inetdaemon

Marcin Bohosiewicz marcus w kernel.pl
Nie, 6 Paź 2002, 21:44:36 CEST 

On Sun, 6 Oct 2002, Radosław Kintzi wrote:

> On Sun, Oct 06, 2002 at 06:39:01PM +0200, Jacek Konieczny wrote:
> > On Sun, Oct 06, 2002 at 04:28:54PM +0200, Radosław Kintzi wrote:
> > > *** rlinetd 
> > > w dokumentacji (man rlinetd.conf) jest napisane, że nie ma konieczności 
> > > użycia zewnętrzengo wrapera (np. tcpd), ponieważ jego funkcjonalność
> > > udostępnia wbudowana opcja tcpd. Niestety kontrola dostępu przez
> > > wbudowane mechanizmy rlinetd nie działa. Rlinetd jest linkowany 
> > > z libwrap jednak na pliki hosts.(deny|allow) nie raguje, a właściwie
> > > raguje dziwnie: 
> > ...
> > 
> > rlinetd dziala z hosts.(deny|allow) i wcale nie dziwnie. Może jedynie
> > trochę inaczej niż tcpd (IMHO bardziej logicznie).
> > 
> > > [root w dom tcpd]# cat hosts.deny
> > > /usr/sbin/in.ntalkd: ALL
> > > in.ntalkd: ALL
> > 
> > Zamias /usr/sbin/in.ntalkd czy in.ntalkd daj nazwę serwisu taką, jak
> > masz w /etc/sysconfig/rc-inetd
> 
> Ok. Masz rację działa. To troszkę inaczej wynika z tego że tcpd nic nie
> wie o tym, jak nazywa się usługa w rc-intetd/, nie wie nawet jak nazywa
> się usługa w /etc/inetd.conf. Zna tylko nazwę pliku. 
A da sie go jakos o tym poinformowac?
Chodzi m.in. o to, by regulka "ftp: " w /etc/tcpd/* tyczyla dowolneggo
z serwerow ftp, ktore podlegaja wyborowi (sa nawzajem w Obsoletes).
> 
> Teraz trzeba się zastanowić, czy nie powinniśmy nazwać usług w rc-inetd/ 
> tak jak się nazywają pliki, bo inaczej nieświadomy user, który postanowi 
> przejść z inetd na rlinetd lub odwrotnie zwiedziony dużą automatyką  pld 
> zrobi sobie dziurę  w systemie (nawet  jeśli przeczyta  dokumentację  do 
> inetdaemonów, np.: "oba wspeirają hosts.(allow|deny) więc moja
> konfiguracja jest jest ok"). 
A jakie pliki?
Pamietaj ze o ile in.ntalkd jest jeden, to takich ftpd, pop3d itp. juz 
jest kilka, kazdy o innej nazwie pliku. 
Co nam nie przeszkadza bo od tego jest rc-inetd.
Jedyna rzecz, ktora mozna zrobic to poprawic backend rc-inetd dla inetd.

M.

PS. A i tak lepiej do wycinania uslug uzywac firewalla a nie tcpd.
Czemu? Bo tcpd nie zabezpiecza przed DoS'em zwiazanym z nawiazaniem
tak duzej ilsci polaczen, ze zabraknie wolnych deskryptorow plikow 
na nowe polaczenia.


-- 
-| == Marcin Bohosiewicz - MB8042-RIPE - marcus w kernel.pl	== |-
-| == tel. +48 601 485097 - PLD Team   - marcus w pld.org.pl      == |-
-| == http://www.kernel.pl/ -          ftp://ftp.kernel.pl/     == |-
-| == PLUG - Komisja Rewizyjna  -      http://www.linux.org.pl/ == |-

Więcej informacji o liście dyskusyjnej pld-devel-pl