Tcp wrapper: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „== tcp_wrapper == Mit der tcp_wrapper Programmbibliothek können Sie Ihre Dienste gegen Missbrauch schützen. === Filter-Funktionalität === Sie können tcp_wrapper für folgende Zwecke einsetzen: * Nach Source-Adressen filtern (IPv4 oder IPv6) * Nach Benutzern filtern (benötigt einen aktiven ident Daemon auf der Client-Seite) === Welches Programm benützt tcp_wrapper === Folgende Programme sind bekannt: * Jeder Dienst, der durch den xinetd aufgerufe…“ |
Keine Bearbeitungszusammenfassung |
||
Zeile 42: | Zeile 42: | ||
Das Logging einer akzeptierten IPv4-Verbindung zu einem auf zwei Ports hörenden sshd sieht wie folgt aus: | Das Logging einer akzeptierten IPv4-Verbindung zu einem auf zwei Ports hörenden sshd sieht wie folgt aus: | ||
[[Kategorie:IPv6/Dienste]] |
Aktuelle Version vom 30. Dezember 2023, 02:47 Uhr
tcp_wrapper
Mit der tcp_wrapper Programmbibliothek können Sie Ihre Dienste gegen Missbrauch schützen.
Filter-Funktionalität
Sie können tcp_wrapper für folgende Zwecke einsetzen:
- Nach Source-Adressen filtern (IPv4 oder IPv6)
- Nach Benutzern filtern (benötigt einen aktiven ident Daemon auf der Client-Seite)
Welches Programm benützt tcp_wrapper
Folgende Programme sind bekannt:
- Jeder Dienst, der durch den xinetd aufgerufen wird (und wenn der xinetd mit der tcp_wrapper Bibliothek kompiliert wurde)
- sshd (wenn der mit der tcp_wrapper Bibliothek kompiliert wurde)
Anwendung
Der tcp_wrapper wird durch zwei Dateien konfiguriert und kontrolliert: /etc/hosts.allow sowie /etc/hosts.deny. Weitere Informationen finden Sie mit:
Beispiel für /etc/hosts.allow
In dieser Datei wird ein Dienst pro Zeile eingetragen, der positiv gefiltert werden soll (d.h. Verbindungen werden erlaubt).
Achtung: es existieren fehlerhafte Implementierungen, welche folgende fehlerhafte IPv6-Netzwerk-Beschreibung unterstützen: [2001:0db8:100:200::/64]. Hoffentlich werden diese Versionen bald gefixt.
Beispiel für /etc/hosts.deny
In dieser Datei werden alle Einträge negativ gefiltert. Und normalerweise sollen alle Verbindungen unterbunden werden:
Sie können bei Bedarf obige Standardzeile auch durch Folgende ersetzen, jedoch wird dadurch bei zu vielen Verbindungen in kurzer Zeitz eine DoS Angriff möglich (Last des Mailers sowie des Spool-Verzeichnisses). Ein logwatch ist somit wahrscheinlich die bessere Lösung.
Protokollierung
Entsprechend der Syslog Daemon Konfiguration in der Datei /etc/syslog.conf protokolliert der tcp_wrapper normalerweise in die Datei /var/log/secure.
Abgelehnte Verbindung
Das Logging einer abgelehnten IPv4-Verbindung zu einem durch den xinetd überwachten Daytime Dienst sieht wie folgt aus:
Das Logging einer abgelehnten IPv4-Verbindung zu einem durch den xinetd überwachten sshd Daemon (auf IPv4 und IPv6 auf Verbindungen wartend) sieht wie folgt aus:
Akzeptierte Verbindung
Das Logging einer akzeptierten IPv4-Verbindung zu einem durch den xinetd überwachten Daytime Dienst sieht wie folgt aus:
Das Logging einer akzeptierten IPv4-Verbindung zu einem auf zwei Ports hörenden sshd sieht wie folgt aus: