next up previous contents Next: Les conventions de distribution. Up: Invoquer des services avec Previous: Invoquer un service inetd.   Table des matières  


30.2.3 Invoquer un service ``TCP wrapper'' d'inetd.

Avec cette troisième méthode, inetd lance le service à notre place sous la commande d'interface (ou wrapper command) tcpd. Donc, cette méthode est très proche de celle vue à la section 30.2.2. Cependant, il y a un petit changement dans l'entrée du fichier /etc/inet.conf:

ftp    stream tcp   nowait root  /usr/sbin/tcpd /usr/sbin/in.ftpd 
( ftp    stream tcp   nowait root  /usr/sbin/tcpd /usr/sbin/in.wuftpd ) 


Ensuite, il faut redémarrer le service inetd comme nous l'avons fait à la sous-section 30.2.2. La modification effectuée sur la ligne de /etc/inet.conf permet à tcpd d'invoquer in.ftpd (ou in.wuftpd) au nom d'inetd. La commande tcpd effectue divers tests sur la connexion entrante afin de décider si cette dernière est de confiance. tcpd vérifie de quel hôte provient la connexion et compare ce dernier aux entrées du fichier /etc/hosts.allow et /etc/hosts.deny. Elle peut refuser des connexions de certains hôtes, ce qui donne un contrôle d'accès fin aux services.

Considérons l'entrée de /etc/inetd.conf et celle du fichier /etc/hosts.allow:

in.ftpd: LOCAL, .my.domain 
(in.wuftpd: LOCAL, .my.domain) 


ainsi que celle du fichier /etc/hosts.deny:

in.ftpd: ALL 
( in.wuftpd: ALL ) 


Dans cet exemple, seront refusées les connexions de toutes les machines dont le nom d'hôte ne se termine pas par .my.domain. Seront acceptées les connexions de la machine locale [celle sur laquelle inetd est exécuté]. A ce stade, il est utile d'essayer d'établir une connexion ftp de différentes machines pour vérifier le contrôle d'accès. Une description complète du format de /etc/hosts.allow et /etc/hosts.deny est donnée dans hosts_access(5). Voici un autre exemple relatif à /etc/hosts.deny:

ALL: .snake.oil.com, 146.168.160.0/255.255.240.0 


Dans ce cas, l'accès sera refusé pour tous les services (ALL) à toutes les machines faisant partie du réseau 146.168.160.0 et à toutes les machines appartenant au domaine .snake.oil.com.


next up previous contents Next: Les conventions de distribution. Up: Invoquer des services avec Previous: Invoquer un service inetd.   Table des matières  
1-01-2006