Version vom 26. September 2025, 10:09 Uhr

Superdaemons und TCP-Wrapper

Superdeamon, älter als xinetd,
lauscht stellvertretend an TCP- und UDP-Ports für Serverdienste,
Client nimmt Verbindung mit von inetd kontrolliertem Netzwerkdienst auf, inetd übergibt an TCP-Wrapper als Daemon tcpd, der die Dienste startet und übergibt Kontrolle an Client,
welche Dienste inetd kontrollieren soll, muss in /etc/inetd.conf festegelegt werden,
nach Änderung in /etc/inetd.conf, muss inetd neu gestartet werden, damit Änderung greift

Wichtig

inetd ist nicht Bestandteil der Prüfung, Erklärung hilft Funktion von xinetd besser zu verstehen

aktueller Superdeamon, mit integriertem TCP-Wrapper, kann auch Dienste starten, die nicht in Datei /etc/services eingetragen sind,
erheblich mehr Optionen als inetd => komplexere Konfiguration als inetd,
Hauptkonfigurationsdatei: /etc/xinetd.conf,
xinetd hat integrierten Wrapper, startet Dienste selbst, tcpd hier überflüssig

ist eine Software zum Schutz vor unerwünschtem Zugriff aus einem Rechnernetz,
Konfigurationsdateien sind /ect/hosts.allow und /etc/hosts.deny,
Verarbeitungsweise Konfigurationsdateien ist speziell:
- bei Eintrag in /etc/hosts.allow, wird selber Eintrag in /etc/hosts.deny ignoriert
- wenn keine Einräge in /etc/hosts.allow und /etc/hosts.deny vorhanden sind, wird Zugriff erlaubt
- wenn eine oder beide Dateien nicht(mehr) vorhanden sind, ist das so als wären beide leer => Zugriff wird erlaubt
sichere Grundkionfiguration:
- erst mal alles verbieten mit Eintrag ALL : ALL in /etc/hosts.deny
- dann Schritt für Schritt Zugriffe erlauben in /etc/hosts.allow

verhindern, dass sich ein Benutzer interakiv an einem System anmeldet,
einfach Datei /etc/nologin (beispielsweise mit touch) anlegen,
Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt

Begrenzung der möglichen TTY-Konsolen, beispielsweise auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko),
(nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3)

Anzahl der Konsolen wird heute mit systemd begrenzt:

2.Feld bei /etc/passwd

2.Feld bei /etc/shadow, hier stehen die verschlüsselten Passwörter

@@ Zeile 33: / Zeile 33: @@
 ; Nicht benötigte Dienste und Konten deaktivieren
 === Wichtige Dateien ===
-; ''/etc/nologin'', ''/etc/init.d'' und ''/etc/inittab'', ''/etc/passwd'' und ''/etc/shadow''
+* /etc/nologin
-====''/etc/nologin''====
+* /etc/init.d
+* /etc/inittab
+* /etc/passwd
+* /etc/shadow
+====/etc/nologin====
 * verhindern, dass sich ein Benutzer interakiv an einem System anmeldet,
-* einfach Datei ''/etc/nologin'' (beispielsweise mit touch) anlegen,
+* einfach Datei /etc/nologin (beispielsweise mit touch) anlegen,
 * Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt
 ==== /etc/init.d und /etc/inittab ====
@@ Zeile 46: / Zeile 51: @@
 Anzahl der Konsolen wird heute mit systemd begrenzt:
-*in Datei ''/etc/systemd/logind.conf'' NAutoVTs=1 eintragen
+*in Datei /etc/systemd/logind.conf NAutoVTs=1 eintragen
-====''/etc/passwd'' und ''/etc/shadow''====
+====/etc/passwd und /etc/shadow====
 *wichtig ist bei beiden die Verwendung des 2.Feldes
-.Feld bei ''/etc/passwd''
+.Feld bei /etc/passwd
-*X (heißt, Passwort steht in ''/etc/shadow'')
+*X (heißt, Passwort steht in /etc/shadow)
 * * (heißt, User darf sich nicht anmelden)
 *Ein Leerzeichen steht für ein leeres Passwort-Verfallszeiten
-.Feld bei ''/etc/shadow'', hier stehen die verschlüsselten Passwörter
+.Feld bei /etc/shadow, hier stehen die verschlüsselten Passwörter
 * ! oder * (heißt Benutzer kann sich mit Unix-Passwort nicht anmelden)