Provided by:
manpages-pl_20060617-4_all 
NAZWA
tcpd - urzdzenie kontroli dostpu do uslug internetowych
OPIS
Program tcpd moe zosta skonfigurowany do monitorowania nadchodzcych da
uslug telnet, finger, ftp, exec, rsh, rlogin, tftp, talk, comsat i
innych, ktore maj mapowanie typu jeden-na-jeden na pliki wykonywalne.
Program wspiera zarowno gniazda typu 4.3BSD jak i TLI z System V.4.
Funkcjonalno moe by ograniczona gdy protokol pod TLI nie jest
protokolem internetowym (internet protocol).
Dzialanie jest nastpujce: kiedy tylko pojawi si danie uslugi, demon
inetd uruchamia program tcpd zamiast oczekiwanego serwera. tcpd loguje
danie i wykonuje pewne dodatkowe sprawdzenia. Gdy wszystko jest w
porzdku, tcpd uruchamia odpowiedni serwer i wylcza si.
Dodatkowe opcje to: kontrola dostpu w oparciu o wzorce, podgldanie nazw
uytkownika wg RFC 931 itp, ochrona przeciw hostom, ktore udaj, e maj
inn nazw hosta ni rzeczywicie, a take ochrona przeciw hostom udajcym
czyj inny adres sieciowy.
LOGOWANIE
Polczenia monitorowane przez tcpd s komentowane poprzez syslog(3).
Kady rekord zawiera znak czasu, nazw hosta klienta, a take dan uslug.
Te wiadomoci mog by przydatne do wykrywania niechcianych dziala,
szczegolnie gdy polczone s dane z logow wielu hostow.
Aby dowiedzie si, gdzie wdruj twoje logi, sprawd w pliku
konfiguracyjnym demona syslog, zwykle /etc/syslog.conf.
KONTROLA DOSTPU
Opcjonalnie, tcpd wspiera prosty mechanizm kontroli dostpu, opartej na
porownywaniu wzorcow. Umoliwia to akcj podczas wywolywania komend
powloki, kiedy wzorzec bdzie odpowiadal. Dla szczegolow obejrzyj stron
podrcznika hosts_access(5).
WERYFIKACJA NAZWY HOSTA
Schemat autentykacji niektorych protokolow (rlogin, rsh) bazuje na
nazwach hosta. Niektore implementacje wierz nazwie hosta, ktor otrzymuj
od losowego serwera nazw; inne implementacje s bardziej ostrone, lecz
uywaj wadliwych algorytmow.
tcpd weryfikuje nazw hosta klienta, ktora jest zwracana przez zapytanie
serwera DNS adres->nazwa, poprzez sprawdzenie nazwy hosta i adresu
zwroconego przez zapytanie serwera DNS nazwa->adres. Jeli pojawi si
niezgodno, tcpd wnioskuje, e ma do czynienia z hostem, ktory udaje, e
ma nazw innego hosta.
Jeli rodla s skompilowane z -DPARANOID, tcpd porzuci polczenie w
wypadku niezgodnoci nazwy/adresu. W przeciwnym wypadku, nazwa hosta moe
by porownana z "dzik kart" PARANOID, po czym moe zosta podjte
odpowiednie dzialanie.
HOST ADDRESS SPOOFING
Opcjonalnie, tcpd wylcza opcje rutowania rodel (source-routing) gniazd
na kadym polczeniu, z ktorym ma do czynienia. Zalatwia to problem
wikszoci atakow od hostow, ktore udaj adres, nienalecy do ich sieci.
Uslugi UDP nie odnosz z tego zabezpieczenia adnej korzyci. Opcja ta
musi by wlczona podczas kompilacji.
RFC 931
Gdy podgldy RFC 931 etc. s wlczone (opcja kompilacyjna) tcpd sprobuje
uzyska nazw uytkownika klienta. Powiedzie si to tylko jeli na hocie
klienta pracuje kompatybilny z RFC 931 daemon. Nie dziala to na
polczeniach zorientowanych datagramowo i moe spowodowa zauwaalne
spowolnienia w wypadku polcze z PC.
PRZYK/LADY
Detale uywania tcpd zale od informacji o ciece, ktora zostala
wkompilowana w program.
PRZYK/LAD 1
Ten przyklad odnosi si do przypadku, gdy tcpd oczekuje, e oryginalne
demony sieciowe zostan przeniesione w "inne" miejsce.
Aby monitorowa dostp do uslugi finger, przenie oryginalnego demona
finger w "inne" miejsce, a zamiast niego zainstaluj tcpd. Nie rob
adnych zmian w plikach konfiguracyjnych.
# mkdir /other/place
# mv /usr/etc/in.fingerd /other/place
# cp tcpd /usr/etc/in.fingerd
Przyklad zaklada, e demony sieciowe s w /usr/etc. Na niektorych
systemach, demony sieciowe znajduj si w /usr/sbin lub /usr/libexec, a
czasem nie maj przedrostka `in.' w nazwie.
PRZYK/LAD 2
Ten przyklad odnosi si do przypadku, gdy tcpd oczekuje, e demony
sieciowe s w swoim oryginalnym miejscu.
Aby monitorowa dostp do uslugi finger, dokonaj nastpujcych edycji w
pliku konfiguracyjnym inetd (zwykle /etc/inetd.conf lub
/etc/inet/inetd.conf):
finger stream tcp nowait nobody /usr/etc/in.fingerd in.fingerd
stanie si:
finger stream tcp nowait nobody /some/where/tcpd in.fingerd
Podobne zmiany bd wymagane dla innych uslug, ktore maj by objte tcpd.
Po ich dokonaniu wylij do inetd(8) sygnal `kill -HUP', aby zmiany
zaczly dziala. Uytkownicy AIX mog skorzysta tu z komendy `inetimp'.
PRZYK/LAD 3
W wypadku demonow, ktore nie istniej w ogolnym katalogu ("tajnych", czy
innych), zmie plik konfiguracyjny inetd tak, aby wskazywal absolutn
ciek dla pola nazwy procesu. Na przyklad:
ntalk dgram udp wait root /some/where/tcpd /usr/local/lib/ntalkd
Tylko ostatni komponent (ntalkd) cieki zostanie uyty do kontroli dostpu
i do logowania.
B/LDY
Niektore demony UDP (i RPC) zwlekaj chwil po tym, jak zakocz prac, a
kiedy nadchodzi nastpne danie. W pliku konfiguracyjnym inetd, uslugi te
s zarejestrowane z flag wait. Tylko danie, ktore uruchomilo taki daemon
zostanie zalogowane.
Program nie dziala z uslugami RPC poprzez TCP. Uslugi te s
zarejestrowane w pliku inetd jako rpc/tcp. Jedyn nietrywialn uslug,
ktora jest dotknita tym ograniczeniem, jest rexd, uywany przez komend
on(1). Nie jest to wielka strata. Na wikszoci systemow rexd jest mniej
bezpieczny ni /etc/hosts.equiv.
dania typu broadcast RPC (np: rwall, rup, rusers) zawsze jawi si jako
pochodzce od hosta odpowiadajcego. Jeli klient rozglasza danie do
wszystkich demonow portmap w jego sieci: kady daemon portmap przekazuje
danie lokalnemu demonowi. Z kolei demony typu rwall itp. widz, e danie
pochodzi od hosta lokalnego.
PLIKI
Domylne lokacje tabel kontroli dostpu do hosta to:
/etc/hosts.allow
/etc/hosts.deny
ZOBACZ TAKE
hosts_access(5), format tabel kontroli dostpu tcpd.
syslog.conf(5), format pliku kontrolnego syslogd.
inetd.conf(5), format pliku konfiguracyjnego inetd.
AUTORZY
Wietse Venema (wietse@wzv.win.tue.nl),
Department of Mathematics and Computing Science,
Eindhoven University of Technology
Den Dolech 2, P.O. Box 513,
5600 MB Eindhoven, The Netherlands
INFORMACJE O T/LUMACZENIU
Powysze tlumaczenie pochodzi z nieistniejcego ju Projektu Tlumaczenia
Manuali i moe nie by aktualne. W razie zauwaenia ronic midzy powyszym
opisem a rzeczywistym zachowaniem opisywanego programu lub funkcji,
prosimy o zapoznanie si z oryginaln (angielsk) wersj strony podrcznika.
TCPD(8)