hosts.allow a to okolo
Ivo Hazmuk
ivo at vutbr.cz
Fri Jan 3 19:18:25 CET 2003
Dobry vecer,
> akosi mam temne dni a vrta mi hlavou par veci.
> mam hosts.allow a v nom napisane nejake sluzby.
> mam tcpdchk a tcpdmatch.
jen ve zkratce. Kdysi davno se do FreeBSD doinstalovaval balik
tcpwrapper (tcpd). Ted uz vetsina aplikaci se umi wrappera optat sama,
jestli pripojujici se stroj je opravnen sluzbu vyuzit ci nikoliv.
Pouzivalo se to nejcasteji ve spojeni s inetd. Do /etc/inetd.conf clovek
napsal treba radek:
ftp stream tcp nowait root tcpd ftpd
a tim rekl, ze ftp server se ma dotazovat tpcwrapperu. Potom podle
obsahu souboru hosts.allow a hosts.deny se stroj rozhodnul, jestli bude
pristup povolen ci odmitnut.
Nektere programy (sendmail) uz ve versi 8.8.8 (mozna i drive) umely
vznest dotaz na tcpd. Tedy mimo inetd.
Dnes je to uz hodne jinak a wrapper je primo v systemu. Lze s nim delat
leccos. Treba poslat mail o neopravnenem pokusu vyuzit nejakou sluzbu,
...
> o funkcosti som viac, cimenej uzrozumeny, no neviem sa docitat ktore zo
> standardnych sluzieb su linkovane voci tcpd a ktore nie. Ako sa da
> donutit nejaku sluzby, abybola filtrovana cez tcpd (teda hosts.allow).
> snad to nie je len vecou zapisu doinkriminovaneho suboru?
podivejte se na hosts.allow a inetd.conf. V hosts.allow se pise jmeno
daemona, ktery ma byt hlidan.
> druha vec.
> preco sa v hosts.allow spomina sendmail? Ak sa na neho vztahuje to, ze
> podlieha kontrole tcpd, potom preco mi tcpdchk hlasi nezrovnalost v tom
> ze nie je v inetd.conf, ale napriek tomu je v hosts.allow?
viz vyse. Sendmail umi vyuzit tcp wrapper.
> ostatna vec na zaver.
> mam volbu PARANOID ... ok.
> ako je to kontrolovane? ak je povedane, ze by kazdy pristup mal byt
> kontrolovany voci zaznamu v dns a aj rev. zaznamu, tak mam pocit ze to
> moc nejuguje. Kde robim v uvazovani chybu?
Jedna se opravdu o kontrolu proti DNS.
PARANOID
Matches any host whose name does not match its
address. When tcpd is built with -DPARANOID
(default mode), it drops requests from such clients
even before looking at the access control tables.
Build without -DPARANOID when you want more control
over such requests.
UNKNOWN
Matches any user whose name is unknown, and matches
any host whose name or address are unknown. This
pattern should be used with care: host names may be
unavailable due to temporary name server problems.
A network address will be unavailable when the
software cannot figure out what type of network it
is talking to.
Podivej se na hosts_options(5).
Mej se
Ivosh
Open-Source software isn't a matter of life or death...
...It's much more important than that!
More information about the Users-l
mailing list