Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- TCP Wrapper und xinetd

Kapitel 17. TCP Wrapper und xinetd

Die Kontrolle des Zugriffs zu Netzwerk-Diensten ist eine der wichtigsten Sicherheitsaufgaben, denen sich der Administrator stellen muss. Unter Red Hat Enterprise Linux gibt es eine Reihe von Tools, welche genau dies tun. Eine iptables-basierte Firewall, zum Beispiel, filtert alle unerw�nschten Netzwerk-Pakete im Netzwerk-Stack des Kernel heraus. F�r Netzwerk-Dienste, welche davon Verwendung machen, f�gt TCP Wrapper eine zus�tzliche Schutzschicht hinzu, indem dieser definiert, welchen Hosts es erlaubt ist zu "wrapped" Netzwerk-Diensten zu verbinden, und welchen nicht. Einer dieser "wrapped" Netzwerk-Dienste ist xinetd Super-Server. Dieser Dienst wird Super-Server genannt, da dieser Verbindungen zu einem Subnet von Netzwerk-Diensten kontrolliert und Zugriffskontrolle weiter feinabstimmt.

Abbildung 17-1 ist eine grundlegende Illustration welche zeigt, wie diese Tools zusammen arbeiten um Netzwerk-Dienste zu sch�tzen.

Abbildung 17-1. Zugriffskontrolle zu Netzwerk-Diensten

Dieses Kapitel besch�ftigt sich mit der Rolle von TCP Wrappern und xinetd in der Zugriffskontrolle zu Netzwerk-Diensten und inwiefern diese Tools verwendet werden k�nnen um das Management von sowohl Logging, als auch Verwendbarkeit zu verbessern. F�r eine Diskussion der Verbindung von Firewall und iptables, siehe Kapitel 18.

17.1. TCP Wrapper

Das TCP Wrapper Paket (tcp_wrappers) ist standardm��ig installiert und stellt hostbasierende Zugriffskontrolle f�r Netzwerk-Dienst zur Verf�gung. Die wichtigste Komponente in diesem Paket ist die /usr/lib/libwrap.a-Bibliothek. Jeder Dienst welcher diese Bibliothek dazulinkt, wird als TCP-wrapped Dienst bezeichnet.

Wenn ein Verbindungsversuch zu einem "TCP wrapped" Dienst eingeleitet wird, wird der Dienst zuerst die Hosts-Zugriffs-Dateien (/etc/hosts.allow und /etc/hosts.deny) untersuchen, um festzustellen, ob der Client-Host erlaubt ist zu verbinden. Dieser wird dann den syslog-Daemon (syslogd) verwenden, um den Namen des anfordernden Hosts und Dienstes entweder zu /var/log/secure oder zu /var/log/messages zu schreiben.

Wenn es einem Client-Host erlaubt ist zu verbinden, gibt TCP Wrapper die Kontrolle �ber die Verbindung zum angeforderten Dienst und wird nicht mehr in die Kommunikation zwischen Client-Host und Server eingreifen.

Zus�tzlich zu Zugriffskontrolle und Logging, k�nnen TCP Wrapper Befehle aktivieren, um mit dem Client zu interagieren, bevor er die Kontrolle der Verbindung zum angeforderten Netzwerk-Dienst �bergibt oder diesen ablehnt.

Da TCP Wrapper ein wertvoller Zusatz zum Arsenal von Sicherheits-Tools eines jeden System-Administrators sind, sind die meisten Netzwerk-Dienste unter Red Hat Enterprise Linux gegen die libwrap.a gebunden. Einige dieser Anwendungen sind /usr/sbin/sshd, /usr/sbin/sendmail und /usr/sbin/xinetd.

AnmerkungAnmerkung
 

Um festzustellen, ob die Bin�rdatei eines Netzwerk-Dienst gegen libwrap.a gebunden ist, geben Sie den folgenden Befehl als root ein:

strings -f <binary-name> | grep hosts_access

Ersetzen Sie <binary-name> mit dem Namen der Bin�rdatei des Netzwerk-Dienst.

Wenn eine Anfrage beantwortet wird, dann ist der Netzwerk-Dienst nicht gegen libwrap.a gebunden.

17.1.1. Vorteile von TCP Wrappern

TCP Wrapper bieten zwei grundlegende Vorteile im Vergleich zu anderen Kontrollmethoden f�r Netzwerkdienste:

  • Transparenz in Hinsicht auf den Client-Host und den wrapped Netzwerk-Dienst — Beide, der sich verbindende Client und der wrapped Netzwerk-Dienst, bemerken nicht, dass TCP-Wrapper in Gebrauch sind. Legitime Benutzer sind angemeldet und mit dem geforderten Dienst verbunden, w�hrend Verbindungen von verbotenen Clients fehlschlagen

  • Zentralisiertes Management von mehreren Protokollen — TCP Wrapper arbeiten unabh�ngig von den Netzwerkdienst, welche sie sch�tzen. Dies erlaubt es mehreren Server-Applikationen sich eine gemeinsame Gruppe von Konfigurationsdateien zu teilen, was ein vereinfachtes Management zur Folge hat.

 
 
  Published under the terms of the GNU General Public License Design by Interspire