tcp_wrappers

Beschreibung

tcp_wappers besteht aus einem Daemon zum Network monitoring und zum Vergeben von Zugriffsberechtigungen auf verschiedene Netzdienste. Der Daemon tpcd wird vom inetd gestartet und wertet die Accessfiles /etc/hosts.allow und /etc/hosts.deny aus. Im Ergebnis dieser Auswertung wird der eigentliche Server-Prozeß gestartet oder auch nicht. In jedem Fall erfolgt ein Logging der Informationen über den syslogd.

Installation

Alle Aktionen müssen als root ausgeführt werden.

kopieren der Binaries tpcd und rshd-echo aus /uni/global/bin in ein lokales Verzeichnis

cp /uni/global/bin/tcpd /usr/local/etc/tcpd
cp /uni/global/bin/rshd-echo /usr/local/etc/tcpd-rshd-echo

Aufstellen einer Zugangsberechtigungsliste /etc/hosts.allow (auf /etc/hosts.deny kann man verzichten) entsprechend hosts_access(5) und hosts_options(5)
Beispiel für HP-UX:
```
telnetd	: ALL	: twist=/bin/echo Nice to meet you, %c;exec /etc/telnetd
ftpd		: 134.109.
ftpd		: ALL : twist=/bin/echo Sorry, %c, I am not a ftp server
rlogind	: @urz_priv
rlogind	: ALL	: twist=/usr/local/etc/tcpd-rshd-echo Sorry, %c, remote login is not allowed
remshd	: @urz_priv
remshd	: ALL	: twist=/usr/local/etc/tcpd-rshd-echo Sorry, %c, remote shell is not supported
fingerd	: 134.109.
fingerd	: ALL	: twist=/bin/echo Sorry, %c, finger is not supported
ps	: @urz_priv
ps	: ALL	: twist=/bin/echo Sorry, %c, systat is not supported
netstat	: @urz_priv
netstat	: ALL	: twist=/bin/echo Sorry, %c, netstat is not supported
tftpd	: ALL	: deny
softspc : 127.0.0.1 happy
softspc : ALL	: deny
rwdaemon: ALL	: deny
# erfordert den Einsatz des Portmappers von Vietse Venema
portmap : 134.109.200.
portmap : 255.255.255.255 0.0.0.0
portmap : ALL   :  deny
```
Beachten Sie:
- in der ersten Spalte steht der Name des Servers laut /etc/inetd.conf (ohne Angabe des Pfades)
- in der zweiten Spalte werden die zugangsbrechtigten Hosts angegeben, es können
  - IP-Adressen,
  - IP-Adreß-Muster (müssen mit einem '.' enden, z.B. 134.109.),
  - Hostnamen,
  - Muster von Hostnamen (müssen mit einem '.' beginnen, z.B. .tu-chemnitz.de),
  - NIS-Netzgruppen, die Hostnamen enthalten (z.B. @urz_priv) und
  - einige Schlüsselworte (z.B. ALL, LOCAL, EXCEPT) sowie
  - Listen aus diesen Angaben
  notiert werden
- in der dritten Spalte wird
  - beginnend mit dem Schlüsselwort twist ein Kommando angegeben, welches anstelle des in /etc/inetd.conf angegebenen Servers gestartet wird
  - durch die Angabe von deny der Start des Servers verboten
Anpassen von /etc/inetd.conf
vor dem Pfadnamen des Servers wird der Start des tcpd notiert und das Argument argv[0] wird weggelassen
Beispiel im HP-UX:
aus der Zeile
```
ftp          stream tcp nowait root /etc/ftpd ftpd -l
```
muß die Zeile
```
ftp          stream tcp nowait root /usr/local/etc/tcpd /etc/ftpd -l
```
werden

Lokale Besonderheiten

Der in /uni/global installierte tcpd führt das Logging über das Logging-Level user.info durch. Um die Logging-Informationen aufzuzeichnen, benötigen Sie also eine Zeile der Art

user.info			/Ihr/Pfad/tcdplog

in /etc/syslog.conf.
Nach dem Ändern in diesem File muß der syslogd das Konfigurationsfile neu lesen:

kill -HUP pid des syslogd

Beachten Sie, daß die Menge der aufgezeichneten Logging-Informationen ggf. sehr umfangreich werden kann.

Siehe auch:

tcpd(8) , hosts_access(5) , hosts_options(5) , hosts_access(3) , DFN-CERT DIB 93:07, Folien zum Workshop vom 15.12.94 (Postscript), syslogd , Vietse Venema's Portmapper

Thomas Müller,12. Juli 1994, 08. Mai 1995