接続が TCP レベルで受け入れまたは拒否されるホストや IP アドレスは、TCP ラッパーを使用して制御できます。TCP ラップにより、クライアントホストのアクセスを制限できます。これにより、Directory Server への初期の TCP 接続に対する、ホストベースではない保護が可能になります。
Directory Server に対して TCP ラップを設定することはできますが、TCP ラップは、特にサービス拒否攻撃の際に、パフォーマンスを著しく低下させる可能性があります。最良のパフォーマンスは、Directory Server の外部で保守されるホストベースのファイアウォールを使用するか、IP ポートのフィルタリングによって得られます。
DSCC を使用してこのタスクを実行することはできません。次の手順に示すように、コマンド行を使用します。
インスタンスパス内のどこかに hosts.allow ファイルまたは hosts.deny ファイルを作成します。
たとえば、このファイルを instance-path/config 内に作成します。作成するファイルの形式は、必ず hosts_access(4) に従うようにしてください。
アクセスファイルへのパスを設定します。
$ dsconf set-server-prop -h host -p port host-access-dir-path:path-to-file |
次に例を示します。
$ dsconf set-server-prop -h host -p port host-access-dir-path:/local/ds1/config "host-access-dir-path" property has been set to "/local/ds1/config". The "/local/ds1/config" directory on host1 must contain valid hosts.allow and/or hosts.deny files. Directory Server must be restarted for changes to take effect. |
DSCC を使用してこのタスクを実行することはできません。次の手順に示すように、コマンド行を使用します。