Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Guide de reference - Enveloppeurs TCP et xinetd
Red Hat Enterprise Linux 4: Guide de r�f�rence
Pr�c�dentSuivant

Chapitre 17. Enveloppeurs TCP et xinetd

Le contr�le de l'acc�s aux services r�seau est l'une des t�ches de s�curit� les plus importantes � laquelle un administrateur de serveurs doit faire face. Heureusement, sous Red Hat Enterprise Linux il existe un certain nombre d'outils con�us pour effectuer cette t�che. Par exemple, le pare-feu bas� sur iptables filtre les paquets r�seau ind�sirables au sein de la pile r�seau du noyau. Pour les services r�seau qui utilisent ce pare-feu, des enveloppeurs TCP ajoutent une couche de protection suppl�mentaire en d�terminant les h�tes autoris�s ou non � se connecter � des services r�seau "envelopp�s". Parmi ces services r�seau envelopp�s figure le super-serveur xinetd. Ce service est baptis� super-serveur parce qu'il contr�le les connexions � un sous-ensemble de services r�seau et raffine encore plus le contr�le de l'acc�s.

La Figure 17-1 repr�sente une illustration �l�mentaire de la mani�re selon laquelle ces outils fonctionnent ensemble pour prot�ger des services r�seau.

Figure 17-1. Contr�le de l'acc�s aux services r�seau

Ce chapitre examine d'une part le r�le que jouent les enveloppeurs TCP et xinetd dans le processus de contr�le de l'acc�s aux services r�seau et analyse d'autre part la mani�re selon laquelle ces outils peuvent �tre utilis�s afin d'am�liorer aussi bien la gestion de la journalisation que celle de l'utilisation du syst�me. Pour obtenir des informations sur l'utilisation de pare-feu avec iptables, reportez-vous au Chapitre 18.

17.1. Enveloppeurs TCP

Le paquetage des enveloppeurs TCP (tcp_wrappers) est install� par d�faut et fournit un moyen de contr�ler l'acc�s aux services r�seau en fonction de l'h�te. La biblioth�que /usr/lib/libwrap.a repr�sente l'�l�ment le plus important du paquetage. D'une mani�re g�n�rale, un service envelopp� avec TCP est un service qui a �t� compil� avec la biblioth�que libwrap.a.

Lorsqu'une tentative de connexion � un service envelopp� avec TCP est effectu�e, le service cherche d'abord les fichiers d'acc�s des h�tes (hosts access) (/etc/hosts.allow et /etc/hosts.deny) afin de d�terminer si l'h�te client est autoris� ou non � se connecter. Dans la plupart des cas, il utilise ensuite le d�mon syslog (syslogd) pour �crire le nom de l'h�te envoyant la requ�te et le nom du service demand� dans /var/log/secure ou /var/log/messages.

Si un h�te client a la permission de se connecter, les enveloppeurs TCP c�dent le contr�le de la connexion au service demand� et n'interf�rent plus entre l'h�te client et le serveur dans le processus de communication.

Outre le contr�le d'acc�s et la connexion, les enveloppeurs TCP peuvent activer des commandes afin d'interagir avec le client avant de de refuser ou de c�der le contr�le de la connexion au service r�seau demand�.

�tant donn� que les enveloppeurs TCP repr�sentent un ajout pr�cieux � la panoplie des outils de s�curit� de tout administrateur de serveurs, la plupart des services r�seau sous Red Hat Enterprise Linux sont �troitement li�s � la biblioth�que libwrap.a. Parmi ces applications figurent /usr/sbin/sshd, /usr/sbin/sendmail et /usr/sbin/xinetd.

NoteRemarque
 

Afin de d�terminer si un binaire de service r�seau est li� � libwrap.a, tapez la commande suivante en �tant connect� en tant que super-utilisateur (ou root)�: 

strings -f <binary-name> | grep hosts_access

Remplacez <binary-name> par le nom du binaire du service r�seau.

Si une invite appara�t, le service r�seau n'est pas li� � libwrap.a.

17.1.1. Avantages des enveloppeurs TCP

Les enveloppeurs TCP offrent deux avantages par rapport � d'autres techniques de contr�le des services r�seau�:

  • La transparence des op�rations aussi bien pour l'h�te client que pour le service r�seau envelopp� — Ni le client �tablissant la connexion, ni le service r�seau envelopp� ne remarqueront que des enveloppeurs TCP sont utilis�s. Les utilisateurs l�gitimes sont connect�s et branch�s au service demand� alors que les connexions provenant de clients non-autoris�s sont refus�es.

  • Une gestion centrale de protocoles multiples — �tant donn� que les enveloppeurs TCP fonctionnent ind�pendamment des services r�seau qu'ils prot�gent, ils permettent � de nombreuses applications serveur de partager un jeu de fichiers de configuration commun, permettant ainsi de simplifier la gestion des services.

Pr�c�dentSommaireSuivant
Ressources suppl�mentairesNiveau sup�rieurFichiers de configuration des enveloppeurs TCP

  
 
  Published under the terms of the GNU General Public License Design by Interspire