Muokataan sivua TCP Wrapper
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
Nykyinen versio | Oma tekstisi | ||
Rivi 1: | Rivi 1: | ||
'''TCP Wrapper''' käsittää ohjelman '''tcpd''' ja kirjaston '''libwrap''', joilla rajoitetaan yhteydet koneen palvelimille mm. yhteyden ottavan koneen perusteella, ikään kuin | '''TCP Wrapper''' käsittää ohjelman '''tcpd''' ja kirjaston '''libwrap''', joilla rajoitetaan yhteydet koneen palvelimille mm. yhteyden ottavan koneen perusteella, ikään kuin palomuurilla. Asetustiedostoina ovat <tt>/etc/'''hosts.allow'''</tt> ja <tt>/etc/'''hosts.deny'''</tt>. Ohjelmaa tcpd käytetään [[inetd]]:n tai vastaavan yhteyksiä vastaanottavan "superpalvelimen" kautta, riipumatta palvelinohjelmasta. Kirjastoa libwrap käytetään kääntämällä palvelinohjelma käyttämään sitä suoraan. | ||
==Käyttö== | ==Käyttö== | ||
Rivi 8: | Rivi 8: | ||
nntp stream tcp nowait news /usr/sbin/tcpd /usr/sbin/leafnode | nntp stream tcp nowait news /usr/sbin/tcpd /usr/sbin/leafnode | ||
Tässä määrätään inetd:tä kuuntelemaan nntp-porttia ( | Tässä määrätään inetd:tä kuuntelemaan nntp-porttia (tcp 119), sallimaan useampia yhtaikaisia yhteyksiä (nowait) ja [[käyttäjä]]nä ''news'' käynnistämään tcpd, joka puolestaan käynnistää itse palvelimen leafnode. Jos tcpd huomaa, että yhteys tietyltä koneelta ei ole sallittu, se ei käynnistäkään palvelinohjelmaa. | ||
inetd:n kautta sopii käynnistää palvelimia, joita käytetään suhteellisen harvoin ja joiden käynnistäminen ei vie liikaa aikaa tai resursseja. | inetd:n kautta sopii käynnistää palvelimia, joita käytetään suhteellisen harvoin ja joiden käynnistäminen ei vie liikaa aikaa tai resursseja. | ||
Muussa tapauksessa tämä lähestymistapa on epäkäytännöllinen, | Muussa tapauksessa tämä lähestymistapa on epäkäytännöllinen, palvelin käynnistetään [[init]]-skripteistä (katso [[GNU/Linuxin käynnistysprosessi]]) ja ohjelmiston pitää itse huolehtia siitä, mitä yhteyksiä otetaan vastaan, usein käyttämällä libwrap-kirjastoa yhteyden alkuvaiheessa. | ||
=== hosts.allow ja hosts.deny === | === hosts.allow ja hosts.deny === | ||
Rivi 21: | Rivi 21: | ||
ALL: 127.0.0.1 | ALL: 127.0.0.1 | ||
sshd: minä@jokinkone.example.net .firma.example.fi EXCEPT UNKNOWN | sshd: minä@jokinkone.example.net .firma.example.fi EXCEPT UNKNOWN | ||
sshd fingerd nntpd: 192.168.1. 192.168.2 | sshd fingerd nntpd: 192.168.1. 192.168.2 | ||
# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system | # /etc/hosts.deny: list of hosts that are _not_ allowed to access the system | ||
ALL:ALL | ALL:ALL | ||
Tässä sallitaan kaikki yhteydet koneelta itseltään (localhost eli [[loopback]], 127.0.0.1), [[SSH]]-yhteydet tietyltä koneelta omalla | Tässä sallitaan kaikki yhteydet koneelta itseltään (localhost eli [[loopback]], 127.0.0.1), [[SSH]]-yhteydet tietyltä koneelta omalla tunnuskella sekä firman verkosta ja lopuksi yhteydet sshd-, finger- ja nyyssipalvelimeen lähiverkosta . Kaikki muut yhteydet kielletään. | ||
Pisteet verkkotunnuksen edessä ja ip-osoitteen lopussa tarkoittavat, että sääntö koskee koko aliverkkoa. | |||
(koneilta, joilla nimipalvelu toimii, katso alla, tunnusken tapauksessa) | |||
(huomaa piste, jolla koko aliverkko sallitaan) | |||
ip-osoitteiden käyttö nimien sijaan on suositeltavaa, sillä nimi kysytään ip-osoitteen perusteella koneen oman verkon nimipalvelimelta ja on siten mahdollisesti yhteydenottajan | Palvelin määritellään avainsanalla ALL tai sillä nimellä, jona se käynnistetään (argv[0]). | ||
ip-osoitteiden käyttö nimien sijaan on suositeltavaa, sillä nimi kysytään ip-osoitteen perusteella koneen oman verkon nimipalvelimelta ja on siten mahdollisesti yhteydenottajan kontrollissa. On mahdollista pyytää toinen nimipalvelukysely näin saadun nimen perustella määrittelemellä PARANOID (tämän ominaisuuden voi myös [[kääntäminen|kääntövaiheessa]] määritellä aina käytettäväksi), jolloin ongelma poistuu, mutta samalla evätään pääsy koneilta, joiden ''[[nimipalvelin|nimipalvelimet]]'' ei ole oikein säädetty, mm. suurelta osalta kuluttajaliittymistä. | |||
Vaihtoehtoja määrityksiin on hyvin monipuolisesti, esimerkiksi [[NIS]]-verkkoryhmien käyttö ja lokittaminen onnistuu suoraan. Katso [[man]]uaalisivu hosts_access(5). | Vaihtoehtoja määrityksiin on hyvin monipuolisesti, esimerkiksi [[NIS]]-verkkoryhmien käyttö ja lokittaminen onnistuu suoraan. Katso [[man]]uaalisivu hosts_access(5). | ||
==Katso myös== | |||
* [[Palomuuri]] | |||
[[Luokka:Tietoturva]] | [[Luokka:Tietoturva]] | ||
[[Luokka:Palvelimet]] | [[Luokka:Palvelimet]] | ||
[[Luokka:Asetustiedostot]] | [[Luokka:Asetustiedostot]] |