Au-delà de Linux^® From Scratch - Version svn-20120120

Chapitre 4. Sécurité

Précédent
Sudo-1.8.2
Suivant
Tripwire-2.4.2.2
Niveau supérieur
Sommaire

TCP Wrappers-7.6

Introduction à TCP Wrappers

Le paquet TCP Wrapper fournit des programmes d'enveloppes de démon qui affichent le nom du client qui interroge les services réseau et le service interrogé.

Ce paquet est connu pour se construire et fonctionner correctement sur une plateforme LFS-7.0.

Informations sur le paquet

Téléchargement (HTTP) : http://files.ichilton.co.uk/nfs/tcp_wrappers_7.6.tar.gz
Téléchargement (FTP) : ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz
Somme de contrôle MD5 du téléchargement : e6fa25f71226d090f34de3f6b122fb5a
Taille du téléchargement : 97 Kio
Estimation de l'espace disque requis : 1.09 Mio
Estimation du temps de construction : moins de 0.1 SBU

Téléchargements supplémentaires

Correctifs requises (Corrige des problèmes de construction et ajoute la construction d'une bibliothèque partagée) : http://www.linuxfromscratch.org/patches/blfs/svn/tcp_wrappers-7.6-shared_lib_plus_plus-1.patch

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/tcpwrappers

Installation de TCP Wrappers

Installez TCP Wrapper avec les commandes suivantes :

patch -Np1 -i ../tcp_wrappers-7.6-shared_lib_plus_plus-1.patch &&
sed -i -e "s,^extern char \*malloc();,/* & */," scaffold.c &&
make REAL_DAEMON_DIR=/usr/sbin STYLE=-DPROCESS_OPTIONS linux

Ce paquet n'est pas fourni avec une suite de tests.

Maintenant, en tant qu'utilisateur root :

make install

Explication des commandes

sed -i -e ... scaffold.c : Cette commande supprime une déclaration C obsolète qui amène la construction à un échec si vous utilisez GCC >= 3.4.x.

Configuration de TCP Wrappers

Fichiers de configuration

/etc/hosts.allow et /etc/hosts.deny

Protections de fichier : l'enveloppe, tous les fichiers qu'elle utilise et tous les répertoires dans le path liés à ces fichiers, devraient être accessibles mais pas en écriture pour les utilisateurs non privilégiés (mode 755 ou mode 555). N'installez pas l'enveloppe set-uid.

En tant qu'utilisateur root, effectuez les modifications suivantes sur le fichiers de configuration /etc/inetd.conf :

finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd

devient :

finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd

[Note]

Note

Le serveur finger est ici utilisé comme exemple.

Vous devez faire des changements similaires si vous utilisez xinetd en insistant sur un appel de /usr/sbin/tcpd plutôt que de le service démon directement, et en passant le nom du démon service à tcpd.

Contenu

Programmes installés: tcpd, tcpdchk, tcpdmatch, try-from, et safe_finger

Bibliothèque installée: libwrap.{so,a}

Répertoires installés: None

Descriptions courtes

tcpd	est le démon de contrôle d'accès principal pour tous les services Internet, que inetd ou xinetd lanceront au lieu de lancer le démon du service interrogé.
tcpdchk	est un outil pour examiner une configuration d'enveloppe tcpd et pour signaler des problèmes dans celle-ci.
tcpdmatch	est utilisé pour imaginer comment l'enveloppe TCP gérerait une requête spécifique pour un service.
try-from	peut être appelé par une commande shell à distance pour savoir si le nom de la machine et son adresse sont correctement reconnus.
safe_finger	est une enveloppe pour l'outil finger, pour fournir automatiquement des vues du nom inversées.
`libwrap.{so,a}`	contient les fonctions API requises par les programmes de TCP Wrapper et par d'autres programmes pour devenir « conscient de TCP Wrapper ».

Last updated on 2011-11-13 20:23:16 +0100

Précédent
Sudo-1.8.2
Suivant
Tripwire-2.4.2.2
Niveau supérieur
Sommaire