hosts.allow a to okolo

[Juraj Lutter]

On Fri, Jan 03, 2003 at 06:52:54PM +0100, P Sedo wrote:
> 
> dobry den
> 
> akosi mam temne dni a vrta mi hlavou par veci.
> mam hosts.allow a v nom napisane nejake sluzby.
> mam tcpdchk a tcpdmatch.
> o funkcosti som viac, cimenej uzrozumeny, no neviem sa docitat ktore zo
> standardnych sluzieb su linkovane voci tcpd a ktore nie.  Ako sa da
> donutit nejaku sluzby, abybola filtrovana cez tcpd (teda hosts.allow).
> snad to nie je len vecou zapisu doinkriminovaneho suboru?

zistit sa to da napr. v najjednoduchsom pripade pohladom cez 'ldd'.

hell.1:~# ldd /usr/libexec/sendmail/sendmail 
/usr/libexec/sendmail/sendmail:
        libutil.so.3 => /usr/lib/libutil.so.3 (0x280f0000)
        libwrap.so.3 => /usr/lib/libwrap.so.3 (0x280f9000)
        libssl.so.2 => /usr/lib/libssl.so.2 (0x28101000)
        libcrypto.so.2 => /usr/lib/libcrypto.so.2 (0x2812e000)
        libc.so.4 => /usr/lib/libc.so.4 (0x281e6000)

vsimnime si tu libwrap.so.3

> 
> druha vec.
> preco sa v hosts.allow spomina sendmail? Ak sa na neho vztahuje to, ze
> podlieha kontrole tcpd, potom preco mi tcpdchk hlasi nezrovnalost v tom
> ze nie je v inetd.conf, ale napriek tomu je v hosts.allow?

pretoze zjavne povodne chovanie toho kodu predpokladalo, ze sa tcpd
vola z inetd ako wrapper okolo povodnej aplikacie.

> 
> ostatna vec na zaver.
> mam volbu PARANOID ... ok.
> ako je to kontrolovane? ak je povedane, ze by kazdy pristup mal byt
> kontrolovany voci zaznamu v dns a aj rev. zaznamu, tak mam pocit ze to
> moc nejuguje. Kde robim v uvazovani chybu?

pri konekte sa zisti reverzka, ked nieje => chyba, ked je, tak sa
skontroluje, ci to meno je resolvovatelne na A record, ked nieje =>
chyba, ked je => OK.

otis

-- 
Juraj Lutter
http://wilbury.sk/
bgpd eats bugs for breakfast.