tcpwrapper
Bonjour,
J'espère être a propos sur cette liste !
Je met en place des tcpwrappers sur mon serveur perso et j'aimerais connaitre
vos avis éclairés sur les conf hosts.allow et hosts.deny suivant.
-----------------------------------------------------------------------------------------------
On sait que :
le réseau est d'adresse 192.168.0.0 et le serveur 192.168.0.2
le routeur est sur l'IP 192.168.0.1
le serveur à les ports et les services suivants actif sur le réseau local:
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
139/tcp open netbios-ssn
445/tcp open microsoft-ds
827/tcp open unknown
993/tcp open imaps
10000/tcp open snet-sensor-mgmt
depuis l'extérieur (via le routeur, redirection de ports) seul les services
suivants sont disponibles :
22/tcp open ssh
25/tcp open smtp
80/tcp open http
10000/tcp open webmin
-----------------------------------------------------------------------------------------------
Explications :
La seule ligne active de inetd.conf est
imaps stream tcp nowait root /usr/sbin/tcpd /usr/sbin/imapd
Les utilisateurs passent par un webmail installé sur le serveur lui-meme
(192.168.0.2 - 127.0.0.1)
pour lire leur mails en 'imaps'.
SMB (139 & 445) n'est pas géré par xinetd !
Serais-ce mieux qu'il le soit ?
Ou vaudrais il mieux qu'il soit filtré dans sa config (allow from dans
smb.conf) et par un firewall (iptables). ?
SSH n'est pas nom plus géré pas xined !
Si je veux rajouter un déla de connexion a ssh
Je souhaite que seul les utilisateurs du réseau ou du webmail soit authorisés
à acceder au service 'imaps' de ce serveur.
-----------------------------------------------------------------------------------------------
Soit la configuration suivante :
fichier /etc/hosts.deny
# on interdit tout et apres on autorise ce qu'on veut
ALL: ALL
# fin de fichier
fichier /etc/hosts.allow
# on autorise tout le réseau local a tout faire
ALL: LOCAL
# on autorise le serveur a tout faire
ALL: localhost
# on autorise tout le domaine a tout faire
#ALL: .mondomaine.org
# on autorise tout le réseau IP 192.168.0.0/24 a tout faire
ALL: 192.168.0.
# on autorise tout le réseau a utiliser imaps
imaps: 127.0.0.1 192.168.0
# on envois un mail a root pour les connexion interdites
ALL : ALL : SPAWN echo "Service %d IP %a Utilisateur %c" | /bin/mail root -s
"Alerte tcpd" : DENY
# on interdit tout le reste
ALL : ALL : DENY
# fin de fichier
Question subsidière bete :
A quel services se rapporte les ports
111/tcp open rpcbind
113/tcp open auth
?
Merci de votre aide
Philippe AMIOT
Reply to: