Update to r44593:
Editorial review of TCP Wrapper chapter. Change application name to singular. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6476
This commit is contained in:
parent
a659b44c38
commit
19cd577528
Notes:
svn2git
2020-12-08 03:00:23 +00:00
svn path=/head/; revision=48836
1 changed files with 56 additions and 61 deletions
|
@ -5,7 +5,7 @@
|
|||
|
||||
$FreeBSD$
|
||||
$FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $
|
||||
basiert auf: r44530
|
||||
basiert auf: r44593
|
||||
-->
|
||||
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
|
||||
<info><title>Sicherheit</title>
|
||||
|
@ -62,7 +62,7 @@
|
|||
</listitem>
|
||||
|
||||
<listitem>
|
||||
<para><acronym>TCP</acronym>-Wrapper für &man.inetd.8;
|
||||
<para><application>TCP Wrapper</application> für &man.inetd.8;
|
||||
einrichten können.</para>
|
||||
</listitem>
|
||||
|
||||
|
@ -999,59 +999,64 @@ Enter secret pass phrase: <userinput><secret password></userinput>
|
|||
</sect1>
|
||||
|
||||
<sect1 xml:id="tcpwrappers">
|
||||
<info><title>TCP-Wrapper</title>
|
||||
<info><title>TCP Wrapper</title>
|
||||
<authorgroup>
|
||||
<author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author>
|
||||
</authorgroup>
|
||||
</info>
|
||||
|
||||
|
||||
|
||||
<indexterm>
|
||||
<primary>TCP-Wrapper</primary>
|
||||
<primary>TCP Wrapper</primary>
|
||||
</indexterm>
|
||||
|
||||
<para><acronym>TCP</acronym>-Wrapper erweitern die Fähigkeiten von
|
||||
<xref linkend="network-inetd"/>. Beispielsweise können
|
||||
Verbindungen protokolliert, Nachrichten zurückgesandt oder nur
|
||||
interne Verbindungen angenommen werden. Einige dieser
|
||||
Fähigkeiten können auch über eine Firewall implementiert werden,
|
||||
<acronym>TCP</acronym>-Wrapper fügen jedoch noch eine weitere
|
||||
Sicherheitsschicht und Kontrollmöglichkeiten hinzu, die eine
|
||||
Firewall nicht bieten kann.</para>
|
||||
<para><application>TCP Wrapper</application> ist ein
|
||||
rechnerbasiertes Zugriffskontrollsystem, das die Fähigkeiten von
|
||||
<xref linkend="network-inetd"/> erweitert. Beispielsweise
|
||||
können Verbindungen protokolliert, Nachrichten zurückgesandt
|
||||
oder nur interne Verbindungen angenommen werden. Weitere
|
||||
Informationen über <application>TCP Wrapper</application> und
|
||||
dessen Funktionen finden Sie in &man.tcpd.8;.</para>
|
||||
|
||||
<para><acronym>TCP</acronym>-Wrapper sollten nicht als Ersatz für
|
||||
eine ordentlich konfigurierte Firewall angesehen werden, sondern
|
||||
stattdessen in Verbindung mit einer Firewall und anderen
|
||||
Sicherheitsmechanismen eingesetzt werden.</para>
|
||||
<para><application>TCP Wrapper</application> sollten nicht als
|
||||
Ersatz für eine ordentlich konfigurierte Firewall angesehen
|
||||
werden. Stattdessen sollten
|
||||
<application>TCP Wrapper</application> in Verbindung mit einer
|
||||
Firewall und anderen Sicherheitsmechanismen eingesetzt werden,
|
||||
um bei der Umsetzung einer Sicherheitsrichtlinie eine weitere
|
||||
Sicherheitsschicht zu bieten.</para>
|
||||
|
||||
<sect2>
|
||||
<title>TCP-Wrapper einrichten</title>
|
||||
<title>Konfiguration</title>
|
||||
|
||||
<para>Um <acronym>TCP</acronym>-Wrapper unter &os; zu benutzen,
|
||||
muss der &man.inetd.8;-Server aus <filename>rc.conf</filename>
|
||||
mit den Optionen <option>-Ww</option> gestartet werden.
