hosts.allow a to okolo
P Sedo
pese27 at mysun.com
Fri Jan 3 20:49:03 CET 2003
***************************
PeSe
***************************
----- Original Message -----
From: Juraj Lutter <otis at wilbury.sk>
Date: Friday, January 3, 2003 7:07 pm
Subject: Re: hosts.allow a to okolo
> On Fri, Jan 03, 2003 at 06:52:54PM +0100, P Sedo wrote:
> >
> > dobry den
> >
> > akosi mam temne dni a vrta mi hlavou par veci.
> > mam hosts.allow a v nom napisane nejake sluzby.
> > mam tcpdchk a tcpdmatch.
> > o funkcosti som viac, cimenej uzrozumeny, no neviem sa docitat
> ktore zo
> > standardnych sluzieb su linkovane voci tcpd a ktore nie. Ako sa da
> > donutit nejaku sluzby, abybola filtrovana cez tcpd (teda
> hosts.allow).> snad to nie je len vecou zapisu doinkriminovaneho
> suboru?
> zistit sa to da napr. v najjednoduchsom pripade pohladom cez 'ldd'.
>
> hell.1:~# ldd /usr/libexec/sendmail/sendmail
> /usr/libexec/sendmail/sendmail:
> libutil.so.3 => /usr/lib/libutil.so.3 (0x280f0000)
> libwrap.so.3 => /usr/lib/libwrap.so.3 (0x280f9000)
> libssl.so.2 => /usr/lib/libssl.so.2 (0x28101000)
> libcrypto.so.2 => /usr/lib/libcrypto.so.2 (0x2812e000)
> libc.so.4 => /usr/lib/libc.so.4 (0x281e6000)
>
> vsimnime si tu libwrap.so.3
>
ok a ako donutim nejaku sluzbu aby bola linkovana voci libwrap (ak
instalujem nieco z portov)
> >
> > druha vec.
> > preco sa v hosts.allow spomina sendmail? Ak sa na neho vztahuje
> to, ze
> > podlieha kontrole tcpd, potom preco mi tcpdchk hlasi nezrovnalost
> v tom
> > ze nie je v inetd.conf, ale napriek tomu je v hosts.allow?
>
> pretoze zjavne povodne chovanie toho kodu predpokladalo, ze sa tcpd
> vola z inetd ako wrapper okolo povodnej aplikacie.
>
> >
> > ostatna vec na zaver.
> > mam volbu PARANOID ... ok.
> > ako je to kontrolovane? ak je povedane, ze by kazdy pristup mal byt
> > kontrolovany voci zaznamu v dns a aj rev. zaznamu, tak mam pocit
> ze to
> > moc nejuguje. Kde robim v uvazovani chybu?
>
> pri konekte sa zisti reverzka, ked nieje => chyba, ked je, tak sa
> skontroluje, ci to meno je resolvovatelne na A record, ked nieje =>
> chyba, ked je => OK.
>
ak mam stroj, ktory ma A zaznam, ale nema reverz, PTR, tak potom co?
ak sa mi totiz niekto na sendmaili predstavi ako niekto kto ma zaznam ...
resp. mam v domene stroj, kde mam povedane
ALL : PARANOID ...
a potom
sendmail : ALL : allow
tak potom sendmail bude akceptovat aj tie bez reverzu?
totiz zda sa mi, ze to chodi tak, ze ak sa niekto predstavi ako 1.2.3.4
a bude o sebe tvrdit, ze je mail.hotmail.com tak to prejde.
ip existuje a zaznam o mail.hotmail com tiez. To,ze to nesedi ...
chcel by som totiz dosiahnut, aby sluzby stroja vyuzivali len pocitace s
riadnym zaznamom A aj PTR.
Ako sa to bude chovat pri CNAME ...
este nieco
je rozdiel ak mam domenu trdlo-makove.sk a adresy 192.168.10/24,
ci napisem :
pop3: .trdlo-makove.sk :allow
alebo napisem
pop3 : 192.168.10/255.255.255.0 : allow
podotykam, ze nie vsetky pocitace maju zaznam na dns
bude sa to spravat rozdielne?
PeSe
> otis
>
> --
> Juraj Lutter
> http://wilbury.sk/
> bgpd eats bugs for breakfast.
>
***************************
PeSe
***************************
More information about the Users-l
mailing list