hosts.deny

[joerg]

hallo,
ich moechte den printer dienst unter port 515 abschalten und da dieser dieser dienst nicht mit dem inetd gewrapped wird, dachte ich mir, eine neue zeile in der /etc/hosts.deny a la

printer : ALL EXCEPT LOCAL
(wenn man nach /etc/services geht)

oder
lpd : ALL EXCEPT LOCAL

wuerde allen ausser local den zugriff auf meinen lpd verweigern.
pustekuchen, son portscan sagt port ist offen,
was mache ich falsch? muss ich nach eintraegen in in der /etc/hosts.deny nen dienst neu starten ?
ich hatte mir das halt so wie bei
http-rman : ALL EXCEPT LOCAL
vorgestellt.
kann ich denn einen dienst wie lpd in die inetd.conf eintragen?

danke fuer die hilfe joerg

[gewitter]

von wo hast du den port denn gescannt?

[imagine]

hi,
von der seite
http://www.lfd.niedersachsen.de/service ... lbstt.html
also nicht vom eigenen system <img src="http://www.pl-forum.de/UltraBoard/Images/TooHappy.gif" border="0" align="middle">.

joerg

[Jochen]

Dein problem ist gerade, dass der Dienst <i>nicht</i> durch den inetd gestartet wird! Grund: Der inetd ruft nicht direkt den passenden Server auf, sondern erst mal den tcpd (tcp-wrapper). <i>Der</i> ist es, der die /etc/host.allow und /etc/host.deny auswertet und danach den Zugriff auf den eigentlichen Dienst sperrt oder freigibt. Schau einfach mal, welches Programm tatsächlich an den entsprechenden Ports lauscht (netstat -lpn | grep 515) und schaue in der Doku dazu nach, wie man es veranlasst, sich lediglich an die localhost-Adresse statt an alle verfügbaren Interfaces zu binden.

Jochen

[imagine]

ok
ist ein guter tip werde ich ausprobieren, allerdings kommt es mir schon etwas komisch for:
denn ich kann zum beispiel ssh abstellen , was ich zum testen mal gemacht habe:
sshd : ALL EXCEPT LOCAL
und sofort kann ich mich nicht per ssh von aussen einwaehlen, allerdings wird ssh nicht ueber inetd gewrapped.

wird also der tcpd auch bei anderen diensten als denen im inetd konfigurierten gestartet?
(ich benutze suse 7.2)

wo kann ich denn hierueber mehr infos finden, unter
man 3 hosts_access
man 5 hosts_access
man 5 hosts_options
man 8 tcpd
finde ich irgendwie nichts gescheites

danke joerg

[Rossi]

Sowas findest Du, wenn überhaupt, in den Dokus der Applikation. Ob diese hosts.allow oder hosts.deny unterstützen, ist halt verschieden. ssh macht das, einige andere, "selbständige" Dienste auch, andere wiederum nicht. Ist also von Dienst abhängig, ob er diese Dateien auswertet. Inetd macht das Grundsätzlich, soweit ich weiß.

[imagine]

hi
kann ich nicht auch ueber einen iptables befehl alle anfragen von aussen an port 515 ablehen?
das waere doch noch eine moeglichkeit, oder nicht.

[trinity]

@joerg
zuerst einmal, möchte ich dir sagen, dass nur weil http://www.lfd.niedersachsen.de/service ... lbstt.html dir Anzeigt, dass der Port "offen" ist, das nicht auch heisst das jeder diesen Dienst auch nutzen kann. Natürlich MUSS dir der Portscann anzeigen, dass da ein Dienst läuft (tut er ja auch). Aber nutzen kann man ihn deswegn noch lange nicht.

Ja, du kannst auch den Dienst zusätzlich noch mit iptables abfackeln.
Gruß
Lutz

[joerg]

Vielen Dank, schade nur, dass die dokus da nicht so toll sind.

<img src="http://www.pl-forum.de/UltraBoard/Images/TooHappy.gif" border="0" align="middle">
joerg