Workshop: Sichere Linux-Workstation

Dienstzugriff einschränken

Den Zugriff auf die in /etc/inetd.conf aufgeführten Dienste können Sie über die beiden hosts_access-Dateien /etc/hosts.allow und /etc/hosts.deny auf Basis von IP-Adressen steuern. In beiden Dateien gehorchen die Einträge der Syntax:

Liste von Daemons : Liste von Clients : optionales Shell-Kommando

Als Trennzeichen innerhalb der Listen dienen Kommas oder Blanks. Der Zugriff auf einen Dienst gilt als verboten, wenn sich ein passendes Daemon:Client-Päckchen in /etc/hosts.deny findet. Umgekehrt wird er erlaubt, falls hosts.allow eine entsprechende Regel aufweist.

Sowohl die Daemon- als auch die Clientliste erlauben die Angabe von Wildcards. ALL lässt alle Dienste und Clients zu. LOCAL steht für Clients, deren Rechnername keinen Punkt enthält. UNKNOWN betrifft alle Clients, deren IP-Adresse oder Hostname sich nicht eruieren lässt; KNOWN bedeutet genau das Gegenteil. PARANOID betrifft alle Clients mit nicht übereinstimmenden Adressen und Namen. Zudem kann der Operator EXCEPT eingesetzt werden: ALL EXCEPT 192.80.0.77, 192.80.0.207 beträfe etwa alle Clients bis auf die beiden angegebenen.

In der Clientliste dürfen sowohl IP-Adressen als auch Rechnernamen auftauchen. Einträge, die mit einem Punkt beginnen, werden als Endstück eines FQDN betrachtet. So beträfe .tecchannel.de alle Rechner der Domain tecchannel.de. Auch IP-Adressen lassen sich sinngemäß generalisieren: 192.168.80. gilt für alle Rechner des entsprechenden Subnetzes. Daneben ist auch die Angabe per Netzmaske zulässig. 192.168.80. ließe sich also auch als 192.168.80.0/255.255.255.0 schreiben.