PLD CVS: SPECS misiek

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Nie, 11 Lip 1999, 13:25:01 CEST 

On Sun, 11 Jul 1999, Wojtek Slusarczyk wrote:

> On Sun, 11 Jul 1999, Tomasz Kłoczko wrote:
> 
> > Z innej beczki.
> > Przyglądam sie właśnie rlinetd i dochodzę do wniosku, że możnaby spróbować
> > wywalić inetd na zbity pysk. Co na to inni ?
> 
> ... Twój cyrk twoje małpy. Rlinetd i inne takie powinny IMHO byc w
> supported diabli wiedza co w nich siedzi i jakie potencjalne 'wady' maja
> Wstawianie rlinetd w tej chwili jako domyslnego super-serwera sieciowego
> do 'stable' jest rownoznaczne z nakladaniem sobie worka na leb. Moze
> bedzie chodzilo poprawnie moze nie. Takie rzeczy raczej powinny byc w
> PLD-devel najpierw testowane zanim trafia do stable.
> Przypominam, ze wszystkie (liczace sie ) dystrybucje linuxa oparte sa o
> inetd a raczej tych dystrybucji nie skladaja osoby bez doswiadczenia.

To jest wynik tego, że dotąd nikt się za niczym innym tak naprawdę nie
rozglądał, a i nie było silnego bodźca do takiego ruchu. Na pewno nie
wynika to z podejścia opartego o analizę bezpieczeństwa. Powiedziałbym
nawet, że w wyniku takiej analizy sięga sie właśnie po inne narzędzia tej
klasy. Następne .. inetd praktycznie się nie rozwija czego nie można
powiedzieć o innych, a przecież wciąż poznawane sa nowe techniki
penetracji. Ostatnia data modyfikacji inetd to maj 1997 (!?) - to
jest niepokąca dawno temu. Może cytat z dok xiniet:

Q. Why should I use it ?
A. Because it is a lot better (IMHO) than inetd. Here are the reasons:
[..]
      4) It can prevent denial-of-access attacks by
            a. placing limits on the number of servers for each service
               (avoids process table overflows)
            b. placing an upper bound on the number of processes it will fork
            c. placing limits on the size of log files it creates

Pozostałe punky też są ciekawe.
Zapewne w dok rlinetd też dałoby się coś znaleźć co by dawało podstawy do
zmian. W tcp server też pamiętam, że coś było na ten temat.
Także Wojtek nie zakładaj, że czegoś nie pominąłeś.

> > Co do jeszcze plików opisujących serwisy to wydają się one na tyle proste 
> > i uniwersalne, że mogłyby służyć za wzorcowy opis obsługiwanych serwisów w
> 
> Prosty i uniwersalny jest tez debianowy 'update-inetd' ktory znalazl juz
> swoje stale miejsce w 1.3 PLD ...

I ma jedną wadę, że operuje tylko na inetd.conf.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*

Więcej informacji o liście dyskusyjnej pld-devel-pl