Introduzione a tcpwrappers
Il pacchetto tcpwrappers fornisce un demone wrapper che riporta il nome del client che richiede servizi di rete e il servizio richiesto.
-
Download (HTTP): http://files.ichilton.co.uk/nfs/tcp_wrappers_7.6.tar.gz
-
Download (FTP): ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz
-
Download MD5 Sum: e6fa25f71226d090f34de3f6b122fb5a
-
Dimensione del download: 97 KB
-
Stima dello spazio su disco richiesto: 1.04 MB
-
Stima del tempo di costruzione: 0.02 SBU
-
Patch necessaria (corregge alcuni problemi di costruzione e aggiunge la costruzione di una libreria condivisa): http://www.linuxfromscratch.org/blfs/downloads/6.0/tcp_wrappers-7.6-shared_lib_plus_plus-1.patch
Installazione di tcpwrappers
Installare tcpwrappers con i seguenti comandi:
patch -Np1 -i ../tcp_wrappers-7.6-shared_lib_plus_plus-1.patch &&
sed -i -e "s,^extern char \*malloc();,/* & */," scaffold.c &&
make REAL_DAEMON_DIR=/usr/sbin STYLE=-DPROCESS_OPTIONS linux &&
make install
Spiegazioni dei comandi
sed -i -e ... scaffold.c: questo comando rimuove una dichiarazione C obsoleta che causa il fallimento della costruzione se si usa GCC-3.4.x.
Configurazione di tcpwrappers
/etc/hosts.allow, /etc/hosts.deny
Protezioni di file: il wrapper, tutti i file usati dal wrapper, e tutte le directory nel percorso che porta a questi file devono essere accessibili ma non scrivibili per utenti senza privilegi (modo 755 o modo 555). Non installare il set-uid del wrapper.
Quindi eseguire le seguenti modifiche sul file di configurazione /etc/inetd.conf:
finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
diventa:
finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd
![[Nota]](../images/note.png)
Nota
Il server finger è usato qui come esempio.
Nel caso in cui xinetd sia usato devono essere apportate modifiche analoghe, sottolineando che bisogna chiamare /usr/sbin/tcpd invece di chiamare direttamente il demone del servizio, e passare il nome del demone del servizio a tcpd.
Contenuti
Il pacchetto tcpwrappers contiene tcpd, tcpdchk, tcpdmatch, try-from, safe_finger e le librerie libwrap.
Descrizione
tcpd è il demone principale di controllo dell'accesso per tutti i servizi Internet, che inetd o xinetd eseguiranno invece di eseguire il il demone del servizio richiesto.
tcpdchk è un tool per esaminare una configurazione del wrapper tcpd e riportare i problemi cn essa.
tcpdmatch è usato per prevedere come il wrapper tcp gestirà una richiesta specifica si un servizio.
try-from può essere chiamato attraverso un comando di shell remoto per trovare se il nome host name e l'indirizzo sono riconosciuti correttamente.
Last updated on