Provided by: manpages-ro_4.27.0-1_all 
NUME
tcpd - facilitate de control al accesului pentru serviciile de internet
DESCRIERE
Programul tcpd poate fi configurat pentru a monitoriza cererile primite pentru telnet, finger, ftp, exec,
rsh, rlogin, tftp, talk, comsat și alte servicii care au o corespondență unu la unu cu fișierele
executabile.
Programul suportă atât socluri de tip 4.3BSD, cât și TLI de tip System V.4. Funcționalitatea poate fi
limitată atunci când protocolul de sub TLI nu este un protocol de internet.
Există două moduri posibile de operare: executarea lui tcpd înaintea unui serviciu pornit de inetd sau
legarea unui demon cu biblioteca partajată libwrap, așa cum este documentat în pagina de manual
hosts_access(3). Funcționarea atunci când este pornit de inetd este următoarea: de fiecare dată când
sosește o cerere de serviciu, demonul inetd este păcălit să ruleze programul tcpd în loc de serverul
dorit. tcpd înregistrează cererea și face câteva verificări suplimentare. Când totul este în regulă, tcpd
rulează programul serverului corespunzător și se retrage.
Caracteristicile opționale sunt: control al accesului bazat pe modele, căutări ale numelui de utilizator
al clientului cu protocolul RFC 931 etc., protecție împotriva gazdelor care pretind că au numele de gazdă
al altcuiva și protecție împotriva gazdelor care pretind că au adresa de rețea a altcuiva.
JURNALIZAREA
Conexiunile care sunt monitorizate de tcpd sunt raportate prin intermediul facilității syslog(3). Fiecare
înregistrare conține o marcă de timp, numele gazdei clientului și numele serviciului solicitat.
Informațiile pot fi utile pentru a detecta activități nedorite, în special atunci când informațiile din
fișierele jurnal de la mai multe gazde sunt îmbinate.
Pentru a afla unde se duc înregistrările, examinați fișierul de configurare syslog, de obicei
„/etc/syslog.conf”.
CONTROLUL ACCESULUI
Opțional, tcpd permite o formă simplă de control al accesului care se bazează pe potrivirea modelelor.
Software-ul de control al accesului oferă cârlige pentru executarea comenzilor de tip shell atunci când
un model se declanșează. Pentru detalii, consultați pagina de manual hosts_access(5).
VERIFICAREA NUMELUI GAZDEI
Schema de autentificare a unor protocoale (rlogin, rsh) se bazează pe numele de gazdă. Unele implementări
cred în numele de gazdă pe care îl obțin de la orice server de nume aleatoriu; alte implementări sunt mai
atente, dar folosesc un algoritm eronat.
tcpd verifică numele de gazdă al clientului care este returnat de serverul DNS adresa->nume, analizând
numele de gazdă și adresa returnate de serverul DNS nume->adresa. Dacă se detectează vreo discrepanță,
tcpd concluzionează că are de-a face cu o gazdă care pretinde că are numele de gazdă al altcuiva.
Dacă sursele sunt compilate cu -DPARANOID, tcpd va întrerupe conexiunea în cazul unei neconcordanțe între
numele de gazdă și adresă. În caz contrar, numele de gazdă poate fi comparat cu „wildcard”-ul PARANOID
(tabel de adrese/nume de gazdă ce utilizează metacaractere, dar în modul „paranoic”, nu toate variantele
de adrese/nume cu metacaractere sunt admise), după care se pot lua măsuri adecvate.
FALSIFICAREA ADRESEI GAZDEI
Opțional, tcpd dezactivează opțiunile soclului de direcționare la sursă pentru fiecare conexiune cu care
se ocupă. Acest lucru va rezolva majoritatea atacurilor din partea gazdelor care pretind că au o adresă
care aparține altei rețele. Serviciile UDP nu beneficiază de această protecție. Această caracteristică
trebuie activată în momentul compilării.
RFC 931
Atunci când sunt activate căutările RFC 931 etc. (opțiune de compilare), tcpd va încerca să stabilească
numele utilizatorului client. Acest lucru va reuși numai dacă gazda clientului rulează un demon
compatibil cu RFC 931. Căutările de nume de utilizator client nu vor funcționa în cazul conexiunilor
orientate pe datagrame și pot cauza întârzieri notabile în cazul conexiunilor de la PC-uri.
