Accéder au contenu France-Français
Accueil HP.com France Produits et Services Support et Pilotes Espaces Comment Acheter
» Contacter HP
Plus d'options
Accueil HP.com France
 Guide de l'administrateur système HP-UX : Gestion de la sécurité : HP-UX 11i version 3 > Chapitre 5 Administration de la sécurité de l'accès à distance

Le démon inetd
» 

Documentation technique

Manuel complet en PDF
» Commentaires
Début du contenu

 » Table des matières

 » Glossaire

 » Index

spacerspacerspacer
spacer
spacer
  		 
 

Le démon Internet, /usr/sbin/inetd, est le serveur maître pour de nombreux services Internet.

Le démon inetd est généralement démarré automatiquement par le script /sbin/init.d/inetd dans le cadre du processus d'amorçage.

Le démon inetd assure le contrôle des demandes de connexion pour les services répertoriés dans le fichier de configuration /etc/inetd.conf et il démarre le serveur approprié lorsqu'il reçoit une demande. Autrement dit, les utilisateurs se connectent aux systèmes distants par le biais d'un service Internet, tel que telnet. Le démon inetd détermine si une connexion telnet à partir de l'hôte est autorisée avant d'établir la connexion. Les informations d'hôte relatives à l'autorisation ou au refus de l'accès se trouvent dans le fichier /var/adm/inetd.sec.

Le principe de fonctionnement du démon inetd est le suivant :

  1. Il démarre au niveau d'exécution 2 durant l'amorçage du système. (Si le commande suivante se trouve dans le script de démarrage du système : /sbin/init.d/inetd start)

  2. Il vérifie /etc/inetd.conf afin de déterminer les services à fournir. Pour plus d'informations, voir ftp(1) et inetd.conf(4).

  3. Il vérifie /etc/services afin de déterminer les ports à contrôler pour les services répertoriés dans /etc/inetd.conf. Le fichier /etc/services mappe les noms de services aux numéros de ports. Pour plus d'informations, voir services(4).

  4. Il reçoit une demande de connexion de service Internet de la part d'un client. Par exemple, quelqu'un exécute telnet.

  5. Il consulte /var/adm/inetd.sec afin de déterminer si le client est autorisé à accéder au service. Pour plus d'informations, voir inetd.sec(4).

  6. Il enregistre la demande dans /var/adm/syslog/syslog.log, si la journalisation est activée. Pour plus d'informations, voir syslogd(1M).

  7. Si inetd refuse la connexion pour des raisons de sécurité, la connexion est rompue.

  8. Si la demande de connexion est valide, inetd démarre un processus serveur afin de la gérer. Le processus serveur peut avoir d'autres fonctionnalités de sécurité en plus de inetd.

Sécurisation d'inetd

Le fichier /etc/inetd.conf est le fichier de configuration inetd, qui répertorie les services que le démon inetd peut démarrer. Chaque service répertorié dans /etc/inetd.conf doit également figurer dans le fichier /etc/services. Le fichier /etc/services mappe les noms de services aux numéros de ports. Chaque numéro de port est associé à un nom de protocole, tel que tcp ou udp. Chaque entrée pour un protocole doit avoir une entrée correspondante dans le fichier /etc/protocols.

Les suggestions suivantes permettent d'améliorer la sécurité d'inetd :

  • Activez la journalisation inetd dans /etc/rc.config.d/netdaemons. Pour plus d'informations, voir rc.config.d(4).

  • Vérifiez si des modifications ont été apportées à /etc/inetd.conf et /etc/services. Un utilisateur non autorisé pourrait avoir obtenu un accès root et modifié les fichiers /etc/services et /etc/inetd.conf. Dans /etc/inetd.conf, recherchez les noms de services que vous n'utilisez pas. Dans /etc/services, recherchez les numéros de ports qui ne sont pas inscrits auprès de l'Internet Assigned Numbers Authority (IANA) sur le site Web à l'adresse http://www.iana.org. Vérifiez que les numéros de ports répertoriés pour les services Internet correspondent à ceux inscrits auprès de l'IANA.

  • Insérez des marques de commentaires pour les services inutiles, tels que finger, dans /etc/inetd.conf. La commande finger affiche des informations utilisateur sans nécessiter de mot de passe.

  • Insérez des marques de commentaires pour les services RPC (Remote Procedure Calls) dans /etc/inetd.conf.

  • Insérez des marques de commentaires pour les services "internes courants" inetd dans /etc/inetd.conf afin d'éviter les attaques de type "refus de service". Un utilisateur malveillant pourrait surcharger inetd avec des demandes chargen (générateur de caractères). Pour plus d'informations, voir inetd(1M) et inetd.conf(4).

Refus ou autorisation de l'accès à l'aide de /var/adm/inetd.sec

En plus du fichier /etc/inetd.conf, vous pouvez configurer un fichier de sécurité optionnel nommé /var/adm/inetd.sec afin de restreindre l'accès aux services démarrés par inetd. Le fichier /var/adm/inetd.sec répertorie les hôtes pour lesquels l'accès à chaque service est autorisé ou refusé. Pour plus d'informations, voir inetd.conf(4).

Par exemple :

login allow 10.3-5 192.34.56.5 ahost anetwork

login deny 192.54.24.5 cory.example.edu.testlan



Présentation des services Internet et des services d'accès distant
  		 


Protection contre l'emprunt d'identité avec des wrappers TCP  
Version imprimable
Respect de la vie privée L'utilisation de ce site implique que vous en acceptez les conditions
© 2008 Hewlett-Packard Development Company, L.P.