hosts.allow a to okolo

P Sedo pese27 at mysun.com
Fri Jan 3 20:49:03 CET 2003



***************************
PeSe
***************************

----- Original Message -----
From: Juraj Lutter <otis at wilbury.sk>
Date: Friday, January 3, 2003 7:07 pm
Subject: Re: hosts.allow a to okolo

> On Fri, Jan 03, 2003 at 06:52:54PM +0100, P Sedo wrote:
> > 
> > dobry den
> > 
> > akosi mam temne dni a vrta mi hlavou par veci.
> > mam hosts.allow a v nom napisane nejake sluzby.
> > mam tcpdchk a tcpdmatch.
> > o funkcosti som viac, cimenej uzrozumeny, no neviem sa docitat 
> ktore zo
> > standardnych sluzieb su linkovane voci tcpd a ktore nie.  Ako sa da
> > donutit nejaku sluzby, abybola filtrovana cez tcpd (teda 
> hosts.allow).> snad to nie je len vecou zapisu doinkriminovaneho 
> suboru?
> zistit sa to da napr. v najjednoduchsom pripade pohladom cez 'ldd'.
> 
> hell.1:~# ldd /usr/libexec/sendmail/sendmail 
> /usr/libexec/sendmail/sendmail:
>        libutil.so.3 => /usr/lib/libutil.so.3 (0x280f0000)
>        libwrap.so.3 => /usr/lib/libwrap.so.3 (0x280f9000)
>        libssl.so.2 => /usr/lib/libssl.so.2 (0x28101000)
>        libcrypto.so.2 => /usr/lib/libcrypto.so.2 (0x2812e000)
>        libc.so.4 => /usr/lib/libc.so.4 (0x281e6000)
> 
> vsimnime si tu libwrap.so.3 
> 

ok a ako donutim nejaku sluzbu aby bola linkovana voci libwrap (ak
instalujem nieco z portov)


> > 
> > druha vec.
> > preco sa v hosts.allow spomina sendmail? Ak sa na neho vztahuje 
> to, ze
> > podlieha kontrole tcpd, potom preco mi tcpdchk hlasi nezrovnalost 
> v tom
> > ze nie je v inetd.conf, ale napriek tomu je v hosts.allow?
> 
> pretoze zjavne povodne chovanie toho kodu predpokladalo, ze sa tcpd
> vola z inetd ako wrapper okolo povodnej aplikacie.
> 
> > 
> > ostatna vec na zaver.
> > mam volbu PARANOID ... ok.
> > ako je to kontrolovane? ak je povedane, ze by kazdy pristup mal byt
> > kontrolovany voci zaznamu v dns a aj rev. zaznamu, tak mam pocit 
> ze to
> > moc nejuguje. Kde robim v uvazovani chybu?
> 
> pri konekte sa zisti reverzka, ked nieje => chyba, ked je, tak sa
> skontroluje, ci to meno je resolvovatelne na A record, ked nieje =>
> chyba, ked je => OK.
> 
ak mam stroj, ktory ma A zaznam, ale nema reverz, PTR, tak potom co?
ak sa mi totiz niekto na sendmaili predstavi ako niekto kto ma zaznam ...

resp. mam v domene stroj, kde mam povedane
ALL : PARANOID ...
a potom 
sendmail : ALL : allow

tak potom sendmail bude akceptovat aj tie bez reverzu?
totiz zda sa mi, ze to chodi tak, ze ak sa niekto predstavi ako 1.2.3.4
 a bude o sebe tvrdit, ze je mail.hotmail.com tak to prejde.
ip existuje a zaznam o mail.hotmail com tiez. To,ze to nesedi ...

chcel by som totiz dosiahnut, aby sluzby stroja vyuzivali len pocitace s
riadnym zaznamom A aj PTR.
Ako sa to bude chovat pri CNAME ...

este nieco 

je rozdiel ak mam domenu trdlo-makove.sk a adresy 192.168.10/24,
ci napisem :
pop3: .trdlo-makove.sk :allow
alebo napisem
pop3 : 192.168.10/255.255.255.0 : allow

podotykam, ze nie vsetky pocitace maju zaznam na dns

bude sa to spravat rozdielne?

PeSe

> otis
> 
> -- 
> Juraj Lutter
> http://wilbury.sk/
> bgpd eats bugs for breakfast.
> 

***************************
PeSe
***************************





More information about the Users-l mailing list