Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=276eb5a80f05e9c8fb3cfdde5d91ad1f profile.php?mode=register&sid=276eb5a80f05e9c8fb3cfdde5d91ad1f faq.php?sid=276eb5a80f05e9c8fb3cfdde5d91ad1f memberlist.php?sid=276eb5a80f05e9c8fb3cfdde5d91ad1f search.php?sid=276eb5a80f05e9c8fb3cfdde5d91ad1f index.php?sid=276eb5a80f05e9c8fb3cfdde5d91ad1f

Foren-Übersicht » Linux und andere Unixe » TCP-Wrapper ohne inetd sinnvoll?
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
TCP-Wrapper ohne inetd sinnvoll?
BeitragVerfasst am: 14.08.2006 10:35 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Hallo zusammen,

da mein inetd überhaupt nicht genutzt wird und er keine Dienste überwacht, habe ich ihn abgeschaltet.

Ich habe mich gerade mal kurz in das Thema TCP-Wrapper eingelesen; normalerweise stellt er ja eine Schnittstelle zwischen dem inetd und den vom inetd gesteuerten Diensten dar. Allerdings wurde auch gesagt, dass der TCP-Wrapper ohne einen Superdaemon wie inetd eingesetzt werden könnte.

Meine Frage erstmal: Macht das überhaupt Sinn?

-> Habt ihr den inetd (xinetd o.ä. zählt auch dazu) und/oder TCP-Wrapper im Einsatz?

Ansonsten wird der Zugriff auf Serverdienste durch netfilter und Listen-Direktiven der Dienste (sofern vorhanden) gesteuert.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 14.08.2006 19:13 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

zunächst einmal wusste bzw. habe ich noch nie den TCP_Wrapper ohne inetd eingesetzt.
Interessant müsste ich mich auch mal darüber informieren.
Mein Wissenstand ist, dass man xinetd einsetzen kann ohne TCP_Wrapper(tcpd) installiert zu haben, da es ja schon in xinetd integriert ist.
Außerdem erfordert der TCP_Wrapper, dass die genutzten Netzwerkdienste bereit bei deren Kompilierung auf die Zusammenarbeit mit dem TCP_Wrapper vorbereitet werden, wobei in der Regel eine Unterstützung der TCP_Wrapper-Bibliothek (libwrap) notwendig ist. Darüber hinaus müssen diese Netzwerkdienste üblicherweise in /usr/sbin, gespeichert werden.

Das ist auch der Grund iweso ich auf meinem Rechner be dem ich solche Spielerreien immer mal wieder teste, nur xinetd laufen habe.

Xinetd eignet sich außerdem gut dafür für den Schutz vor Denial-of-Service-Attacken.
So ist es möglich eine Limitierung der einkommenden Verbindungsanfragen, so genannte "Port-Bomben" engegenzuwirken.
Weiterhin kann die Anzahl der anfallenden Logfiles gezielt geregelt werden.

Ok ich gebe zu, das ist auch alles mit Netfilter (iptables) möglich, aber ich finde doch die Bedienung von xinetd doch was intuitiver.

Um zu deiner eigentlichen Frage zurück zukommen, wenn du das alles auch mit anderen schon Eingesetzen Techniken realisieren kannst, sehe ich keine Vorteile daran eine zusätzliche Software einzusetzen.

Natürlich sind die Vorteile von xinetd noch mehr aber diese kann man auch alle mit iptables realisieren.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 14.08.2006 20:32 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Der Vorteil wäre eine zusätzliche Sicherheitsschicht um die Anwendungen. Ist also eine Lücke in der Firewall vorhanden, so greifen immer noch die hosts.alllow oder hosts.deny.

Meine Frage war eher, ob der TCP-Wrapper heute überhaupt noch "zeitgemäß" ist, da er ja früher eingesetzt wurde, als es noch keine richtigen Paketfilter gab.

In der Anleitung zum Absichern von Debian wird das nur kurz angerissen und die Anleitung scheint in vielen Punkten auch etwas veraltet zu sein.

Warum setzt du xinetd ein? Ich kenne nur den inetd und dieser startet doch dann die Dienste erst, wenn eine Anfrage auf dem entsprechenden Port kommt.

Das spart Speicher, jedoch befinden wir uns nicht mehr in der Steinzeit, wo mein Rechner nur 32 MB RAM hat und ich somit sparen muss.

Ich habe auf meinen Server viele Dienste laufen; alle laufen als eigene Dämonen und es sind 80 MB RAM belegt von 512 MB.

Zudem müsste solch ein Superdämon doch viel anfälliger für DoS-Attacken sein, da nur er als einzige Anwendung zig Ports überwachen soll, weshalb die Anleitung von Debian auch empfiehlt, den Superdämon zu entfernen bzw. zu stoppen.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 15.08.2006 13:47 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

ich beziehe mich hier auf dem Buch von Tobias Klein "Linux Sicherheit" und dort wird xinetd schon empholen, auch zu recht.
Werde heute abend erklären, wieso.

Nachtrag:
Nun ja bin doch mittlerweile was Faul geworden, um dir die Funktion von Xinetd Gegenüber den normalen TCP-Wrapper mit Inetd anzusehen reicht wohl die Webseite von Xinetd:
http://www.xinetd.org/

Cerox hat Folgendes geschrieben:
Meine Frage war eher, ob der TCP-Wrapper heute überhaupt noch "zeitgemäß" ist, da er ja früher eingesetzt wurde, als es noch keine richtigen Paketfilter gab.

In der Form wie du es beschreibst schon lange nicht mehr, xinetd den man als inofiziellen Nachfolger bezeichenen könnte selbst heute nicht merh so Zeitgemäß, meiner Meinung nach dennoch sinnvoll.
Und wegen der DOS Gefahr hier ein paar Gegenargumente:
- Limitierung der eingeheneden Portsanfragen.
- Zeitliche Restriktionen für bestimmte Ports
- Logfile Größe kann festgelegt werden somit kann verhindert das es
dadurch zum Denial of Service kommt.
- Festgelegte Quelladressen oder Bereiche
- Anfragen von einer bestimmten IP Adresse lassen sich auch limitieren, somit kann man sogar DOS bzw. DDOS-Tools wie trinoo oder Stacheldraht in ihrem Auswirkungen auch einwenig einschränken

mfg duddits

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
TCP-Wrapper ohne inetd sinnvoll?
Foren-Übersicht » Linux und andere Unixe
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum