Provided by: manpages-pl_20060617-4_all bug

NAZWA

       tcpd - urzdzenie kontroli dostpu do uslug internetowych

OPIS

       Program  tcpd moe zosta skonfigurowany do monitorowania nadchodzcych da
       uslug telnet, finger, ftp, exec, rsh,  rlogin,  tftp,  talk,  comsat  i
       innych, ktore maj mapowanie typu jeden-na-jeden na pliki wykonywalne.

       Program  wspiera  zarowno  gniazda  typu 4.3BSD jak i TLI z System V.4.
       Funkcjonalno  moe  by  ograniczona  gdy  protokol  pod  TLI  nie   jest
       protokolem internetowym (internet protocol).

       Dzialanie  jest  nastpujce:  kiedy  tylko pojawi si danie uslugi, demon
       inetd uruchamia program tcpd zamiast oczekiwanego serwera.  tcpd loguje
       danie  i  wykonuje  pewne  dodatkowe  sprawdzenia.  Gdy wszystko jest w
       porzdku, tcpd uruchamia odpowiedni serwer i wylcza si.

       Dodatkowe opcje to: kontrola dostpu w oparciu o wzorce, podgldanie nazw
       uytkownika  wg  RFC  931 itp, ochrona przeciw hostom, ktore udaj, e maj
       inn nazw hosta ni rzeczywicie, a take ochrona  przeciw  hostom  udajcym
       czyj inny adres sieciowy.

LOGOWANIE

       Polczenia  monitorowane  przez  tcpd  s  komentowane poprzez syslog(3).
       Kady rekord zawiera znak czasu, nazw hosta klienta, a take  dan  uslug.
       Te  wiadomoci  mog  by  przydatne  do  wykrywania  niechcianych dziala,
       szczegolnie gdy polczone s dane z logow wielu hostow.

       Aby  dowiedzie  si,  gdzie   wdruj   twoje   logi,   sprawd   w   pliku
       konfiguracyjnym demona syslog, zwykle /etc/syslog.conf.

KONTROLA DOSTPU

       Opcjonalnie,  tcpd wspiera prosty mechanizm kontroli dostpu, opartej na
       porownywaniu wzorcow.  Umoliwia  to  akcj  podczas  wywolywania  komend
       powloki,  kiedy wzorzec bdzie odpowiadal. Dla szczegolow obejrzyj stron
       podrcznika hosts_access(5).

WERYFIKACJA NAZWY HOSTA

       Schemat autentykacji niektorych  protokolow  (rlogin,  rsh)  bazuje  na
       nazwach hosta. Niektore implementacje wierz nazwie hosta, ktor otrzymuj
       od losowego serwera nazw; inne implementacje s bardziej  ostrone,  lecz
       uywaj wadliwych algorytmow.

       tcpd weryfikuje nazw hosta klienta, ktora jest zwracana przez zapytanie
       serwera DNS adres->nazwa, poprzez  sprawdzenie  nazwy  hosta  i  adresu
       zwroconego  przez  zapytanie  serwera  DNS nazwa->adres. Jeli pojawi si
       niezgodno, tcpd wnioskuje, e ma do czynienia z hostem, ktory  udaje,  e
       ma nazw innego hosta.

       Jeli  rodla  s  skompilowane  z  -DPARANOID,  tcpd  porzuci polczenie w
       wypadku niezgodnoci nazwy/adresu. W przeciwnym wypadku, nazwa hosta moe
       by  porownana  z  "dzik  kart"  PARANOID,  po  czym  moe  zosta  podjte
       odpowiednie dzialanie.

HOST ADDRESS SPOOFING

       Opcjonalnie, tcpd wylcza opcje rutowania rodel (source-routing)  gniazd
       na  kadym  polczeniu,  z  ktorym  ma  do czynienia. Zalatwia to problem
       wikszoci atakow od hostow, ktore udaj adres, nienalecy  do  ich  sieci.
       Uslugi  UDP  nie  odnosz  z tego zabezpieczenia adnej korzyci. Opcja ta
       musi by wlczona podczas kompilacji.

RFC 931

       Gdy podgldy RFC 931 etc. s wlczone (opcja kompilacyjna)  tcpd  sprobuje
       uzyska  nazw  uytkownika  klienta.  Powiedzie si to tylko jeli na hocie
       klienta pracuje kompatybilny  z  RFC  931  daemon.  Nie  dziala  to  na
       polczeniach   zorientowanych  datagramowo  i  moe  spowodowa  zauwaalne
       spowolnienia w wypadku polcze z PC.

PRZYK/LADY

       Detale  uywania  tcpd  zale  od  informacji  o  ciece,  ktora   zostala
       wkompilowana w program.

