23/01/06

TCPWrappers


Il TcpWrapper è gestito dal superdaemon xinetd, tutti iservizi gestiti da esso sono nella directory /etc/xinetd.d/.
E' possibile attivare e disattivare i servizi gestitui da xinetd usando il comando chkconfig; per esempio se si desidera attivare il servizio telnet si può usare il comando:
]#chkconfig telnet on
che fa partire immediatamente il servizio senza dover riavviare xinetd. Per disattivare il servizio il comando è:
]#chkconfig telnet off
Sia xinetd che tutti i servizi standalone (httpd, sshd, sendmail etc..) fanno riferimento ai cosidetti wrapper tcp.
Quando un client chiede di accedere a un daemon che usa il wrapper tcp, il tcpd si frappone tra client e server, applica le direttive di controllo dell'accesso e scompare per alleggerire la comunicazione client/server.
L'autorizzaziopne a contattare determinati daemon viene concessa o negata in base al contenuto dei file:
etc/hosts.deny - etc/hosts.allow
se sono vuoti tutti i servizi attivati sul server saranno dispinobili per qualunque macchina sulla rete .
Facciamo un esempio di configurazione:
]#vi /etc/hosts.deny
ALL: ALL (neghiamo tutto a tutti)

]#vi /etc/hosts.allow
ALL: 151.90. : ALLOW (tutti i servizi attivi sono raggiungibili dalla sottorete 151.90.)
sendmail: 171.90., 151.90. : ALLOW (il servizio standalone sendmail è abilitato per 2 sottoreti la 171.90 e la 151.90)
ipop3d: 171.90., 151.90., : ALLOW (il servizio pop3 e abilitato per le due sottoreti)
sshd: 151.90.3.1 : ALLOW (il servizio ssh è abilitato solo ad un client con ip specifico e basta)
in.telnetd : ALL: spawn (/bin/mail -s "Connessione telnet da %a %u" root) & DENY (il telnet è vietato a tutti ed invia una mail a root di chi ha provato il collegamento telnet).

Dopo ogni modifica non occorre far ripartire alcun servizio per far rileggere hosts.deny ed hosts.allow in quanto il tcpd è invocato ogni volta che una macchina cerca di stabilire una connessione.

Nessun commento:

Posta un commento