2013年7月13日土曜日
MacOSXのインターネット共有で、MACアドレス制限を行いたい
MAC,MACややこしいですが、T/Oです。
MACのインターネット共有は便利なので、ついつい使いたくなってしまうのですが、はやりセキュリティを考慮しないのは危険ということで、インターネット共有を行う際に、指定したMACアドレス以外は、接続できないようにしたいと思います。
最初、ipfwでやろうとしたのですが、どうにもうまく行かず。
インターネット共有では、dhcpでIPアドレスをばらまいてるわけですが、ココで指定したMACアドレス以外にはdhcpでアドレスを付与しない方向に切り替えました。
想定外の端末が直接アドレス指定してアクセスしてくるリスクには、払い出すアドレス数の管理+ipfw等で対応することとします。もちろん、無線LANのキーを設定するのは言うまでもありません。
もし、下記を実行して、セキュリティインシデント起こしても当方は知りません( ー`дー´)キリッ
[システム環境設定] -> [共有] -> [共有する接続経路(Ethernet)] + [相手のコンピュータが使用するポート(Wi-Fi)]を選択し、インターネット共有チェックボックスをONにします。
そうすると、bootpが動き出し、/etc/bootpd.plist が生成されます。このファイルを編集するのですが、難があり、デーモン起動時に新規にファイル生成し、デーモン停止時にファイルを削除しやがります。この点、多少ケアが必要です。
[xml]
Subnets
_creator
com.apple.InternetSharing
allocate
dhcp_domain_name_server
10.0.2.1
dhcp_router
10.0.2.1
lease_max
86400
lease_min
86400
name
10.0.2/24
net_address
10.0.2.0
net_mask
255.255.255.0
net_range
10.0.2.2
10.0.2.254
allow
xx:xx:xx:xx:xx:xx
bootp_enabled
detect_other_dhcp_server
dhcp_enabled
en1
use_server_config_for_dhcp_options
[/xml]
allowの部分に注目して欲しいのですが、
[xml]
allow
xx:xx:xx:xx:xx:xx
[/xml]
allowで指定したMACアドレスだけに、IPアドレスを割り振るようになります。(その他はデフォルト値です)
[bash]
#設定ファイルを編集して
sudo vim /etc/bootpd.plist
#chflagsを立てます
sudo chflags uchg /etc/bootpd.plist
# インターネット共有開始
[/bash]
ファイルが消されてしまう対策として、BSD系OSで使用出来るchflagsを利用します(chmodでreadOnlyにしても消されるので)。
もっとエレガントな方法ありそうな気はしますが。。。
再度ファイルを編集したくなったら
[bash]
sudo chflags nouchg /etc/bootpd.plist
[/bash]
上記を叩けばOKです。
ではでは。
https://developer.apple.com/library/mac/#documentation/Darwin/Reference/ManPages/man8/bootpd.8.html
MACのインターネット共有は便利なので、ついつい使いたくなってしまうのですが、はやりセキュリティを考慮しないのは危険ということで、インターネット共有を行う際に、指定したMACアドレス以外は、接続できないようにしたいと思います。
環境
- Mac OS X Lion
どのレイヤーでやるか
最初、ipfwでやろうとしたのですが、どうにもうまく行かず。
インターネット共有では、dhcpでIPアドレスをばらまいてるわけですが、ココで指定したMACアドレス以外にはdhcpでアドレスを付与しない方向に切り替えました。
想定外の端末が直接アドレス指定してアクセスしてくるリスクには、払い出すアドレス数の管理+ipfw等で対応することとします。もちろん、無線LANのキーを設定するのは言うまでもありません。
もし、下記を実行して、セキュリティインシデント起こしても当方は知りません( ー`дー´)キリッ
概要:インターネット共有の手順
[システム環境設定] -> [共有] -> [共有する接続経路(Ethernet)] + [相手のコンピュータが使用するポート(Wi-Fi)]を選択し、インターネット共有チェックボックスをONにします。
そうすると、bootpが動き出し、/etc/bootpd.plist が生成されます。このファイルを編集するのですが、難があり、デーモン起動時に新規にファイル生成し、デーモン停止時にファイルを削除しやがります。この点、多少ケアが必要です。
/etc/bootpd.plist 実際のファイルサンプル
[xml]
[/xml]
allowの部分に注目して欲しいのですが、
[xml]
[/xml]
allowで指定したMACアドレスだけに、IPアドレスを割り振るようになります。(その他はデフォルト値です)
実際のオペレーション
[bash]
#設定ファイルを編集して
sudo vim /etc/bootpd.plist
#chflagsを立てます
sudo chflags uchg /etc/bootpd.plist
# インターネット共有開始
[/bash]
ファイルが消されてしまう対策として、BSD系OSで使用出来るchflagsを利用します(chmodでreadOnlyにしても消されるので)。
もっとエレガントな方法ありそうな気はしますが。。。
再度ファイルを編集したくなったら
[bash]
sudo chflags nouchg /etc/bootpd.plist
[/bash]
上記を叩けばOKです。
ではでは。
参考にしました
https://developer.apple.com/library/mac/#documentation/Darwin/Reference/ManPages/man8/bootpd.8.html
2013年7月11日木曜日
2013年前半振り返り
さらっと振り返ってみる
1月
2月
3月
4月
5月
6月
振り返り
後半戦へ向けて
1月
- インフルで死んでた記憶しかない
2月
- 新チーム体制になったけど、裏側の保守っぽいことメインに仕事してた気がする。
3月
- 2月とやってること変わらず保守っぽいのがメインだったけど、エイプリルフールの実装とかは、初めてまともに機能的なものを仕込んだかも。
4月
- チームでフロント周りのリソースが薄かったので、かなりの部分、マークアップっぽいことしてた気がする。FTL/CSSに少しだけ詳しくなる。
5月
- r***とか、e***とかのある程度のカタマリ機能を実装。
6月
- 保守っぽいのから、***の機能とかを実装。手広く浅く。
振り返り
- この半期開始時点よりは、ずいぶんマシになった気がする(元が酷すぎるんだけど)
- 6月ぐらいから自分に不足してる知識とかがかなりクリアになってきて、Inputの元気も戻ってきたので、最近は本とかも読めている
後半戦へ向けて
- もーちょいマシなエンジニアになりたい。
- QCDをあげていきたい。
- 設計〜実装〜テスト:やっぱりこのあたりを強化していきたい。分析とかは当分いいいや。
登録:
投稿 (Atom)