば誰にでも報告する。

Many people misunderstand the usefulness of identd, and so disable
it or block all off site requests for it. identd is not there to
help out remote sites. There is no way of knowing if the data you
get from the remote identd is correct or not. There is no
authentication in identd requests. 

多くの人間が identd の便利さを誤解し、使用不能にしたり他のサイトからの
要求をはねつけるようにしてしまう。identd は遠隔サイトの人間を手助けす
るものではない。遠隔サイトの identd から報告されたデータが正しいかどう
か知る手段は無い。identd のリクエストに認証手続きは無い。

Why would you want to run it then? Because it helps _you_ out, and
is another data-point in tracking. If your identd is un
compromised, then you know it's telling remote sites the user-name
or uid of people using tcp services. If the admin at a remote site
comes back to you and tells you user so and so was trying to hack
into their site, you can easily take action against that user. If
you are not running identd, you will have to look at lots and lots
of logs, figure out who was on at the time, and in general take a
lot more time to track down the user. 

それでは、何故に identd を実行させたいのか?それは『あなた』を助けるこ
とになるし、監視する上でもう一つのデータ(another data-point)になるから
だ。もし identd がきちんと設定されていれば(un compromised)、inetd はリ
モート側に tcp サービスを利用したユーザー名もしくは UID を通知している。
もし遠隔サイトの管理者がやって来てあなたに、あなたのところのユーザーが
遠隔サイトをクラックしようとしていた事を告げるようなことがあれば、あな
たはそのユーザーに対して即座に対処することが出来る。もし identd を動か
していなければ、あなたは死ぬ程たくさんのログを眺めて、そのときに誰がロ
グインしていた(was on)のかを洗い出し、そのユーザーを特定するまでにはよ
り多くの時間がかかるだろう。

The identd that ships with most distributions is more configurable
than many people think. You can disable identd for specific users
(they can make a .noident file), you can log all identd requests
(I recommend it), you can even have identd return a uid instead of
a user name or even NO-USER. 

ほとんどの配布版に付属している identd は皆が考えている範囲以上に設定変
更が可能である。特定の人に対して identd を不許可にしたり(ユーザーが 
.noident ファイルを作成する)、全ての identd へのリクエストを記録したり
(お奨め)、identd がユーザー名の代わりに UID を返したり NO-USER を返し
たりするようにも出来る。

---  Linux Security HOWTO より 以上


次に identd を停止している場合に障害が発生する恐れのあるサービスについ
て調べました。私のほうで調べのついたのは次の通りです。

ProxyServer
	ProxyServer にアクセスするユーザーの同定のため identd にアクセ
        スする。したがって、ProxyServer 側でアイデンティティ検査を厳し
        く行うよう設定されているとアクセスに失敗するかも(? ProxyServer 
        を利用したことが無いので詳細は不明)

SOCKS
	ファイア・ウォールの中から外への telnet、ftp、finger、http リ
        クエスト等を通すために使用するが、このとき uid 検査のために 
        identd にアクセスする。

IRC
	IRC サーバに接続する際に IRC サーバが identd にアクセスする
        (? IRC を利用したことが無いので詳細は不明)

httpd
	IdentityCheck を有効にしている場合 identd にアクセスする。
	cgi を利用したサービスが受けられないかも知れない。

tcp_wrapper
	hosts_access.5 に IDENT プロトコルに関する記述がありました。
	下記のような、ユーザー名まで含めたパターン・マッチングを行う場
	合は identd にアクセスがいくようです

	    daemon_list : ... user_pattern _at_ host_pattern ...

sendmail V8 
	コンパイル時に IDENTPROTO を指定してあると identd にアクセスす
	るようになるようです。(詳細は不明)

---
以上のことを考えると、私のデフォルトの設定(identd は ローカルホストか
らのみ接続可能)は、ポリシーが間違っていたようです。

そもそも、identd への接続制限をしようと考えたのは、syslog(facility:
daemon) に、当方の全く身に覚えの無いサイトからの identd リクエストが記
録されていたためでした。

でも、当人に身に覚えがなくともローカルホストからそのサイトへ TCP/IP の
(恐らく HTTP で)アクセスを行っているわけですよね。

どうやらこれは、どんなに気持ち悪くても耐えるべきだったようです。

---
identd 周りの設定方針はひとまずよいとして、もう一つ、

	identd が can't get client address なるログを大量に発生させる
        トリガーを特定する

事が残っています。
これは現在テスト中です。結果がまとまり次第報告します。

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

    * BASSist * 池田 友之          tomoyuki _at_ os.rim.or.jp

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::         

この情報があなたの探していたものかどうか選択してください。
yes/まさにこれだ!   no/違うなぁ   part/一部見つかった   try/これで試してみる

あなたが探していた情報はどのようなことか、ご自由に記入下さい。特に「まさにこれだ!」と言う場合は記入をお願いします。
例:「複数のマシンからCATV経由でipmasqueradeを利用してWebを参照したい場合の設定について」
Follow-Ups: References: