P. 1
coursLinux

coursLinux

|Views: 89|Likes:
Published by isggabes

More info:

Published by: isggabes on Sep 19, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

10/23/2012

pdf

text

original

Linux permet la fabrication de serveurs très puissants sur des machines modestes. On peut
rapidement arriver à offrir une multitude de services. Afin d'alléger la charge de travail, certains
services qui ne sont pas trop demandés peut être invoqués à la volée, afin de ne pas multiplier les
processus dormants.

Inetd permet de centraliser les demandes de services. C'est lui qui intercepte la demande, et après
vérification, lance le demon correspondant, et le stoppe une fois la tache terminée. Dans inetd, vous
trouverez les services tels que telnet, ftp, apache, samba, talk, etc...

Il est parfois préférable de faire tourner un démon en 'standalone'. Dans ce cas, il sera lancé par un
script de lancement (automatisé ou non), et ne devra pas être présent dans inetd !! En cas de
problème, lancez des ps alx afin de bien vérifier les PID et les PPID, qui devraient être parlant !

Autre avantage d'inetd : la sécurité ! Ce programme utilise un wrapper, appelé tcpwrapper. Son
petit nom est tcpd (le démon tcp). Il scanne chaque requête, puis applique la sécurité donnée dans
deux fichiers important

hosts.allow, et hosts.deny

Chacun de ces fichiers définit des cibles, qui indique un ou plusieurs services, et une ou plusieurs
machines. Si la cible est dans le hosts.allow, l'accès est autorisé. Si la cible est dans le hosts.deny,
l'accès est interdit. Si ce n'est ni l'un ni l'autre, l'accès est autorisé...

Résumons nous :

/etc/inetd.conf

# /etc/inetd.conf: see inetd(8) for further informations.
#
# Internet server configuration database
#
#
# Lines starting with "#:LABEL:" or "##" should not
# be changed unless you know what you are doing!
#
# If you want to disable an entry so it isn't touched during
# package updates just comment it out with a single '#' character.
#
# Packages should modify this file by using update-inetd(8)
#
#
#
#:INTERNAL: Internal services
#echo

stream

tcp

nowait

rootinternal

#echo

dgramudp

waitrootinternal

#chargen

stream

tcp

nowait

rootinternal

#chargen

dgramudp

waitrootinternal

discard

stream

tcp

nowait

rootinternal

discard

dgramudp

waitrootinternal

daytime

stream

tcp

nowait

rootinternal

#daytime

dgramudp

waitrootinternal

time

stream

tcp

nowait

rootinternal

#time

dgramudp

waitrootinternal

Sylvain CHERRIER

page 62 sur 98

Février 2008

Cours Linux

Version 0.6

#:STANDARD: These are standard services.
ftp

stream

tcp

nowait

root/usr/sbin/tcpd

/usr/sbin/wu-ftpd -l

#:BSD: Shell, login, exec and talk are BSD protocols.
talk

dgramudp

waitnobody.tty/usr/sbin/tcpd

/usr/sbin/in.talkd

ntalk

dgramudp

waitnobody.tty/usr/sbin/tcpd

/usr/sbin/in.ntalkd

#:MAIL: Mail, news and uucp services.
#disabled#smtp

stream

tcp

nowait

mail/usr/sbin/exim

exim -bs

#:INFO: Info services

#:BOOT: Tftp service is provided primarily for booting. Most sites
# run this only on machines acting as "boot servers."

#:RPC: RPC based services

#:HAM-RADIO: amateur-radio services

#:OTHER: Other services
netbios-ssn

stream

tcp

nowait

root/usr/sbin/tcpd

/usr/sbin/smbd
netbios-nsdgramudp

waitroot /usr/sbin/tcpd

/usr/sbin/nmbd -a

## swat

stream

tcp

nowait.400root/usr/sbin/tcpd

/usr/sbin/swat

Ce fichier contient la description de tous les services écoutés, et l'indication du serveur à invoquer

/etc/hosts.allow, et /etc/hosts.deny

# /etc/hosts.allow: list of hosts that are allowed to access the system.
# See the manual pages hosts_access(5), hosts_options(5)
# and /usr/doc/netbase/portmapper.txt.gz
#
# Example: ALL: LOCAL @some_netgroup
# ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper. See portmap(8)
# and /usr/doc/netbase/portmapper.txt.gz for further information.
#
esound: 127.0.0.1
esound: 127.0.0.1

# /etc/hosts.deny: list of hosts that are _not_ allowed to access the
system.
# See the manual pages hosts_access(5), hosts_options(5)
# and /usr/doc/netbase/portmapper.txt.gz
#
# Example: ALL: some.host.name, .some.domain
# ALL EXCEPT in.fingerd: other.host.name, .other.domain
#

Sylvain CHERRIER

page 63 sur 98

Février 2008

Cours Linux

Version 0.6

# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper. See portmap(8)
# and /usr/doc/netbase/portmapper.txt.gz for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
ALL: PARANOID

ces fichiers réglent la sécurité du wrapper, qui est consulté par inetd. Le système est permissif (ce
qui n'est pas interdit est autorisé).

/etc/init.d/inetd , /etc/init.d/portmap

Ces deux scripts permettent le contrôle des deux démons. (start, stop, reload, et restart)

/var/log/syslog , /var/log/messages , ou autres...

Fichiers de logs contenant les informations sur les événements (accès, refus...)

Sylvain CHERRIER

page 64 sur 98

Février 2008

Cours Linux

Version 0.6

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->