.\" -*- coding: UTF-8 -*- .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH TCPD 8 .SH NUME tcpd \- facilitate de control al accesului pentru serviciile de internet .SH DESCRIERE .PP Programul \fItcpd\fP poate fi configurat pentru a monitoriza cererile primite pentru \fItelnet\fP, \fIfinger\fP, \fIftp\fP, \fIexec\fP, \fIrsh\fP, \fIrlogin\fP, \fItftp\fP, \fItalk\fP, \fIcomsat\fP și alte servicii care au o corespondență unu la unu cu fișierele executabile. .PP Programul suportă atât socluri de tip 4.3BSD, cât și TLI de tip System V.4. Funcționalitatea poate fi limitată atunci când protocolul de sub TLI nu este un protocol de internet. .PP Există două moduri posibile de operare: executarea lui \fItcpd\fP înaintea unui serviciu pornit de \fIinetd\fP sau legarea unui demon cu biblioteca partajată \fIlibwrap\fP, așa cum este documentat în pagina de manual \fIhosts_access\fP(3). Funcționarea atunci când este pornit de \fIinetd\fP este următoarea: de fiecare dată când sosește o cerere de serviciu, demonul \fIinetd\fP este păcălit să ruleze programul \fItcpd\fP în loc de serverul dorit. \fItcpd\fP înregistrează cererea și face câteva verificări suplimentare. Când totul este în regulă, \fItcpd\fP rulează programul serverului corespunzător și se retrage. .PP Caracteristicile opționale sunt: control al accesului bazat pe modele, căutări ale numelui de utilizator al clientului cu protocolul RFC 931 etc., protecție împotriva gazdelor care pretind că au numele de gazdă al altcuiva și protecție împotriva gazdelor care pretind că au adresa de rețea a altcuiva. .SH JURNALIZAREA Conexiunile care sunt monitorizate de \fItcpd\fP sunt raportate prin intermediul facilității \fIsyslog\fP(3). Fiecare înregistrare conține o marcă de timp, numele gazdei clientului și numele serviciului solicitat. Informațiile pot fi utile pentru a detecta activități nedorite, în special atunci când informațiile din fișierele jurnal de la mai multe gazde sunt îmbinate. .PP Pentru a afla unde se duc înregistrările, examinați fișierul de configurare syslog, de obicei „/etc/syslog.conf”. .SH "CONTROLUL ACCESULUI" Opțional, \fItcpd\fP permite o formă simplă de control al accesului care se bazează pe potrivirea modelelor. Software\-ul de control al accesului oferă cârlige pentru executarea comenzilor de tip shell atunci când un model se declanșează. Pentru detalii, consultați pagina de manual \fIhosts_access\fP(5). .SH "VERIFICAREA NUMELUI GAZDEI" Schema de autentificare a unor protocoale (\fIrlogin, rsh\fP) se bazează pe numele de gazdă. Unele implementări cred în numele de gazdă pe care îl obțin de la orice server de nume aleatoriu; alte implementări sunt mai atente, dar folosesc un algoritm eronat. .PP \fItcpd\fP verifică numele de gazdă al clientului care este returnat de serverul DNS adresa\->nume, analizând numele de gazdă și adresa returnate de serverul DNS nume\->adresa. Dacă se detectează vreo discrepanță, \fItcpd\fP concluzionează că are de\-a face cu o gazdă care pretinde că are numele de gazdă al altcuiva. .PP Dacă sursele sunt compilate cu \-DPARANOID, \fItcpd\fP va întrerupe conexiunea în cazul unei neconcordanțe între numele de gazdă și adresă. În caz contrar, numele de gazdă poate fi comparat cu „wildcard”\-ul \fIPARANOID\fP (tabel de adrese/nume de gazdă ce utilizează metacaractere, dar în modul „paranoic”, nu toate variantele de adrese/nume cu metacaractere sunt admise), după care se pot lua măsuri adecvate. .SH "FALSIFICAREA ADRESEI GAZDEI" Opțional, \fItcpd\fP dezactivează opțiunile soclului de direcționare la sursă pentru fiecare conexiune cu care se ocupă. Acest lucru va rezolva majoritatea atacurilor din partea gazdelor care pretind că au o adresă care aparține altei rețele. Serviciile UDP nu beneficiază de această protecție. Această caracteristică trebuie activată în momentul compilării. .SH "RFC 931" Atunci când sunt activate căutările RFC 931 etc. (opțiune de compilare), \fItcpd\fP va încerca să stabilească numele utilizatorului client. Acest lucru va reuși numai dacă gazda clientului rulează un demon compatibil cu RFC 931. Căutările de nume de utilizator client nu vor funcționa în cazul conexiunilor orientate pe datagrame și pot cauza întârzieri notabile în cazul conexiunilor de la PC\-uri. .SH EXEMPLE Detaliile de utilizare a \fItcpd\fP depind de informațiile privind numele de rută care au fost compilate în program. .SH "EXEMPLUL 1" Acest exemplu se aplică atunci când \fItcpd\fP se așteaptă ca demonii de rețea originali să fie mutați într\-un „alt” loc. .PP Pentru a monitoriza accesul la serviciul \fIfinger\fP, mutați demonul «finger» original în „alt” loc și instalați «tcpd» în locul demonului «finger» original. Nu este necesară nicio modificare a fișierelor de configurare. .nf .sp .in +5 # mkdir /alt/loc # mv /usr/sbin/in.fingerd /alt/loc # cp tcpd /usr/sbin/in.fingerd .fi .PP Exemplul presupune că demonii de rețea se află în „/usr/sbin”. Pe unele sisteme, daemonii de rețea se află în „/usr/sbin” sau în „/usr/libexec”, sau nu au prefixul „in.” în numele lor. .SH "EXEMPLUL 2" Acest exemplu se aplică atunci când \fItcpd\fP se așteaptă ca demonii de rețea să fie lăsați la locul lor inițial. .PP Pentru a monitoriza accesul la serviciul \fIfinger\fP, efectuați următoarele modificări în fișierul de configurare \fIinetd\fP (de obicei \fI/etc/inetd.conf\fP): .nf .sp .ti +5 finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd .sp devine: .sp .ti +5 finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd .sp .fi .PP Exemplul presupune că demonii de rețea se află în „/usr/sbin”. Pe unele sisteme, daemonii de rețea se află în „/usr/sbin” sau în „/usr/libexec”, demonii nu au prefixul „in.” în numele lor sau nu există un câmp „userid” în fișierul de configurare „inetd”. .PP Modificări similare vor fi necesare și pentru celelalte servicii care vor fi acoperite de \fItcpd\fP. Trimiteți un semnal «kill \-HUP» la procesul \fIinetd\fP(8) pentru a face ca modificările să intre în vigoare. .SH "EXEMPLUL 3" În cazul demonilor care nu se află într\-un director comun („secret” sau altul), editați fișierul de configurare \fIinetd\fP astfel încât să specificați un nume de rută absolută pentru câmpul nume proces. De exemplu: .nf .sp ntalk dgram udp wait root /usr/sbin/tcpd /usr/local/lib/ntalkd .sp .fi .PP Numai ultima componentă (ntalkd) din numele de rută va fi utilizată pentru controlul accesului și pentru jurnalizare. .SH ERORI Unii demoni UDP (și RPC) mai rămân pe loc o vreme după ce își termină activitatea, în cazul în care apare o altă cerere. În fișierul de configurare inetd, aceste servicii sunt înregistrate cu opțiunea \fIwait\fP (așteaptă). Doar cererea care a pornit un astfel de daemon va fi înregistrată. .PP Programul nu funcționează cu servicii RPC prin TCP. Aceste servicii sunt înregistrate ca \fIrpc/tcp\fP în fișierul de configurare inetd. Singurul serviciu non\-trivial care este afectat de această limitare este \fIrexd\fP, care este utilizat de comanda \fIon(1)\fP. Aceasta nu reprezintă o mare pierdere. Pe majoritatea sistemelor, \fIrexd\fP este mai puțin sigur decât un caracter joker în fișierul „/etc/hosts.equiv”. .PP Cererile de difuzare RPC (de exemplu: \fIrwall, rup, rusers\fP) par să vină întotdeauna de la gazda care răspunde. Ceea ce se întâmplă este că clientul difuzează cererea către toți demonii \fIportmap\fP din rețeaua sa; fiecare demon \fIportmap\fP transmite cererea către un demon local. În ceea ce privește demonii \fIrwall\fP etc., cererea provine de la gazda locală. .SH FIȘIERE .PP Locațiile implicite ale tabelelor de control al accesului la gazdă sunt: .PP /etc/hosts.allow .br /etc/hosts.deny .SH "CONSULTAȚI ȘI" .na .nf hosts_access(3), funcții furnizate de biblioteca „libwrap”. hosts_access(5), formatul tabelelor de control al accesului pentru «tcpd». syslog.conf(5), formatul fișierului de control al «syslogd». inetd.conf(5), formatul fișierului de control al «inetd». .SH AUTORI .na .nf Wietse Venema (wietse@wzv.win.tue.nl), Department of Mathematics and Computing Science, Eindhoven University of Technology Den Dolech 2, P.O. Box 513, 5600 MB Eindhoven, Olanda .\" @(#) tcpd.8 1.5 96/02/21 16:39:16 .PP .SH TRADUCERE Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu . .PP Această traducere este documentație gratuită; citiți .UR https://www.gnu.org/licenses/gpl-3.0.html Licența publică generală GNU Versiunea 3 .UE sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE. .PP Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la .MT translation-team-ro@lists.sourceforge.net .ME .