From nobody Thu Sep 15 02:38:51 2022 X-Original-To: freebsd-users-jp@mlmmj.nyi.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2610:1c1:1:606c::19:1]) by mlmmj.nyi.freebsd.org (Postfix) with ESMTP id 4MShGq0gSpz4bdqC for ; Thu, 15 Sep 2022 02:38:59 +0000 (UTC) (envelope-from hanahara@meiko.co.jp) Received: from meikogw.meiko.co.jp (ns.meiko.co.jp [122.1.100.10]) by mx1.freebsd.org (Postfix) with ESMTP id 4MShGn14brz47VG for ; Thu, 15 Sep 2022 02:38:56 +0000 (UTC) (envelope-from hanahara@meiko.co.jp) Received: from ume.meiko.co.jp (ume.meiko.co.jp [192.168.1.5]) by meikogw.meiko.co.jp (Postfix) with ESMTP id C410ED515B9; Thu, 15 Sep 2022 11:38:47 +0900 (JST) (envelope-from hanahara@meiko.co.jp) Received: from [192.168.1.200] (dhcp200.meiko.co.jp [192.168.1.200]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) (Authenticated sender: hanahara-imap) by ume.meiko.co.jp (Postfix) with ESMTPSA id AF33E10D6D6A; Thu, 15 Sep 2022 11:38:47 +0900 (JST) (envelope-from hanahara@meiko.co.jp) Date: Thu, 15 Sep 2022 11:38:51 +0900 From: Yoshihiro Hanahara To: MATSUMOTO Masayoshi Subject: Re: =?ISO-2022-JP?B?aW9jYWdlGyRCJE4bKEJJUBskQiRONXNGMBsoQg==?= Cc: freebsd-users-jp@FreeBSD.org In-Reply-To: References: Message-Id: <20220915113851.179A.83D51AB2@meiko.co.jp> List-Id: Discussion relevant to FreeBSD communities in Japan List-Archive: https://lists.freebsd.org/archives/freebsd-users-jp List-Help: List-Post: List-Subscribe: List-Unsubscribe: Sender: owner-freebsd-users-jp@freebsd.org X-BeenThere: freebsd-users-jp@freebsd.org MIME-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver. 2.80.07 [ja] X-Rspamd-Queue-Id: 4MShGn14brz47VG X-Spamd-Bar: --- Authentication-Results: mx1.freebsd.org; dkim=none; dmarc=none; spf=pass (mx1.freebsd.org: domain of hanahara@meiko.co.jp designates 122.1.100.10 as permitted sender) smtp.mailfrom=hanahara@meiko.co.jp X-Spamd-Result: default: False [-3.19 / 15.00]; NEURAL_HAM_LONG(-1.00)[-1.000]; NEURAL_HAM_SHORT(-1.00)[-1.000]; NEURAL_HAM_MEDIUM(-0.99)[-0.995]; R_SPF_ALLOW(-0.20)[+mx]; MIME_GOOD(-0.10)[text/plain]; RCVD_NO_TLS_LAST(0.10)[]; MLMMJ_DEST(0.00)[freebsd-users-jp@FreeBSD.org]; R_DKIM_NA(0.00)[]; FROM_EQ_ENVFROM(0.00)[]; RCPT_COUNT_TWO(0.00)[2]; MIME_TRACE(0.00)[0:+]; RCVD_VIA_SMTP_AUTH(0.00)[]; RCVD_COUNT_THREE(0.00)[3]; ASN(0.00)[asn:4713, ipnet:122.1.0.0/16, country:JP]; ARC_NA(0.00)[]; TO_MATCH_ENVRCPT_SOME(0.00)[]; FROM_HAS_DN(0.00)[]; DMARC_NA(0.00)[meiko.co.jp]; TO_DN_SOME(0.00)[]; MID_RHS_MATCH_FROM(0.00)[] X-ThisMailContainsUnwantedMimeParts: N 花原です。 Jailを提供しているホスト環境を 「jailer」、 そのホストに構築したjail環境を 「prisoner」と呼ぶとして、 jailerの環境で、sshd の設定ファイル「/etc/ssh/sshd_config」で、 「ListenAddress」の設定をしていないのではないでしょうか? つまり、以下のコメントアウトされたままではないですか? #ListenAddress 0.0.0.0 #ListenAddress :: この状態だと、jailerのsshd は、すべてのネットワークインターフェイスにバ インドします。 # sockstat -4 | grep sshd とすると、 .... root sshd 1365 4 tcp4 *:22 *:* というような行がみつかるのではないでしょうか? これは、PID 1365のsshdが 全てのIPアドレス:22ポート で 接続待ちしていると いうことです。 解決策は、jailer 側の sshd_configで ListenAddress 192.168.xxx.aaa として、接続待ちIPアドレスを指定します。 (prisoner側は、192.168.xxx.bbb のネットワークインターフェースしか見えて ないだろうから、まあ指定しなくても特に問題はなさそうな気がする...) 以下のURLも参考になると思います。 FreeBSD - Jailは仮想化ではなく半仮想化と呼ぶべきではないか https://dankogai.livedoor.blog/archives/51916648.html まあ、Jail使いだした頃のあるあるネタなんだと思います。 PS. いまだに ezjail使ってるけど、iocage の方がいいかなぁ。 qjailは、VIMAGEつかうのに試しにつかってみたぐらい。 MTUを変更してたら、なんかうまく動かなくて、パッチいれる必要が有ったりし た記憶がある...。 On Thu, 15 Sep 2022 06:11:09 +0900 MATSUMOTO Masayoshi wrote: > 松本と申します > > 初めてiocageを導入してみて、あれっと思った挙動があったので > > ホストのIPが192.168.xxx.aaaで > #iocage activate zpool > #iocage create -r 13.1-RELEASE -n hogehoge > #iocage set ip4_addr="re0|192.168.xxx.bbb/24" hogehoge > として、hogehogeにいろいろ入れたあと > 外部から192.168.xxx.bbbにnmapかけてみたのですが、 > 22/tcpが空いているようでした。jail内でsshは有効にしてないのですが。 > > で、別PCから実際に叩いてみると、 > >ssh fugafuga@192.168.xxx.bbb > Password forなんちゃらで出てくるホスト名もJAIL外の名前で、fugafugaはホスト側のみのID > jail外の環境にログインできちゃいました。なんじゃこれ? > > あと、iocage内でspamassassin-3.4.6、正確には下記サイト通りにでっち上げた > ja-spamassassin-3.4.6の挙動もiocage外と違っていました。 > https://qiita.com/false-git@github/items/0dbe59922a391e547ca5 > > そのままだとspamc使用時に/var/log/maillogに > mail spamd[xxxxx]: spamd: unauthorized connection from 192.168.xxx.bbb [192.168.xxx.bbb]:xxxxx to port 783, fd 5 at /usr/local/bin/spamd line 1627. > mail spamd[xxxxx]: prefork: child states: II > がでてメールが素通しです。これに関しては/etc/rc.confで > spamd_flags="-A 192.168.xxx.bbb" > を付け加えることで解決しますが、隣ではiocage外、spamd_flags無しで動いてるサーバがあるんですよね。 > > 松本 将宜 -- Yoshihiro Hanahara