hosts.allow a to okolo
Dan Lukes
dan at obluda.cz
Sun Jan 5 21:15:35 CET 2003
P Sedo wrote, On 01/03/03 21:02:
>> zistit sa to da napr. v najjednoduchsom pripade pohladom cez 'ldd'.
>>
>> hell.1:~# ldd /usr/libexec/sendmail/sendmail
>> /usr/libexec/sendmail/sendmail:
>> libwrap.so.3 => /usr/lib/libwrap.so.3 (0x280f9000)
>> libssl.so.2 => /usr/lib/libssl.so.2 (0x28101000)
>> libcrypto.so.2 => /usr/lib/libcrypto.so.2 (0x2812e000)
>> libc.so.4 => /usr/lib/libc.so.4 (0x281e6000)
>>
>> vsimnime si tu libwrap.so.3
Mimochodem, to samozrejme nefunguje v pripade, ze je tato knihovna
prilinkovana staticky.
> ok a ako donutim nejaku sluzbu aby bola linkovana voci libwrap (ak
> instalujem nieco
> z portov)
No, pokud s tim autor vubec nepocital, tak bez prepisovani zdrojovych
kodu nijak - uziti libwrap neni jen otazka jejiho prilinkovani, ale
take, pochopitelne, spravneho volani prislusnych funkci.
Pokud s tim autor kodu pocital a Makefile portu umoznuje volitelne
libwrap pouzit nebo nepouzit, pak je obvykle nutne podivat se primo do
onoho Makefile. Zadne obecne pravidlo neexistuje ...
>> > mam volbu PARANOID ... ok.
>> > ako je to kontrolovane? ak je povedane, ze by kazdy pristup mal byt
>> > kontrolovany voci zaznamu v dns a aj rev. zaznamu, tak mam pocit
>> ze to
>> > moc nejuguje. Kde robim v uvazovani chybu?
>>
>> pri konekte sa zisti reverzka, ked nieje => chyba, ked je, tak sa
>> skontroluje, ci to meno je resolvovatelne na A record, ked nieje =>
>> chyba, ked je => OK.
>>
> ak mam stroj, ktory ma A zaznam, ale nema reverz, PTR, tak potom co?
> ak sa mi totiz niekto na sendmaili predstavi ako niekto kto ma zaznam ...
>
> resp. mam v domene stroj, kde mam povedane
> ALL : PARANOID ...
> a potom
> sendmail : ALL : allow
>
> tak potom sendmail bude akceptovat aj tie bez reverzu?
> totiz zda sa mi, ze to chodi tak, ze ak sa niekto predstavi ako 1.2.3.4
> a bude o se
> be tvrdit, ze je mail.hotmail.com tak to prejde.
> ip existuje a zaznam o mail.hotmail com tiez. To,ze to nesedi ...
Pokud prijde spojeni z IP 1.2.3.4 a reverzne se toto jmeno prevede na
mail.hotmail.com - a dopredne se toto jmeno podari prevest znovu na
adresu 1.2.3.4, tak je paranoie ucineno zadost a zaznam je v poradku.
Nestaci jen aby zaznamy existovaly - musi take "pasovat k sobe".
> Ako sa to bude chovat pri CNAME ...
Stejne. nezapominejte, ze vychozi udaj je IP - nikoli jmeno.
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list