hosts.allow a to okolo

Ivo Hazmuk ivo at vutbr.cz
Fri Jan 3 19:18:25 CET 2003


Dobry vecer,

> akosi mam temne dni a vrta mi hlavou par veci.
> mam hosts.allow a v nom napisane nejake sluzby.
> mam tcpdchk a tcpdmatch.

jen ve zkratce. Kdysi davno se do FreeBSD doinstalovaval balik
tcpwrapper (tcpd). Ted uz vetsina aplikaci se umi wrappera optat sama,
jestli pripojujici se stroj je opravnen sluzbu vyuzit ci nikoliv.

Pouzivalo se to nejcasteji ve spojeni s inetd. Do /etc/inetd.conf clovek
napsal treba radek:
ftp     stream  tcp     nowait  root    tcpd       ftpd

a tim rekl, ze ftp server se ma dotazovat tpcwrapperu. Potom podle
obsahu souboru hosts.allow a hosts.deny se stroj rozhodnul, jestli bude
pristup povolen ci odmitnut.

Nektere programy (sendmail) uz ve versi 8.8.8 (mozna i drive) umely
vznest dotaz na tcpd. Tedy mimo inetd.

Dnes je to uz hodne jinak a wrapper je primo v systemu. Lze s nim delat
leccos. Treba poslat mail o neopravnenem pokusu vyuzit nejakou sluzbu,
...

> o funkcosti som viac, cimenej uzrozumeny, no neviem sa docitat ktore zo
> standardnych sluzieb su linkovane voci tcpd a ktore nie.  Ako sa da
> donutit nejaku sluzby, abybola filtrovana cez tcpd (teda hosts.allow).
> snad to nie je len vecou zapisu doinkriminovaneho suboru?

podivejte se na hosts.allow a inetd.conf. V hosts.allow se pise jmeno
daemona, ktery ma byt hlidan.

> druha vec.
> preco sa v hosts.allow spomina sendmail? Ak sa na neho vztahuje to, ze
> podlieha kontrole tcpd, potom preco mi tcpdchk hlasi nezrovnalost v tom
> ze nie je v inetd.conf, ale napriek tomu je v hosts.allow?

viz vyse. Sendmail umi vyuzit tcp wrapper.

> ostatna vec na zaver.
> mam volbu PARANOID ... ok.
> ako je to kontrolovane? ak je povedane, ze by kazdy pristup mal byt
> kontrolovany voci zaznamu v dns a aj rev. zaznamu, tak mam pocit ze to
> moc nejuguje. Kde robim v uvazovani chybu?

Jedna se opravdu o kontrolu proti DNS.
       PARANOID
              Matches any host whose  name  does  not  match  its
              address.    When  tcpd  is  built  with  -DPARANOID
              (default mode), it drops requests from such clients
              even  before  looking at the access control tables.
              Build without -DPARANOID when you want more control
              over such requests.

       UNKNOWN
              Matches any user whose name is unknown, and matches
              any  host  whose name or address are unknown.  This
              pattern should be used with care: host names may be
              unavailable  due to temporary name server problems.
              A network address  will  be  unavailable  when  the
              software  cannot figure out what type of network it
              is talking to.


Podivej se na hosts_options(5).

	Mej se
		Ivosh

Open-Source software isn't a matter of life or death...
...It's much more important than that!




More information about the Users-l mailing list