Product SiteDocumentation Site

5.5. プリントサービスを安全にする (lpd と lprng の問題)

Imagine, you arrive at work, and the printer is spitting out endless amounts of paper because someone is DoSing your line printer daemon. Nasty, isn't it?
In any UNIX printing architecture, there has to be a way to get the client's data to the host's print server. In traditional lpr and lp, the client command copies or symlinks the data into the spool directory (which is why these programs are usually SUID or SGID).
職場に着いたとき、だれかがあなたのラインプリンタデーモンに DoS しているせいで プリンタが紙を際限なくはきだしているとしましょう。いやでしょう? だから プリンタサーバを特に安全にしましょう。これは信用されているサーバからの 接続のみを許可するようプリンタサービスを設定する必要があるということです。 これを行うには、印刷を許可したいサーバを /etc/hosts.lpd に 追加してください。
しかし、これを行っても、lpr デーモンは 515 番ポートへの外部からの接続をどの インターフェイスからでも受けつけます。印刷を許可されていないネットワーク (またはホスト) からの接続をファイアウォールで防ぐことを検討するべきです (lpr デーモンは特定の IP アドレスにのみ応答するようには制限できません)。
lpr より Lprng を優先するべきです。なぜなら IP アクセス制御を行うように 設定できるからです。そしてどのインターフェイスをバインドするか (やや奇妙な やり方ですが) 指定できます。
もしあなたのシステムでプリンタを使っているが、ローカルでのみ使っているなら、 そのサービスをネットワークで共有したくはないでしょう。/dev/lp0 デバイスのユーザパーミッションにもとづく cups とか http://pdq.sourceforge.net/ によって提供されるような他の印刷 システムを使うことを検討することができます。
In cups, the print data is transferred to the server via the HTTP protocol. This means the client program doesn't need any special privileges, but does require that the server is listening on a port somewhere.
また、cups/etc/cups/cupsd.conf をこのように 変更することによってループバックインターフェイスをバインドするように 設定できます: 
Listen 127.0.0.1:631
There are many other security options like allowing or denying networks and hosts in this config file. However, if you do not need them you might be better off just limiting the listening port. Cups also serves documentation through the HTTP port, if you do not want to disclose potential useful information to outside attackers (and the port is open) add also: 
<Location />
 Order Deny,Allow
 Deny From All
 Allow From 127.0.0.1
</Location>
This configuration file can be modified to add some more features including SSL/TLS certificates and crypto. The manuals are available at http://localhost:631/ or at http://cups.org.
FIXME: Add more content (the article on http://www.rootprompt.org provides some very interesting views).
FIXME: PDG が Debian で利用可能か調べて、もしそうなら、これをよりよい 印刷システムとして提案する。
FIXME: Farmer/Wietse がプリンタデーモンのかわりになるものを持っているか、 それが Debian で利用可能か調べる。