組込み徒然草

最近自宅のKURO-BOX/HGをカーネル2.6、debian化してから出先からdynamic DNSでログインできなくなっていた。

自宅のルータではsshを無条件にKURO-BOX宛に通過させているのでルータの問題ではない。

結論から先に言えば/etc/hosts.denyと/etc/hosts.allowの設定をdebian化の際に行っているので、当然の結果。 その設定を放置したまま出先からe-mobileでアクセスしようとした自分が悪い。

カーネルを2.6に上げる前は実は/etc/hosts.denyと/etc/hosts.allow設定をせずに無条件にアクセス許可をするという危険な状態のまま放置していたので、少しだけセキュリティに留意して対処することにする。

まずは、以下のコマンドでアクセス状況の確認を行う。

# tail -f /var/log/auth.log

次に出先用のパソコンをe-mobileでインターネット接続し、sshでログインを試みてみる。 そうすると以下のようになる。

May 23 09:18:17 KURO-BOX sshd[436]: refused connect from XXX.YY.ZZZ.WWW (XXX.YY.ZZZ.WWW)

この結果を受けて、/etc/hosts.allowには以下を設定。

ALL: XXX.YY.0.0/255.255.0.0

これで、とりあえずe-mobileからの接続はできた。 但し、上記のIPアドレスは変る可能性があるのでドメインを確認する。 whoコマンドで確認すればログインしている端末のドメインが分かるのでそれを利用する。その結果、e-mobileのドメインは以下のようになることが判明。

emXXX-YY-ZZZ-WWW.pool.e-mobile.ne.jp

ということで、/etc/hosts.allowには以下を設定。

ALL: .pool.e-mobile.ne.jp

こちらでも接続できることを確認。

要するに自宅の玄箱にはe-mobileからなら無条件にアタックできるようになったということ。

現状で私が外出先から利用する接続方法としてはPHSを使う場合とマクドナルド経由で接続する場合がある。PHSは休止中でマクドナルドは自宅では実験できないので通信料が掛からない踏み台設定もしておくことにする。

実は、WWWサーバ用のレンタルホストを借りていて、こちらのホストにはsshログインできるようになっている。このホストはどこからでもユーザIDとパスワードでログインできる。一度こちらにログインしてそのホスト経由で自宅の玄箱にログインできるように/etc/hosts.allowに以下も追加。

ALL: .AAA.BBB.CCC.jp

AAA.BBB.CCC.jpというのはレンタルホストのドメインです。 こういうホストって結局セキュリティ的には甘いことになるので、踏み台ってことになるんだろうなと思います。実際、自分用の踏み台にしたわけだし。