TCP Wrappers
Un “Wrapper” est un démon qui utilise deux fichiers : Les Bases de la sécurité sous GNU / Linux /etc/hosts.allow et /etc/hosts.deny qui décident quels utilisateurs et domaines peuvent se connecter aux services lancés par inetd.
La plupart des installations par défaut laisse ces fichiers vides. La première chose à faire avec TCP Wrappers est de configurer votre politique de sécurité à “deny”. La meilleure manière est de bloquer toutes les “portes” dès le début, et après seulement d’ouvrir ceux qui vous sont utiles. Editez /etc/hosts.deny et ajouter la ligne :
ALL:ALL
Ce qui signifie que l’accès à tous les services (“ALL”) est interdit pour tous (“ALL”). Si vous voulez être notifiés par mail dès qu’un tentative de connexion à échouée, modifiez :
ALL:ALL:/bin/mail -s “c” votre@mail.com
Une fois cette configuration draconienne établie, autorisez à présent certains hosts : étidez /etc/hosts.allow. Par exemple la ligne ALL:127.0.0.1 autorise l’accès pour l’ip 127.0.0.1 pour tous les services. De même, ipop3d:192.168.1.1 autorise 192.168.1.1 l’accès à pop3
Vous pouvez aussi spécifiez une “rangée d’ip” avec une ligne comme : ipop3d:192.168.1, et séparez les adresses par une virgule : ipop3d:192.168.1.1, 192.168.1.4 Vous pouvez aussi utlisez des noms de domaines plutôt que des IP. Le problème est que ça peut ralentir le traffic (“DNS failure…”)
Source : http://Ethneo.free.fr
Page mise à jour le 14 août 2006 à 17h20.