Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Reference Guide - Wrapper TCP e xinetd

Capitolo 17. Wrapper TCP e xinetd

Il controllo dell'accesso ai servizi di rete � uno dei fattori che riguardanola sicurezza pi� importanti che un amministratore possa incontrare. Fortunatamente, con Red Hat Enterprise Linux sono disponibili un numero di tool creati appositamente per questo. Per esempio, un firewall basato su iptables filtra i pacchetti di rete non desiderati all'interno dello stack di rete del kernel. Per i servizi di rete che lo utilizzano, i wrapper TCP aggiungono un livello di protezione, definendo quale host pu� collegarsi ai servizi di rete "wrapped". Uno dei servizi di questo tipo � il super server xinetd. Questo servizio � chiamato super server perch� controlla le connessioni per un sottogruppo di servizi di rete, e garantisce un controllo di accesso pi� accurato.

Figura 17-1 rappresenta una illustrazione basica di come questi tool lavorano insieme per proteggere i servizi di rete.

Figura 17-1. Controllo di accesso per i servizi di rete

Questo capitolo si sofferma sul ruolo dei wrapper TCP e xinetd nel controllo dell'accesso ai servizi di rete, indicando l'uso migliore dei tool per facilitare la gestione sia nel procedimento di logging che nella sua gestione. Per una discussione sull'uso del firewall con iptables, consultare Capitolo 18.

17.1. Wrapper TCP

Il pacchetto dei wrapper TCP (tcp_wrappers) viene installato per default e fornisce un controllo d'accesso basato su di un host per i servizi di rete. Il componente pi� importante all'interno del pacchetto � la libreria /usr/lib/libwrap.a. In termini generali, un servizio wrapped TCP � stato compilato usando la libreria libwrap.a.

Quando si tenta il collegamento ad un servizio wrapped TCP, il servizio prima si riferisce ai file hosts access (/etc/hosts.allow e /etc/hosts.deny) per determinare se l'host del client � abilitato al collegamento. In molti casi, il servizio usa il demone syslog (syslogd) per scrivere il nome dell'host richiedente e del servizio richiesto su /var/log/secure o /var/log/messages.

Se un client host � abilitato al collegamento, i wrapper TCP permettono il controllo della connessione al servizio richiesto non interferendo con la comunicazione tra il client host ed il server.

In aggiunta a quanto finora detto, i wrapper TCP possono attivare i comandi per interagire con il client prima di rifiutare o permettere il controllo della connessione al servizio di rete richiesto.

Poich� i wrapper TCP rappresentano un'aggiunta molto importante per i tool di sicurezza di un amministratore del server, molti servizi di rete all'interno di Red Hat Enterprise Linux sono collegati alla libreria libwrap.a. Alcune applicazioni includono /usr/sbin/sshd, /usr/sbin/sendmail, e /usr/sbin/xinetd.

NotaNota Bene
 

Per determinare se un servizio di rete binario � collegato alla libreria libwrap.a, digitare il seguente comando come utente root:

strings -f <binary-name> | grep hosts_access

Sostituire <nome-binario> con il nome del binario del servizio di rete.

Se viene ritornato un prompt, allora il servizio di rete non � collegato a libwrap.a.

17.1.1. Vantaggi dei Wrapper TCP

I wrapper TCP forniscono i seguenti vantaggi rispetto alle altre techniche di controllo dei servizi di rete:

  • Transparenza sia per il client host sia per il servizio di rete wrapped 'inglobato'. — Sia il client che si collega che il servizio di rete wrapped non sono a conoscenza dell'uso dei wrapper TCP. Gli utenti abilitati non si accorgeranno di niente, mentre coloro che non sono abilitati non riusciranno a collegarsi.

  • Gestione centralizzata dei protocolli multipli. — I wrapper TCP funzionano indipendentemente dai servizi di rete da loro protetti, in questo modo, molte applicazioni possono condividere un insieme comune di file di configurazione semplificandone cos� la gestione.

 
 
  Published under the terms of the GNU General Public License Design by Interspire