PRZYK/LAD 1

       Ten  przyklad  odnosi  si do przypadku, gdy tcpd oczekuje, e oryginalne
       demony sieciowe zostan przeniesione w "inne" miejsce.

       Aby monitorowa dostp do  uslugi  finger,  przenie  oryginalnego  demona
       finger  w  "inne"  miejsce,  a  zamiast  niego zainstaluj tcpd. Nie rob
       adnych zmian w plikach konfiguracyjnych.

            # mkdir /other/place
            # mv /usr/etc/in.fingerd /other/place
            # cp tcpd /usr/etc/in.fingerd

       Przyklad zaklada,  e  demony  sieciowe  s  w  /usr/etc.  Na  niektorych
       systemach,  demony  sieciowe znajduj si w /usr/sbin lub /usr/libexec, a
       czasem nie maj przedrostka `in.' w nazwie.

PRZYK/LAD 2

       Ten przyklad odnosi si  do  przypadku,  gdy  tcpd  oczekuje,  e  demony
       sieciowe s w swoim oryginalnym miejscu.

       Aby  monitorowa  dostp  do  uslugi finger, dokonaj nastpujcych edycji w
       pliku    konfiguracyjnym    inetd    (zwykle    /etc/inetd.conf     lub
       /etc/inet/inetd.conf):

            finger  stream  tcp  nowait  nobody  /usr/etc/in.fingerd  in.fingerd

       stanie si:

            finger  stream  tcp  nowait  nobody  /some/where/tcpd     in.fingerd

       Podobne  zmiany  bd wymagane dla innych uslug, ktore maj by objte tcpd.
       Po ich dokonaniu wylij do  inetd(8)  sygnal  `kill  -HUP',  aby  zmiany
       zaczly dziala. Uytkownicy AIX mog skorzysta tu z komendy `inetimp'.

PRZYK/LAD 3

       W wypadku demonow, ktore nie istniej w ogolnym katalogu ("tajnych", czy
       innych), zmie plik konfiguracyjny inetd  tak,  aby  wskazywal  absolutn
       ciek dla pola nazwy procesu. Na przyklad:

           ntalk  dgram  udp  wait  root  /some/where/tcpd  /usr/local/lib/ntalkd

       Tylko ostatni komponent (ntalkd) cieki zostanie uyty do kontroli dostpu
       i do logowania.

B/LDY

       Niektore demony UDP (i RPC) zwlekaj chwil po tym, jak  zakocz  prac,  a
       kiedy nadchodzi nastpne danie. W pliku konfiguracyjnym inetd, uslugi te
       s zarejestrowane z flag wait. Tylko danie, ktore uruchomilo taki daemon
       zostanie zalogowane.

       Program   nie   dziala   z  uslugami  RPC  poprzez  TCP.  Uslugi  te  s
       zarejestrowane w pliku inetd jako  rpc/tcp.  Jedyn  nietrywialn  uslug,
       ktora  jest  dotknita tym ograniczeniem, jest rexd, uywany przez komend
       on(1). Nie jest to wielka strata. Na wikszoci systemow rexd jest  mniej
       bezpieczny ni /etc/hosts.equiv.

       dania  typu  broadcast RPC (np: rwall, rup, rusers) zawsze jawi si jako
       pochodzce od hosta  odpowiadajcego.  Jeli  klient  rozglasza  danie  do
       wszystkich demonow portmap w jego sieci: kady daemon portmap przekazuje
       danie lokalnemu demonowi. Z kolei demony typu rwall itp. widz, e  danie
       pochodzi od hosta lokalnego.

PLIKI

       Domylne lokacje tabel kontroli dostpu do hosta to:

       /etc/hosts.allow
       /etc/hosts.deny

ZOBACZ TAKE

       hosts_access(5), format tabel kontroli dostpu tcpd.
       syslog.conf(5), format pliku kontrolnego syslogd.
       inetd.conf(5), format pliku konfiguracyjnego inetd.

AUTORZY

       Wietse Venema (wietse@wzv.win.tue.nl),
       Department of Mathematics and Computing Science,
       Eindhoven University of Technology
       Den Dolech 2, P.O. Box 513,
       5600 MB Eindhoven, The Netherlands

INFORMACJE O T/LUMACZENIU

       Powysze tlumaczenie pochodzi z nieistniejcego ju Projektu Tlumaczenia
       Manuali i moe nie by aktualne. W razie zauwaenia ronic midzy powyszym
       opisem a rzeczywistym zachowaniem opisywanego programu lub funkcji,
       prosimy o zapoznanie si z oryginaln (angielsk) wersj strony podrcznika.

                                                                       TCPD(8)