Рейтинг@Mail.ru
[Войти] [Зарегистрироваться]

Наши друзья и партнеры

UnixForum




Книги по Linux (с отзывами читателей)

Библиотека сайта rus-linux.net

На главную -> MyLDP -> Электронные книги по ОС Linux
Beyond Linux From Scratch. Version 2011-12-30
Назад 4. Безопасность Вперед

Пакет TCP Wrapper-7.6

Знакомимся с пакетом TCP Wrapper

В пакете TCP Wrapper представлены программы-обертки (wrapper program) для демонов, которые сообщают об имени клиентской программы, запрашивающей сервисы, и о запрашиваемом сервисе.

Известно, что пакет правильно собирается и работает на платформе LFS-7.0.

Информация о пакете

Дополнительные загрузки

Замечания для пользователей: http://wiki.linuxfromscratch.org/blfs/wiki/tcpwrappers

Установка пакета TCP Wrapper

Установите пакет TCP Wrapper с помощью следующих команд:

patch -Np1 -i ../tcp_wrappers-7.6-shared_lib_plus_plus-1.patch &&
sed -i -e "s,^extern char \*malloc();,/* & */," scaffold.c &&
make REAL_DAEMON_DIR=/usr/sbin STYLE=-DPROCESS_OPTIONS linux

В этом пакете набор тестов отсутствует.

Теперь в роли пользователя root выполните:

make install

Пояснение команды

sed -i -e ... scaffold.c: Эта команда удаляет устаревшие декларации C, из-за которых не удается выполнить сборку в случае, если используется GCC >= 3.4.x

Конфигурирование пакета TCP Wrapper

Конфигурационные файлы

/etc/hosts.allow и /etc/hosts.deny

Защита файлов: файл-обертка, все файлы, им используемые, и все директории в пути, ведущим к этим файлам, должны быть доступны для непривилегированных пользователей, но только не на запись (режим 755 или 555). Не задавайте для файла-обертки значение set-uid.

В роли пользователя root выполните следующее редактирование файла /etc/inetd.conf:

Строку:

finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd

замените на:

finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd

Замечание

Сервер finger используется здесь только в качестве примера.

Аналогичные изменения следует сделать, если используется xinetd, с акцентом на вызов /usr/sbin/tcpd вместо прямого обращения к демону сервиса, и передачи в tcpd имени сервиса.

Описание пакета

Установленные программы: tcpd, tcpdchk, tcpdmatch, try-from и safe_finger

Установленные библиотеки: libwrap.{so,a}

Установленные директории: Нет

Краткое описание

tcpd

является основным демоном управления доступом ко всем интернет сервисам, этот демон будет запускать inetd или xinetd вместо демона запрашиваемого сервиса

tcpdchk

инструментальное средство, которое проверяет конфигурацию tcpd и сообщает об имеющихся проблемах

tcpdmatch

используется для предсказания того, как обертка TCP должна обрабатывать конкретный запрос сервиса

try-from

может вызваться дистанционно из командной оболочки для определения, правильно ли распознаны имя и адрес хоста

safe_finger

обертка утилиты finger, обеспечивающей автоматический обратный поиск имен

libwrap.{so,a}

содержит функции API, необходимые программам Wrapper TCP, а также другим программам с тем чтобы их можно было использовать с TCP Wrapper

Перевод сделан с варианта оригинала, датированного 2011-11-13 19:23:16 +0000


Предыдущий раздел: Оглавление Следующий раздел:
Пакет Sudo-1.8.2   Пакет Tripwire-2.4.2.2


Эта статья еще не оценивалась
Вы сможете оценить статью и оставить комментарий, если войдете или зарегистрируетесь.
Только зарегистрированные пользователи могут оценивать и комментировать статьи.

Комментарии отсутствуют