Vraag & Antwoord

OS Linux

Tcp wrappers --> wat is dit en wat moet ik ermee?

Anoniem
Peter Willemsen
12 antwoorden
  • Ik probeerde een ssh verbinding op te zetten en hiervoor moest ik eerst /etc/hosts.allow aanpassen.

    Wat is die "tcp wrappers"? Is dat een soort extra firewall of zo? Shorewall stond ingesteld om ssh door te laten, maar zonder de aanpassing in hosts.allow kon ik niet inloggen.

    Aan de andere kant kan ik wel bijv. inloggen op webmin als die poort in shorewall openstaat, zonder dat /etc/hosts.allow hierover iets beschrijft. Sterker nog, de standaard instelling is dat /etc/hosts.allow leeg is en /etd/hosts.deny ALLES (!) blokkeert.

    Wat is de functie van die hosts.allow en wanneer is het wel en niet nodig?
  • het is een gok, maar ik meende dat host.allow met de inetdaemon te maken heeft

    Max
  • Wat is dat voor daemon dan?
  • Het werkt in het kort als volgt:

    Als er een aanvraag voor een bepaalde service binnenkomt ontvangt inetd deze. Inetd zorgt er vervolgens voor dat tcpd start. Tcpd controleert aan de hand van de configuratiebestanden /etc/hosts.allow en /etc/hosts.deny of alles in orde is en pas als dat het geval is, start het de service in kwestie op.

    Om deze bestanden draait het allemaal:

    /etc/inetd.conf
    /etc/hosts.allow
    /etc/hosts.deny
  • Daar moet aan toegevoegd worden dat sommige daemons (in sommige distro's) ook tegen libwrap (onderdeel van TCP wrappers) aan linken, waardoor access control bij die daemons ook via hosts.access en hosts.deny ingesteld kan worden.
  • [quote:6d71912efb="m3ssi4h"]Als er een aanvraag voor een bepaalde service binnenkomt ontvangt inetd deze. Inetd zorgt er vervolgens voor dat tcpd start. Tcpd controleert aan de hand van de configuratiebestanden /etc/hosts.allow en /etc/hosts.deny of alles in orde is en pas als dat het geval is, start het de service in kwestie op.[/quote:6d71912efb]Hee maar zo werkt toch [b:6d71912efb]x[/b:6d71912efb]inetd? Ik heb ergens gelezen dat het voordeel daarvan juist was dat services pas gestart worden als de aanvraag binnenkomt.

    [quote:6d71912efb="danieldk"]Daar moet aan toegevoegd worden dat sommige daemons (in sommige distro's) ook tegen libwrap (onderdeel van TCP wrappers) aan linken, waardoor access control bij die daemons ook via hosts.access en hosts.deny ingesteld kan worden.[/quote:6d71912efb]Zou het dan kunnen dat inetd bij mij GEEN tcpd opstart, maar ssh wel met libwrap gelinkt is? Bij webmin heb ik hosts.allow namelijk helemaal niet nodig.
  • Ik heb beschreven hoe de autorisatie m.b.t services in inetd verloopt. In xinetd werkt deze autorisatie weer anders.

    Maar even een belangrijk vraagje over welke distro en release praten we nu eigenlijk precies want dat is voor mij nu een beetje vaag :-?
  • Mandrake 10.0 Official
  • xinetd is dan ook een nieuwere versie van inetd (nieuwer maar niet per definitie beter overigens)….. doen feitelijk hetzelfde
    sshd draaien via inetd is vlgs mij niet handig…. kan je timing problemen mee krijgen.
  • sshd via inetd is idd niet handig ;):

    [code:1:64ef7597da]
    -i Specifies that sshd is being run from inetd(8). sshd is normally
    not run from inetd because it needs to generate the server key
    before it can respond to the client, and this may take tens of
    seconds. Clients would have to wait too long if the key was
    regenerated every time. However, with small key sizes (e.g.,
    512) using sshd from inetd may be feasible.
    [/code:1:64ef7597da]
  • Volgens mij kan inetd het probleem niet zijn. In /etc/rc3.d staat een link naar sshd dus volgens mij draait die gewoon altijd…

    (Ik hoop dat het klopt wat ik zeg want zo lang werk ik nog niet met linux)
  • [quote:45cf42abae="Peter Willemsen"]Volgens mij kan inetd het probleem niet zijn. In /etc/rc3.d staat een link naar sshd dus volgens mij draait die gewoon altijd…

    (Ik hoop dat het klopt wat ik zeg want zo lang werk ik nog niet met linux)[/quote:45cf42abae]

    in /etc/rc3.d/ staat altijd!! een symlink naar /etc/init.d/sshd. De vraag is offie gekilled wordt of wordt opgestart S*sshd of K*sshd
    ;)

    anyway.. ik ben niet helemaal bekend met mandrake 10.0 wel met eerdere versies(9.2 is minder bugevoelig) en ik kon me niet heugen dat default de autorisatie met ssh via de tcpd wrappers liep.

    Of heb je msec toevallig een hogere security waarde gegeven ?
    overigens is sshd via xinetd net zo goed niet handig

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.