|
||||
Anschließend muss <filename>/etc/hosts.allow</filename>
|
||||
<para>Um <application>TCP Wrapper</application> unter &os; zu
|
||||
aktivieren, fügen Sie die folgenden Zeilen in
|
||||
<filename>/etc/rc.conf</filename> ein:</para>
|
||||
|
||||
<programlisting>inetd_enable="YES"
|
||||
inetd_flags="-Ww"</programlisting>
|
||||
|
||||
<para>Anschließend muss <filename>/etc/hosts.allow</filename>
|
||||
richtig konfiguriert werden.</para>
|
||||
|
||||
<note>
|
||||
<para>Im Gegensatz zu anderen Implementierungen der
|
||||
<acronym>TCP</acronym>-Wrapper wird vom Gebrauch
|
||||
der Datei <filename>hosts.deny</filename> abgeraten.
|
||||
Die Konfiguration sollte sich vollständig in der
|
||||
Datei <filename>/etc/hosts.allow</filename> befinden.</para>
|
||||
<application>TCP Wrapper</application> wird unter &os; vom
|
||||
Gebrauch der Datei <filename>hosts.deny</filename>
|
||||
abgeraten. Die Konfiguration sollte sich vollständig in
|
||||
<filename>/etc/hosts.allow</filename> befinden.</para>
|
||||
</note>
|
||||
|
||||
<para>In der einfachsten Konfiguration werden Dienste
|
||||
abhängig vom Inhalt der Datei
|
||||
abhängig von den Optionen in
|
||||
<filename>/etc/hosts.allow</filename> erlaubt oder
|
||||
gesperrt. Unter &os; wird in der Voreinstellung
|
||||
jeder von &man.inetd.8; gestartete Dienst
|
||||
jeder von <application>inetd</application> gestartete Dienst
|
||||
erlaubt.</para>
|
||||
|
||||
<para>Eine Konfigurationszeile ist wie folgt aufgebaut:
|
||||
<literal>Dienst : Adresse : Aktion</literal>.
|
||||
<literal>Dienst</literal> ist der von &man.inetd.8;
|
||||
<literal>Dienst</literal> ist der von
|
||||
<application>inetd</application>
|
||||
gestartete Dienst (auch Daemon genannt). Die
|
||||
<literal>Adresse</literal> ist ein gültiger
|
||||
Rechnername, eine <acronym>IP</acronym>-Adresse oder
|
||||
|
@ -1075,8 +1080,8 @@ Enter secret pass phrase: <userinput><secret password></userinput>
|
|||
<programlisting># This line is required for POP3 connections:
|
||||
qpopper : ALL : allow</programlisting>
|
||||
|
||||
<para>Nachdem Sie die Zeile hinzugefügt haben, muss
|
||||
&man.inetd.8; neu gestartet werden:</para>
|
||||
<para>Jedes Mal, wenn diese Datei bearbeitet wird, muss
|
||||
<application>inetd</application> neu gestartet werden:</para>
|
||||
|
||||
<screen>&prompt.root; <userinput>service inetd restart</userinput></screen>
|
||||
</sect2>
|
||||
|
@ -1084,7 +1089,7 @@ qpopper : ALL : allow</programlisting>
|
|||
<sect2>
|
||||
<title>Erweiterte Konfiguration</title>
|
||||
|
||||
<para><acronym>TCP</acronym>-Wrapper besitzen
|
||||
<para><application>TCP Wrapper</application> besitzen
|
||||
weitere Optionen, die bestimmen, wie Verbindungen
|
||||
behandelt werden. In einigen Fällen ist es
|
||||
gut, wenn bestimmten Rechnern oder Diensten eine
|
||||
|
@ -1096,11 +1101,8 @@ qpopper : ALL : allow</programlisting>
|
|||
Wildcards, Metazeichen und der Ausführung externer
|
||||
Programme möglich.</para>
|
||||
|
||||
<sect3>
|
||||
<title>Externe Kommandos</title>
|
||||
|
||||
<para>Stellen Sie sich vor, eine Verbindung soll
|
||||
verhindert werden und gleichzeitig soll demjenigen,
|
||||
verhindert werden und gleichzeitig soll dem Rechner,
|
||||
der die Verbindung aufgebaut hat, eine Nachricht
|
||||
geschickt werden. Solch eine Aktion ist mit
|
||||
<option>twist</option> möglich. <option>twist</option>
|
||||
|
@ -1116,8 +1118,8 @@ ALL : ALL \
|
|||
<para>Für jeden Dienst, der nicht vorher in
|
||||
<filename>hosts.allow</filename> konfiguriert wurde, wird
|
||||
die Meldung <quote>You are not allowed to use
|
||||
<literal>daemon</literal> from
|
||||
<literal>hostname</literal>.</quote> zurückgegeben.
|
||||
<replaceable>daemon name</replaceable> from
|
||||
<replaceable>hostname</replaceable>.</quote> zurückgegeben.
