[samba-jp:19026] Re: [Q] domain setup over network

[Kensuke Nezu]

根津です。

Takahiro Kambe wrote:
>>>>     interfaces = lo0, xl0 # xl0 は内側
>>>>     ...
>>> これ、IPアドレスのスプーフィングされたらアウトですので、信用しない
>>> でください。特にUDPだと単なる自己申告ですからバッファオーバーフロー
>>> 系の脆弱性などがあると、まずいです。
>>> （Source routingのオプション切ってないともっとマズいことが起きます）
>> なんと。
> せめて、
> 
> 	bind interfaces only = Yes
> 
> は、してなかったのでしょうか。ま、IP Filterなどでの制御をしていれば、
> まだましだと思いますが。

bind interfaces onlyパラメータはnmbdにのみ関わるパラメータですが、
ブラウズマスタ機能やドメインマスタ機能、WINS等のnmbdの機能をinterfaces
で指定したインタフェースが持つネットワーク範囲（IPアドレス範囲）に
限定するものです。
ただ、nmbdはあくまでもアプリケーションですので、当該IPアドレスが、
「どこのインタフェースを実際に経由してきたものなのか？」はわかる術が
ありません。したがって、この「どのIPアドレスがどのインタフェース経由で
きたのかが分かって、その接続許可/拒否ができるレイヤ」つまり、パケット
フィルタのレイヤでなりすましをがっつりたたき落としておかないと、
困ったことが起きることになります。

-- 
------
根津 研介 日本Sambaユーザ会/NTTデータ先端技術（株）
Microsoft MVP for Windows Security(Apr 2005 - Mar 2007)
802.11セキュリティサイト：http://www.famm.jp/wireless
 ※「SELinuxシステム管理―セキュアOSの基礎と運用」
    http://www.oreilly.co.jp/books/4873112257/
 ※「実用SSH第２版−セキュアシェル徹底活用ガイド」
    http://www.oreilly.co.jp/books/4873112877/