[linux] inetd ako firewall pre smtpd a httpd

Matus "fantomas" Uhlar uhlar na fantomas.sk
Neděle Březen 11 20:26:50 CET 2001 

-> > 	Podla mojich vedomosti a skusenosti, vie inetd pracovat ako velmi
-> > jednoduchy firewall. To znamena, ze podla suborov /etc/hosts.deny a
-> > /etc/hosts.allow vie rozhodnut, ktore spojenie akceptuje a neakceptuje.

ten subor straci jeden ak ho dobre nakonfigurujes :)

nieco : pocitac.subdomena.topdomena : allow
nieco : .subdomena.topdomena : deny
nieco : .topdomena : allow
nieco : all : deny

a to este nevravim o dalsich moznostiach, spustit iny sw, kontrola username
cez identd atd atd;

-> > Mojou otazkou je, ze ci je dobry napad sa pokusit spustat vsetky
-> > sietove sluzby pod inetd. Nemyslim len telnetd a ftpd, ale aj httpd
-> > (Apache) alebo smtpd (Postfix). Tymto by som vyriesil moje starosti s
-> > tym, ze sa mi bude na port 80 a 25 pripajat niekto, kto tam nema co
-> > robit (teda vsetci okrem lokalnej siete).

vacsina mail a http serverov to dokaze, sice nie tak luxusne ale ano.
sendmail sa da prekompilovat s podporou tcp wrapperov, to znamena ze
kniznisu ktora pracuje s dotycnymi subormi vola sam a nemusis ho volat cez
identd. Myslim ze postfix to dokaze tiez...

-> > 	A este by som sa chcel spytat, ze ak je to dobry napad, tak ako
-> > nato. Skusal som napisat podobny riadok, ako ma telnetd pre postfix, ale
-> > nedalo sa potom pripojit na port 25.

postfix zrejme potrebuje parameter aby sa mohol spustit cez inetd. Zisti si
vsak ci nepodporuje tcp wrappers, v takom pripade to nepotrebujes. Jedine,
ak by si mal masinu na ktoru chodi malo posty a ma malo ram, potom by si
daco mohol usetrit.

-> Urcite sa to da, nie je to vobec problem, ked uz sme pri tom. Avsak
-> riesenie so skutocnim firewallom (ipchains a varianty) su nenormalne
-> jednoduchsie, a hlavne efektivnejsie.

je to sice pravda ale neumoznuju niektore veci co tcp wrappery umoznuju.

-> Na kazdy request na tvoj port 80, sa musi inetd forknut, spustit httpd,
-> obsluzit, a "umriet". Pri normalnom variante ten httpd najprv obsluzi
-> pomerne velke mnozstvo requestov, az potom umiera.
-> To je obrovsky overhead, ak to urobis cez inetd. Dobre si rozmysli. Navyse
-> si uvedom, ze jeden request nerovna sa jedna stranka, ale jeden subor,
-> t.j. .html, potom k nej obrazky atd.

no, persistent connections existuju ale v kazdom pripade suhlasim s tym ze
httpd bezat cez inetd je zbytocne. Jedine v pripade masiny ktora ma malo ram
a malokedy sa spusta httpd ;)

-- 
 Matus "fantomas" Uhlar, sysadmin at NEXTRA, Slovakia; IRCNET admin of *.sk
 uhlar na fantomas.sk ; http://www.fantomas.sk/ ; http://www.nextra.sk/
 Chernobyl was an Windows 95 beta test site.

Další informace o konferenci linux