inetdaemon

Radosław Kintzi lists w eth0.prv.pl
Nie, 6 Paź 2002, 22:50:14 CEST 

On Sun, Oct 06, 2002 at 09:44:36PM +0200, Marcin Bohosiewicz wrote:
> On Sun, 6 Oct 2002, Radosław Kintzi wrote:
> 
> > On Sun, Oct 06, 2002 at 06:39:01PM +0200, Jacek Konieczny wrote:
> > > On Sun, Oct 06, 2002 at 04:28:54PM +0200, Radosław Kintzi wrote:
> > > > [root w dom tcpd]# cat hosts.deny
> > > > /usr/sbin/in.ntalkd: ALL
> > > > in.ntalkd: ALL
> > > 
> > > Zamias /usr/sbin/in.ntalkd czy in.ntalkd daj nazwę serwisu taką, jak
> > > masz w /etc/sysconfig/rc-inetd
> > 
> > Ok. Masz rację działa. To troszkę inaczej wynika z tego że tcpd nic nie
> > wie o tym, jak nazywa się usługa w rc-intetd/, nie wie nawet jak nazywa
> > się usługa w /etc/inetd.conf. Zna tylko nazwę pliku. 
> A da sie go jakos o tym poinformowac?
> Chodzi m.in. o to, by regulka "ftp: " w /etc/tcpd/* tyczyla dowolneggo
> z serwerow ftp, ktore podlegaja wyborowi (sa nawzajem w Obsoletes).
OK. Patrz wcześniejszy mój list.

> > 
> > Teraz trzeba się zastanowić, czy nie powinniśmy nazwać usług w rc-inetd/ 
> > tak jak się nazywają pliki, bo inaczej nieświadomy user, który postanowi 
> > przejść z inetd na rlinetd lub odwrotnie zwiedziony dużą automatyką  pld 
> > zrobi sobie dziurę  w systemie (nawet  jeśli przeczyta  dokumentację  do 
> > inetdaemonów, np.: "oba wspeirają hosts.(allow|deny) więc moja
> > konfiguracja jest jest ok"). 
> A jakie pliki?
> Pamietaj ze o ile in.ntalkd jest jeden, to takich ftpd, pop3d itp. juz 
> jest kilka, kazdy o innej nazwie pliku. 
> Co nam nie przeszkadza bo od tego jest rc-inetd.
> Jedyna rzecz, ktora mozna zrobic to poprawic backend rc-inetd dla inetd.
zrozumiałem za pierwszym razem, ten był trzeci :)

> M.
> 
> PS. A i tak lepiej do wycinania uslug uzywac firewalla a nie tcpd.
> Czemu? Bo tcpd nie zabezpiecza przed DoS'em zwiazanym z nawiazaniem
> tak duzej ilsci polaczen, ze zabraknie wolnych deskryptorow plikow 
> na nowe polaczenia.

Jeżeli chodzi o inetd w połączeniu tcpd faktycznie masz rację.
Dlatego powstał rlinetd, w którym można nałożyć wiele ograniczeń 
(man rlietd.conf; man setrlimit). Tutaj wychodzi słabość rc-inetd:
nie w nich możliwości ustawienia tych ograniczeń. Co nie znaczy,
że nie możnaby takiej możliwości dołożyć. W zasadzie mam trochę
czasu, moge zrobić (przynajmniej dla rlinetd).

Pozdrawiam,
Radosław Kintzi

--
mailto:redek w eth0.prv.pl

Więcej informacji o liście dyskusyjnej pld-devel-pl