netstat -a していると、*.smtpみたいな感じで全てのインターフェイスでlistenしているプログラムが結構ある。
基本的には内部向けのサービスが多いので、塞げるものは塞ぐことにする。
基本的には内部向けのサービスが多いので、塞げるものは塞ぐことにする。
- postgres
postgresは、内部からだけで良い。調べてみたら、postgresql.conf の virtual_hostに書けば良いらしい。
が、複数のIPを書く方法がわからない。
とりあえず、virtual_host='127.0.0.1,192.168.0.1'
って書いてみたら起動しなかった(泣)
考えてみたらlocalhostだけでも困らないような気がしたので、virtual_host='127.0.0.1'
で行くことにする。 - bind9
これは、内部向けと外部向けにサービスする。が、うちの場合はflets squareにもpppoeのセッションを張っているので、そっちにはサービスしたくない。 named.confのoptionsに、以下を追加してみる。listen-on { 127.0.0.1; 192.168.0.1; 210.254.71.72; }; - samba
sambaは内向きのみサービス。もともと、hosts allow で制限はかけていたけど、さらに以下を追加。interfaces = 192.168.0.1 bind interfaces only = yes
- sj3
最近はwnnしか使ってないから止め! - shell
なんでこれが開いてるんだろう?(汗) 一応、tcp wrappers で外からはアクセスできないようになってるけど、必要ないのでinetd.confから削除して止め! - printer
lpdの起動オプションに-sを付けると、listenしなくなるらしい。
内部からも駄目になるけど、ネットワークからはsamba経由でしか印刷しないから問題ないでしょう。
/etc/rc.confに以下を追加。lpd_flags="-s"
- wnn
う、わかりません・・・(汗) - sunrpc
portmapのオプションを調べると、-hと言うのがありました。
/etc/rc.confに以下を追加。portmap_flags="-h 192.168.0.1"
※ マニュアルによると、-hフラグを使うと127.0.0.1は自動的に追加されるそうです。
※ これだと、udpはlocalhostと内部向きになるけど、tcpはならないみたい。 → さらに、dracdがエラーを出すようになったので、元に戻しました。む~? → と思ったら、portmapを再起動したら、dracdも再起動しないといけないらしい。-hフラグ復活。 - snmp
マニュアルだと、-pオプションでいけそうなことが書いてあるのですが、実際は-pオプションはpidファイルのパスみたい・・・。
