.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.\" This file is distributed under the same license as original manpage
.\" Copyright of the original manpage:
.\" Copyright © 1990-1995 Wietse Venema
.\" Copyright © of Polish translation:
.\" Przemek Borys (PTM) <pborys@dione.ids.pl>, 1999.
.\" Robert Luberda <robert@debian.org>, 2013.
.TH TCPD 8   
.SH NAZWA
tcpd \- usługa kontroli dostępu do usług internetowych
.SH OPIS
.PP
Program \fItcpd\fP może zostać skonfigurowany do monitorowania nadchodzących
żądań usług \fItelnet\fP, \fIfinger\fP, \fIftp\fP, \fIexec\fP, \fIrsh\fP, \fIrlogin\fP,
\fItftp\fP, \fItalk\fP, \fIcomsat\fP i innych, które mają mapowanie jeden do jednego
na pliki wykonywalne.
.PP
Program wspiera zarówno gniazda typu 4.3BSD, jak i TLI z System
V.4. Funkcjonalność może być ograniczona, gdy protokół pod TLI nie jest
protokołem internetowym (internet protocol).
.PP
Możliwe są dwa następujące sposoby działania: uruchomienie programu \fItcpd\fP
przed usługą uruchamianą przez \fIinetd\fP albo skonsolidowanie usługi z
biblioteką współdzieloną \fIlibwrap\fP, tak jak to udokumentowano na stronie
podręcznika \fIhost_access\fP(3). Gdy usługa jest uruchamiane przez \fIinetd\fP,
to działanie jest następujące: kiedy tylko pojawi się żądanie usługi, demon
\fIinetd\fP uruchamia program \fItcpd\fP zamiast oczekiwanego serwera. \fItcpd\fP
loguje żądanie i wykonuje pewne dodatkowe sprawdzenia. Gdy wszystko jest w
porządku, \fItcpd\fP uruchamia odpowiedni serwer i wyłącza się.
.PP
Dodatkowe opcje to: kontrola dostępu oparta na wzorcach, podglądanie nazw
użytkownika wg RFC\ 931 itp., ochrona przeciw komputerom, które udają, że
mają inną nazwę domenową niż w rzeczywistości, a także ochrona przeciw
komputerom podszywającym się pod czyjś inny adres sieciowy.
.SH LOGOWANIE
Połączenia monitorowane przez \fItcpd\fP są raportowane przez \fIsyslog\fP(3).
Każdy rekord zawiera znak czasu, nazwę hosta klienta, a także żądaną
usługę. Te wiadomości mogą być przydatne do wykrywania niechcianych działań,
szczególnie gdy połączone są dane z logów wielu hostów.
.PP
Aby dowiedzieć się, gdzie są zapisywane logi, należy przejrzeć konfigurację
demona syslog, zwykle w pliku /etc/syslog.conf.
.SH "KONTROLA DOSTĘPU"
Opcjonalnie, \fItcpd\fP wspiera prosty mechanizm kontroli dostępu, opartej na
porównywaniu wzorców.  Umożliwia to akcję podczas wywoływania komend
powłoki, kiedy wzorzec będzie odpowiadał. Szczegóły opisano na stronie
podręcznika \fIhosts_access\fP(5).
.SH "WERYFIKACJA NAZWY HOSTA"
Schemat autentykacji niektórych protokołów (\fIrlogin, rsh\fP) bazuje na
nazwach komputerów. Niektóre implementacje wierzą nazwie komputera, którą
otrzymują od losowego serwera nazw; inne implementacje są bardziej ostrożne,
lecz używają wadliwych algorytmów.
.PP
\fItcpd\fP weryfikuje nazwę komputera klienta, która jest zwracana przez
zapytanie serwera DNS adres\->nazwa, sprawdzając nazwę komputera i adres
zwróconego przez zapytanie serwera DNS nazwa\->adres. Jeśli pojawi się
niezgodność, \fItcpd\fP wnioskuje, że ma do czynienia z komputerem
podszywającym się pod inny komputer.
.PP
Jeśli źródła są skompilowane z \-DPARANOID, \fItcpd\fP porzuci połączenie w
wypadku niezgodności nazwy/adresu. W przeciwnym wypadku, nazwa komputera
może być porównana z "dziką kartą" \fIPARANOID\fP, po czym może zostać podjęte
odpowiednie działanie.
.SH "HOST ADDRESS SPOOFING"
Opcjonalnie \fItcpd\fP wyłącza opcje rutowania źródeł (source\-routing) gniazd
na każdym połączeniu, z którym ma do czynienia. