hosts.allow a to okolo

Dan Lukes dan at obluda.cz
Sun Jan 5 21:15:35 CET 2003


P Sedo wrote, On 01/03/03 21:02:
>> zistit sa to da napr. v najjednoduchsom pripade pohladom cez 'ldd'.
>> 
>> hell.1:~# ldd /usr/libexec/sendmail/sendmail 
>> /usr/libexec/sendmail/sendmail:
>>        libwrap.so.3 => /usr/lib/libwrap.so.3 (0x280f9000)
>>        libssl.so.2 => /usr/lib/libssl.so.2 (0x28101000)
>>        libcrypto.so.2 => /usr/lib/libcrypto.so.2 (0x2812e000)
>>        libc.so.4 => /usr/lib/libc.so.4 (0x281e6000)
>> 
>> vsimnime si tu libwrap.so.3 

	Mimochodem, to samozrejme nefunguje v pripade, ze je tato knihovna 
prilinkovana staticky.

> ok a ako donutim nejaku sluzbu aby bola linkovana voci libwrap (ak
> instalujem nieco 
> z portov)

	No, pokud s tim autor vubec nepocital, tak bez prepisovani zdrojovych 
kodu nijak - uziti libwrap neni jen otazka jejiho prilinkovani, ale 
take, pochopitelne, spravneho volani prislusnych funkci.

	Pokud s tim autor kodu pocital a Makefile portu umoznuje volitelne 
libwrap pouzit nebo nepouzit, pak je obvykle nutne podivat se primo do 
onoho Makefile. Zadne obecne pravidlo neexistuje ...

>> > mam volbu PARANOID ... ok.
>> > ako je to kontrolovane? ak je povedane, ze by kazdy pristup mal byt
>> > kontrolovany voci zaznamu v dns a aj rev. zaznamu, tak mam pocit 
>> ze to
>> > moc nejuguje. Kde robim v uvazovani chybu?
>> 
>> pri konekte sa zisti reverzka, ked nieje => chyba, ked je, tak sa
>> skontroluje, ci to meno je resolvovatelne na A record, ked nieje =>
>> chyba, ked je => OK.
>> 
> ak mam stroj, ktory ma A zaznam, ale nema reverz, PTR, tak potom co?
> ak sa mi totiz niekto na sendmaili predstavi ako niekto kto ma zaznam ...
> 
> resp. mam v domene stroj, kde mam povedane
> ALL : PARANOID ...
> a potom 
> sendmail : ALL : allow
> 
> tak potom sendmail bude akceptovat aj tie bez reverzu?
> totiz zda sa mi, ze to chodi tak, ze ak sa niekto predstavi ako 1.2.3.4
>  a bude o se
> be tvrdit, ze je mail.hotmail.com tak to prejde.
> ip existuje a zaznam o mail.hotmail com tiez. To,ze to nesedi ...

	Pokud prijde spojeni z IP 1.2.3.4 a reverzne se toto jmeno prevede na 
mail.hotmail.com - a dopredne se toto jmeno podari prevest znovu na 
adresu 1.2.3.4, tak je paranoie ucineno zadost a zaznam je v poradku. 
Nestaci jen aby zaznamy existovaly - musi take "pasovat k sobe".

> Ako sa to bude chovat pri CNAME ...

	Stejne. nezapominejte, ze vychozi udaj je IP - nikoli jmeno.


							Dan


-- 
Dan Lukes     tel: +420 2 21914205, fax: +420 2 21914206
root of  FIONet, KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz




More information about the Users-l mailing list