Salta l'introduzione Italia - Italiano
HP.com Italia Prodotti e Servizi Supporto e Drivers Soluzioni Come Acquistare
» Contatta HP
Altre opzioni
HP.com Italia
 Guida all'amministrazione di sistemi HP-UX: Gestione della sicurezza: HP-UX 11i versione 3 > Capitolo 5 Gestione della protezione dell'accesso remoto

Il daemon inetd
» 

Documentazione tecnica

Libro completo in PDF
» Feedback
Inizio contenuto

 » Sommario

 » Glossario

 » Indice

spacerspacerspacer
spacer
spacer
  		 
 

Il daemon internet, /usr/sbin/inetd, è il server principale per molti servizi Internet.

Il daemon inetd di solito è avviato automaticamente dallo script /sbin/init.d/inetd durante la procedura di avvio.

Il daemon inetd controlla le richieste di connessione per i servizi elencati nel file di configurazione /etc/inetd.conf, avviando il server appropriato una volta ricevuta la richiesta. In altre parole, gli utenti si collegano ai sistemi remoti usando un servizio Internet, come telnet. Il daemon inetd determina se una connessione telnet dall'host è permessa, prima di avviarla. Le informazioni dell'host che consentono di autorizzare o negare una connessione sono contenute nel file /var/adm/inetd.sec.

Il daemon inetd opera nel modo seguente:

  1. È avviato al livello di esecuzione 2 all'avvio del sistema, (se nello script di avvio del sistema è presente il seguente comando: /sbin/init.d/inetd start)

  2. Controlla /etc/inetd.conf per determinare quali servizi offrire. Per ulteriori informazioni, vedere ftp(1) e inetd.conf(4).

  3. Controlla /etc/services per determinare quali porte monitorare per i servizi elencati in /etc/inetd.conf. Il file /etc/services mappa i nomi di servizio ai numeri di porta. Per ulteriori informazioni, vedere services(4).

  4. Riceve da un client una richiesta di connessione per servizi Internet. Ad esempio, qualcuno esegue telnet.

  5. Consulta /var/adm/inetd.sec per determinare se al client è consentito l'accesso. Per ulteriori informazioni, consultare inetd.sec(4).

  6. Se è abilitata la registrazione eventi, la richiesta sarà registrata nel file /var/adm/syslog/syslog.log. Per ulteriori informazioni, vedere syslogd(1M).

  7. Se inetd rifiuta la connessione per ragioni di sicurezza, la connessione sarà chiusa.

  8. Se la richiesta di connessione è valida, inetd eseguirà un processo del server per gestire la richiesta di connessione. Il processo server può avere altre funzionalità di protezione, oltre a inetd.

Protezione di inetd

Il file /etc/inetd.conf è il file di configurazione di inetd, che elenca i servizi che il daemon inetd può avviare. Ogni servizio elencato in /etc/inetd.conf deve anche essere presente nel file /etc/services. Il file /etc/services mappa i nomi di servizio ai numeri di porta. Ad ogni numero di porta è associato un nome di protocollo, come tcp o udp. Ogni voce di un protocollo deve avere una voce corrispondente nel file /etc/protocols.

I seguenti suggerimenti possono servire a proteggere maggiormente inetd:

  • Abilitare in /etc/rc.config.d/netdaemons la registrazione eventi di inetd. Per ulteriori informazioni, vedere rc.config.d(4).

  • Controllare se sono state eseguite modifiche a /etc/inetd.conf ed a /etc/services. Un utente non autorizzato potrebbe aver ottenuto l'accesso di root ed aver modificato i file /etc/services e /etc/inetd.conf. In /etc/inetd.conf, cercare eventuali nomi di servizio che non sono utilizzati. In /etc/services, cercare i numeri di porta che non sono registrati con Internet Assigned Numbers Authority (IANA), all'indirizzo http://www.iana.org. Controllare che i numeri di porta elencati per i servizi Internet corrispondano ai numeri registrati con IANA.

  • Rimuovere i servizi non necessari, come finger, in /etc/inetd.conf. Il comando finger visualizza le informazioni sugli utenti senza richiedere una password.

  • Rimuovere i servizi Remote Procedure Calls (RPC), in /etc/inetd.conf.

  • Rimuovere i servizi interni inetd di minore importanza in /etc/inetd.conf, per evitare attacchi a negazione di servizio. Un utente malintenzionato potrebbe sovraccaricare inetd con richieste chargen (generatore di caratteri). Per ulteriori informazioni, vedere inetd(1M) e inetd.conf(4).

Negare o consentire l'accesso con /var/adm/inetd.sec

Oltre a configurare il file /etc/inetd.conf, per limitare gli accessi ai servizi avviati da inetd è possibile configurare il file di protezione facoltativo /var/adm/inetd.sec. Il file /var/adm/inetd.sec elenca gli host a cui l'accesso è permesso o negato per ogni servizio. Per ulteriori informazioni, consultare inetd.conf(4).

Ad esempio:

login allow 10.3-5 192.34.56.5 nome_host nome_rete

login deny 192.54.24.5 cory.example.edu.testlan



Panoramica dei servizi Internet e dei servizi d'accesso remoto
  		 


Protezione contro lo spoofing con i wrapper TCP  
Versione stampabile
Informativa sulla privacy Usando questo sito si accettano le sue condizioni
© 2008 Hewlett-Packard Development Company, L.P.