Chapitre 17. Enveloppeurs TCP et xinetd
Le contrôle de l'accès aux services réseau est l'une des tâches de sécurité les plus importantes à laquelle un administrateur de serveurs doit faire face. Heureusement, sous Red Hat Enterprise Linux il existe un certain nombre d'outils conçus pour effectuer cette tâche. Par exemple, le pare-feu basé sur iptables filtre les paquets réseau indésirables au sein de la pile réseau du noyau. Pour les services réseau qui utilisent ce pare-feu, des enveloppeurs TCP ajoutent une couche de protection supplémentaire en déterminant les hôtes autorisés ou non à se connecter à des services réseau "enveloppés". Parmi ces services réseau enveloppés figure le super-serveur xinetd. Ce service est baptisé super-serveur parce qu'il contrôle les connexions à un sous-ensemble de services réseau et raffine encore plus le contrôle de l'accès.
La Figure 17-1 représente une illustration élémentaire de la manière selon laquelle ces outils fonctionnent ensemble pour protéger des services réseau.
Ce chapitre examine d'une part le rôle que jouent les enveloppeurs TCP et xinetd dans le processus de contrôle de l'accès aux services réseau et analyse d'autre part la manière selon laquelle ces outils peuvent être utilisés afin d'améliorer aussi bien la gestion de la journalisation que celle de l'utilisation du système. Pour obtenir des informations sur l'utilisation de pare-feu avec iptables, reportez-vous au Chapitre 18.
17.1. Enveloppeurs TCP
Le paquetage des enveloppeurs TCP (tcp_wrappers) est installé par défaut et fournit un moyen de contrôler l'accès aux services réseau en fonction de l'hôte. La bibliothèque /usr/lib/libwrap.a représente l'élément le plus important du paquetage. D'une manière générale, un service enveloppé avec TCP est un service qui a été compilé avec la bibliothèque libwrap.a.
Lorsqu'une tentative de connexion à un service enveloppé avec TCP est effectuée, le service cherche d'abord les fichiers d'accès des hôtes (hosts access) (/etc/hosts.allow et /etc/hosts.deny) afin de déterminer si l'hôte client est autorisé ou non à se connecter. Dans la plupart des cas, il utilise ensuite le démon syslog (syslogd) pour écrire le nom de l'hôte envoyant la requête et le nom du service demandé dans /var/log/secure ou /var/log/messages.
Si un hôte client a la permission de se connecter, les enveloppeurs TCP cèdent le contrôle de la connexion au service demandé et n'interfèrent plus entre l'hôte client et le serveur dans le processus de communication.
Outre le contrôle d'accès et la connexion, les enveloppeurs TCP peuvent activer des commandes afin d'interagir avec le client avant de de refuser ou de céder le contrôle de la connexion au service réseau demandé.
Étant donné que les enveloppeurs TCP représentent un ajout précieux à la panoplie des outils de sécurité de tout administrateur de serveurs, la plupart des services réseau sous Red Hat Enterprise Linux sont étroitement liés à la bibliothèque libwrap.a. Parmi ces applications figurent /usr/sbin/sshd, /usr/sbin/sendmail et /usr/sbin/xinetd.
 | Remarque | |
|---|---|---|
Afin de déterminer si un binaire de service réseau est lié à libwrap.a, tapez la commande suivante en étant connecté en tant que super-utilisateur (ou root) :
Remplacez <binary-name> par le nom du binaire du service réseau. Si une invite apparaît, le service réseau n'est pas lié à libwrap.a. |
17.1.1. Avantages des enveloppeurs TCP
Les enveloppeurs TCP offrent deux avantages par rapport à d'autres techniques de contrôle des services réseau :
La transparence des opérations aussi bien pour l'hôte client que pour le service réseau enveloppé — Ni le client établissant la connexion, ni le service réseau enveloppé ne remarqueront que des enveloppeurs TCP sont utilisés. Les utilisateurs légitimes sont connectés et branchés au service demandé alors que les connexions provenant de clients non-autorisés sont refusées.
Une gestion centrale de protocoles multiples — Étant donné que les enveloppeurs TCP fonctionnent indépendamment des services réseau qu'ils protègent, ils permettent à de nombreuses applications serveur de partager un jeu de fichiers de configuration commun, permettant ainsi de simplifier la gestion des services.