Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - CentOS Enterprise Linux Guide de reference - Enveloppeurs TCP et xinetd

Chapitre 17. Enveloppeurs TCP et xinetd

Le contr�le de l'acc�s aux services r�seau est l'une des t�ches de s�curit� les plus importantes � laquelle un administrateur de serveurs doit faire face. Heureusement, sous Red Hat Enterprise Linux il existe un certain nombre d'outils con�us pour effectuer cette t�che. Par exemple, le pare-feu bas� sur iptables filtre les paquets r�seau ind�sirables au sein de la pile r�seau du noyau. Pour les services r�seau qui utilisent ce pare-feu, des enveloppeurs TCP ajoutent une couche de protection suppl�mentaire en d�terminant les h�tes autoris�s ou non � se connecter � des services r�seau "envelopp�s". Parmi ces services r�seau envelopp�s figure le super-serveur xinetd. Ce service est baptis� super-serveur parce qu'il contr�le les connexions � un sous-ensemble de services r�seau et raffine encore plus le contr�le de l'acc�s.

La Figure 17-1 repr�sente une illustration �l�mentaire de la mani�re selon laquelle ces outils fonctionnent ensemble pour prot�ger des services r�seau.

Figure 17-1. Contr�le de l'acc�s aux services r�seau

Ce chapitre examine d'une part le r�le que jouent les enveloppeurs TCP et xinetd dans le processus de contr�le de l'acc�s aux services r�seau et analyse d'autre part la mani�re selon laquelle ces outils peuvent �tre utilis�s afin d'am�liorer aussi bien la gestion de la journalisation que celle de l'utilisation du syst�me. Pour obtenir des informations sur l'utilisation de pare-feu avec iptables, reportez-vous au Chapitre 18.

17.1. Enveloppeurs TCP

Le paquetage des enveloppeurs TCP (tcp_wrappers) est install� par d�faut et fournit un moyen de contr�ler l'acc�s aux services r�seau en fonction de l'h�te. La biblioth�que /usr/lib/libwrap.a repr�sente l'�l�ment le plus important du paquetage. D'une mani�re g�n�rale, un service envelopp� avec TCP est un service qui a �t� compil� avec la biblioth�que libwrap.a.

Lorsqu'une tentative de connexion � un service envelopp� avec TCP est effectu�e, le service cherche d'abord les fichiers d'acc�s des h�tes (hosts access) (/etc/hosts.allow et /etc/hosts.deny) afin de d�terminer si l'h�te client est autoris� ou non � se connecter. Dans la plupart des cas, il utilise ensuite le d�mon syslog (syslogd) pour �crire le nom de l'h�te envoyant la requ�te et le nom du service demand� dans /var/log/secure ou /var/log/messages.

Si un h�te client a la permission de se connecter, les enveloppeurs TCP c�dent le contr�le de la connexion au service demand� et n'interf�rent plus entre l'h�te client et le serveur dans le processus de communication.

Outre le contr�le d'acc�s et la connexion, les enveloppeurs TCP peuvent activer des commandes afin d'interagir avec le client avant de de refuser ou de c�der le contr�le de la connexion au service r�seau demand�.

�tant donn� que les enveloppeurs TCP repr�sentent un ajout pr�cieux � la panoplie des outils de s�curit� de tout administrateur de serveurs, la plupart des services r�seau sous Red Hat Enterprise Linux sont �troitement li�s � la biblioth�que libwrap.a. Parmi ces applications figurent /usr/sbin/sshd, /usr/sbin/sendmail et /usr/sbin/xinetd.

NoteRemarque
 

Afin de d�terminer si un binaire de service r�seau est li� � libwrap.a, tapez la commande suivante en �tant connect� en tant que super-utilisateur (ou root)�:

strings -f <binary-name> | grep hosts_access

Remplacez <binary-name> par le nom du binaire du service r�seau.

Si une invite appara�t, le service r�seau n'est pas li� � libwrap.a.

17.1.1. Avantages des enveloppeurs TCP

Les enveloppeurs TCP offrent deux avantages par rapport � d'autres techniques de contr�le des services r�seau�:

  • La transparence des op�rations aussi bien pour l'h�te client que pour le service r�seau envelopp� — Ni le client �tablissant la connexion, ni le service r�seau envelopp� ne remarqueront que des enveloppeurs TCP sont utilis�s. Les utilisateurs l�gitimes sont connect�s et branch�s au service demand� alors que les connexions provenant de clients non-autoris�s sont refus�es.

  • Une gestion centrale de protocoles multiples — �tant donn� que les enveloppeurs TCP fonctionnent ind�pendamment des services r�seau qu'ils prot�gent, ils permettent � de nombreuses applications serveur de partager un jeu de fichiers de configuration commun, permettant ainsi de simplifier la gestion des services.

 
 
  Published under the terms of the GNU General Public License Design by Interspire