Пакет tcpwrappers предоставляет программу демон-обертку, которая сообщает имя клиента, запрашивающего сетевые сервисы и уже запрошенные сервисы.
Адрес (HTTP): http://files.ichilton.co.uk/nfs/tcp_wrappers_7.6.tar.gz
Адрес (FTP): ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz
Контрольная сумма: e6fa25f71226d090f34de3f6b122fb5a
Размер: 97 KB
Требуемое дисковое пространство: 1.04 MB
Расчетное время сборки: 0.02 SBU
Требуемый патч (устраняет некоторые проблемы сборки и добавляет сборку разделяемой библиотеки): http://www.linuxfromscratch.org/blfs/downloads/6.0/tcp_wrappers-7.6-shared_lib_plus_plus-1.patch
Установим tcpwrappers запуском следующих команд:
patch -Np1 -i ../tcp_wrappers-7.6-shared_lib_plus_plus-1.patch &&
sed -i -e "s,^extern char \*malloc();,/* & */," scaffold.c &&
make REAL_DAEMON_DIR=/usr/sbin STYLE=-DPROCESS_OPTIONS linux &&
make install
sed -i -e ... scaffold.c: Эта команда удаляет устаревшие C определения, приводящие к ошибке сборки при использовании GCC-3.4.x.
/etc/hosts.allow, /etc/hosts.deny
Защита файла: обертка, все файлы, используемые оберткой и все директории в пути, указывающем на эти файлы, должны быть доступны обычным пользователям но без прав записи (мода 755 или 555). Не устанавливайте права доступа обертки.
Затем выполните следующее редактирование файла конфигурации /etc/inetd.conf:
finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
становится:
finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd
Сервер finger используется здесь в качестве примера.
Похожие изменения должны быть сделаны если используется xinetd с акцентом, сделанном на вызове /usr/sbin/tcpd вместо прямого вызова демона сервиса и помещением имени демона сервиса в tcpd.
Пакет tcpwrappers содержит tcpd, tcpdchk, tcpdmatch, try-from, safe_finger и библиотеки libwrap.
tcpd является основным демоном контроля доступа для всех интернет сервисов, которые inetd или xinetd запустят вместо запуска запрошенного демона сервиса.
tcpdchk - это средство для проверки конфигурации обертки tcpd и создания отчета о ее проблемах.
tcpdmatch используется для предсказания того, как обертка tcp может поддерживать специфический запрос сервиса.
try-from может быть вызван через команду удаленной оболочки для определения правильного опознания имени хоста и адресов.
Последнее обновление 2005-02-28 13:39:06 -0700