Библиотека сайта rus-linux.net
| Beyond Linux From Scratch. Version 2011-12-30 | ||
| Назад | 4. Безопасность | Вперед |
Пакет TCP Wrapper-7.6
Знакомимся с пакетом TCP Wrapper
В пакете TCP Wrapper представлены программы-обертки (wrapper program) для демонов, которые сообщают об имени клиентской программы, запрашивающей сервисы, и о запрашиваемом сервисе.
Известно, что пакет правильно собирается и работает на платформе LFS-7.0.
Информация о пакете
- Загрузка (HTTP): http://files.ichilton.co.uk/nfs/tcp_wrappers_7.6.tar.gz
- Загрузка (FTP): ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz
- Контрольная сумма MD5: e6fa25f71226d090f34de3f6b122fb5a
- Размер загружаемого пакета: 97 KB
- Оценочный размер требуемого дискового пространства: 1,09 MB
- Оценочное время сборки: менее 0,1 SBU
Дополнительные загрузки
- Требуемый патч (исправляет некоторые ошибки сборки и добавляет сборку общедоступной библиотеки): http://www.linuxfromscratch.org/patches/blfs/svn/tcp_wrappers-7.6-shared_lib_plus_plus-1.patch
Замечания для пользователей: http://wiki.linuxfromscratch.org/blfs/wiki/tcpwrappers
Установка пакета TCP Wrapper
Установите пакет TCP Wrapper с помощью следующих команд:
patch -Np1 -i ../tcp_wrappers-7.6-shared_lib_plus_plus-1.patch && sed -i -e "s,^extern char \*malloc();,/* & */," scaffold.c && make REAL_DAEMON_DIR=/usr/sbin STYLE=-DPROCESS_OPTIONS linux
В этом пакете набор тестов отсутствует.
Теперь в роли пользователя root выполните:
make install
Пояснение команды
sed -i -e ... scaffold.c: Эта команда удаляет устаревшие декларации C, из-за которых не удается выполнить сборку в случае, если используется GCC >= 3.4.x
Конфигурирование пакета TCP Wrapper
Конфигурационные файлы
/etc/hosts.allow и /etc/hosts.deny
Защита файлов: файл-обертка, все файлы, им используемые, и все директории в пути, ведущим к этим файлам, должны быть доступны для непривилегированных пользователей, но только не на запись (режим 755 или 555). Не задавайте для файла-обертки значение set-uid.
В роли пользователя root выполните следующее редактирование файла /etc/inetd.conf:
Строку:
finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
замените на:
finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd
|
ЗамечаниеСервер finger используется здесь только в качестве примера. |
Аналогичные изменения следует сделать, если используется xinetd, с акцентом на вызов /usr/sbin/tcpd вместо прямого обращения к демону сервиса, и передачи в tcpd имени сервиса.
Описание пакета
Установленные программы: tcpd, tcpdchk, tcpdmatch, try-from и safe_finger
Установленные библиотеки: libwrap.{so,a}
Установленные директории: Нет
Краткое описание
tcpd | является основным демоном управления доступом ко всем интернет сервисам, этот демон будет запускать inetd или xinetd вместо демона запрашиваемого сервиса |
tcpdchk | инструментальное средство, которое проверяет конфигурацию tcpd и сообщает об имеющихся проблемах |
tcpdmatch | используется для предсказания того, как обертка TCP должна обрабатывать конкретный запрос сервиса |
try-from | может вызваться дистанционно из командной оболочки для определения, правильно ли распознаны имя и адрес хоста |
safe_finger | обертка утилиты finger, обеспечивающей автоматический обратный поиск имен |
| содержит функции API, необходимые программам Wrapper TCP, а также другим программам с тем чтобы их можно было использовать с TCP Wrapper |
Перевод сделан с варианта оригинала, датированного 2011-11-13 19:23:16 +0000
| Предыдущий раздел: | Оглавление | Следующий раздел: |
| Пакет Sudo-1.8.2 | Пакет Tripwire-2.4.2.2 |