inetdaemon

[Radosław Kintzi]

Mamy w Ra trzy takowe:
poldek> search -p inetdaemon
3 package(s) found:
inetd-0.17-8
rlinetd-0.5.1-15
xinetd-2.3.8-1

*** inetd 
zależy od tcp_wrappers, co by można było sobie ustalić kontrole
dostępu za pomocą host.(allow|denny). tcp_wrappers a właściwie tcpd
realizuje swoje funkcjie za pomocą libwrap.

*** rlinetd 
w dokumentacji (man rlinetd.conf) jest napisane, że nie ma konieczności 
użycia zewnętrzengo wrapera (np. tcpd), ponieważ jego funkcjonalność
udostępnia wbudowana opcja tcpd. Niestety kontrola dostępu przez
wbudowane mechanizmy rlinetd nie działa. Rlinetd jest linkowany 
z libwrap jednak na pliki hosts.(deny|allow) nie raguje, a właściwie
raguje dziwnie: 

[root w dom tcpd]# cat hosts.deny
/usr/sbin/in.ntalkd: ALL
in.ntalkd: ALL

[root w dom tcpd]# cat hosts.allow
[root w dom tcpd]#

A połączenie normalnie jest realizowane. Gdy w hosts.deny jest tylko:
ALL: ALL, to rlinetd nie pozwala na połączenie.

Nasza domyślna konfiguracja korzysta właśnie z wbudowanych mechanizmów
rlinetd. To IMHO sec dziura i to taka, za którą my jesteśmy odpowiedzialni. 
Powinniśmy to udokumentować, uzależnić rlinetd od tcp_wrapers i zmienić 
domyślną konfigurację (oczywiście jeżeli to ja gdzieś nie szczeliłem
gafy;).

*** xinetd
również jest linkowany z libwrap i nie zależy od tcp_wrapers, co
oznacza, że pewnie też ma wbudowane mechanizmy kontroli i że nasza
domyślna konfiguracja z nich korzysta. Zaraz przetestuje, czy to
działa.

*** tcp_wrappers.spec
tutaj uwaga organizacyjna:
Pliki hosts.allow, hosts.deny oraz manual hosts_access(5) powinien
z tcp_wrappers.rpm trafić do libwrap.rpm (ponieważ wcale nie trzeba 
mieć zainstalowanego tcp_wrappers.rpm, by z tego chiceć korzystać,
np.: w rlinetd.conf(5) jest odesłanie hosts_access(5)).

Pozdrawiam,
Radosław Kintzi

--
mailto:radek w eth0.prv.pl