EXEMPLE
Detaliile de utilizare a tcpd depind de informațiile privind numele de rută care au fost compilate în
program.
EXEMPLUL 1
Acest exemplu se aplică atunci când tcpd se așteaptă ca demonii de rețea originali să fie mutați într-un
„alt” loc.
Pentru a monitoriza accesul la serviciul finger, mutați demonul «finger» original în „alt” loc și
instalați «tcpd» în locul demonului «finger» original. Nu este necesară nicio modificare a fișierelor de
configurare.
# mkdir /alt/loc
# mv /usr/sbin/in.fingerd /alt/loc
# cp tcpd /usr/sbin/in.fingerd
Exemplul presupune că demonii de rețea se află în „/usr/sbin”. Pe unele sisteme, daemonii de rețea se
află în „/usr/sbin” sau în „/usr/libexec”, sau nu au prefixul „in.” în numele lor.
EXEMPLUL 2
Acest exemplu se aplică atunci când tcpd se așteaptă ca demonii de rețea să fie lăsați la locul lor
inițial.
Pentru a monitoriza accesul la serviciul finger, efectuați următoarele modificări în fișierul de
configurare inetd (de obicei /etc/inetd.conf):
finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
devine:
finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd
Exemplul presupune că demonii de rețea se află în „/usr/sbin”. Pe unele sisteme, daemonii de rețea se
află în „/usr/sbin” sau în „/usr/libexec”, demonii nu au prefixul „in.” în numele lor sau nu există un
câmp „userid” în fișierul de configurare „inetd”.
Modificări similare vor fi necesare și pentru celelalte servicii care vor fi acoperite de tcpd. Trimiteți
un semnal «kill -HUP» la procesul inetd(8) pentru a face ca modificările să intre în vigoare.
EXEMPLUL 3
În cazul demonilor care nu se află într-un director comun („secret” sau altul), editați fișierul de
configurare inetd astfel încât să specificați un nume de rută absolută pentru câmpul nume proces. De
exemplu:
ntalk dgram udp wait root /usr/sbin/tcpd /usr/local/lib/ntalkd
Numai ultima componentă (ntalkd) din numele de rută va fi utilizată pentru controlul accesului și pentru
jurnalizare.
ERORI
Unii demoni UDP (și RPC) mai rămân pe loc o vreme după ce își termină activitatea, în cazul în care apare
o altă cerere. În fișierul de configurare inetd, aceste servicii sunt înregistrate cu opțiunea wait
(așteaptă). Doar cererea care a pornit un astfel de daemon va fi înregistrată.
Programul nu funcționează cu servicii RPC prin TCP. Aceste servicii sunt înregistrate ca rpc/tcp în
fișierul de configurare inetd. Singurul serviciu non-trivial care este afectat de această limitare este
rexd, care este utilizat de comanda on(1). Aceasta nu reprezintă o mare pierdere. Pe majoritatea
sistemelor, rexd este mai puțin sigur decât un caracter joker în fișierul „/etc/hosts.equiv”.
Cererile de difuzare RPC (de exemplu: rwall, rup, rusers) par să vină întotdeauna de la gazda care
răspunde. Ceea ce se întâmplă este că clientul difuzează cererea către toți demonii portmap din rețeaua
sa; fiecare demon portmap transmite cererea către un demon local. În ceea ce privește demonii rwall etc.,
cererea provine de la gazda locală.
FIȘIERE
Locațiile implicite ale tabelelor de control al accesului la gazdă sunt:
/etc/hosts.allow
/etc/hosts.deny
CONSULTAȚI ȘI
hosts_access(3), funcții furnizate de biblioteca „libwrap”.
hosts_access(5), formatul tabelelor de control al accesului pentru «tcpd».
syslog.conf(5), formatul fișierului de control al «syslogd».
inetd.conf(5), formatul fișierului de control al «inetd».
AUTORI
Wietse Venema (wietse@wzv.win.tue.nl),
Department of Mathematics and Computing Science,
Eindhoven University of Technology
Den Dolech 2, P.O. Box 513,
5600 MB Eindhoven, Olanda
TRADUCERE
Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu
<remusgabriel.chelu@disroot.org>
Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o
versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO
RESPONSABILITATE.
Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-
ro@lists.sourceforge.net.
TCPD(8)