|
||||
Dies ist nützlich, wenn die Gegenstelle sofort
|
||||
benachrichtigt werden soll, nachdem die Verbindung getrennt
|
||||
wurde. Der Text der Meldung <emphasis>muss</emphasis> in
|
||||
|
@ -1133,7 +1135,7 @@ ALL : ALL \
|
|||
<para>Eine weitere Möglichkeit bietet <option>spawn</option>.
|
||||
Wie <option>twist</option> verbietet <option>spawn</option>
|
||||
die Verbindung und führt externe Kommandos aus. Allerdings
|
||||
sendet <option>spawn</option> der Gegenstelle keine
|
||||
sendet <option>spawn</option> dem Rechner keine
|
||||
Rückmeldung. Sehen Sie sich die nachstehende
|
||||
Konfigurationsdatei an:</para>
|
||||
|
||||
|
@ -1149,16 +1151,10 @@ ALL : .example.com \
|
|||
<filename>/var/log/connections.log</filename>
|
||||
protokolliert. Das Protokoll enthält den
|
||||
Rechnernamen, die <acronym>IP</acronym>-Adresse
|
||||
und den Dienst, der angesprochen wurde.</para>
|
||||
|
||||
<para>In diesem Beispiel wurden die Metazeichen
|
||||
<literal>%a</literal> und <literal>%h</literal> verwendet.
|
||||
Eine vollständige Liste der Metazeichen finden Sie in
|
||||
&man.hosts.access.5;.</para>
|
||||
</sect3>
|
||||
|
||||
<sect3>
|
||||
<title>Wildcards</title>
|
||||
und den Dienst, der angesprochen wurde. In diesem Beispiel
|
||||
wurden die Metazeichen <literal>%a</literal> und
|
||||
<literal>%h</literal> verwendet. Eine vollständige Liste
|
||||
der Metazeichen finden Sie in &man.hosts.access.5;.</para>
|
||||
|
||||
<para>Die Wildcard <literal>ALL</literal> passt auf jeden
|
||||
Dienst, jede Domain oder jede <acronym>IP</acronym>-Adresse.
|
||||
|
@ -1168,7 +1164,7 @@ ALL : .example.com \
|
|||
Dies ist beispielsweise der Fall, wenn der Verbindungsaufbau
|
||||
von einer <acronym>IP</acronym>-Adresse erfolgt, die nicht
|
||||
zu dem übermittelten Rechnernamen passt. In diesem Beispiel
|
||||
werden alle Verbindungsanfragen zu &man.sendmail.8;
|
||||
werden alle Verbindungsanfragen zu <application>Sendmail</application>
|
||||
abgelehnt, wenn die <acronym>IP</acronym>-Adresse nicht zum
|
||||
Rechnernamen passt:</para>
|
||||
|
||||
|
@ -1176,22 +1172,21 @@ ALL : .example.com \
|
|||
sendmail : PARANOID : deny</programlisting>
|
||||
|
||||
<caution>
|
||||
<para>Die Wildcard <literal>PARANOID</literal>
|
||||
kann einen Dienst unbrauchbar machen, wenn der
|
||||
<para>Die Wildcard <literal>PARANOID</literal> wird
|
||||
Verbindungen ablehnen, wenn der
|
||||
Client oder der Server eine fehlerhafte
|
||||
<acronym>DNS</acronym>-Konfiguration besitzt.
|
||||
Seien Sie daher besonders vorsichtig, wenn Sie diese Wildcard
|
||||
in Ihre Konfiguration aufnehmen wollen.</para>
|
||||
<acronym>DNS</acronym>-Konfiguration besitzt.</para>
|
||||
</caution>
|
||||
|
||||
<para>Weitere Informationen über Wildcards und deren Funktion
|
||||
finden Sie in &man.hosts.access.5;.</para>
|
||||
|
||||
<para>Damit die gezeigten Beispiele funktionieren, muss die
|
||||
erste Konfigurationszeile in
|
||||
<filename>hosts.allow</filename> auskommentiert
|
||||
werden.</para>
|
||||
</sect3>
|
||||
<note>
|
||||
<para>Wenn Sie neue Einträge zur Konfiguration hinzufügen,
|
||||
sollten Sie sicherstellen, dass nicht benötigte Einträge
|
||||
in <filename>hosts.allow</filename> auskommentiert
|
||||
werden.</para>
|
||||
</note>
|
||||
</sect2>
|
||||
</sect1>
|
||||
|
||||
|
|
Loading…
Reference in a new issue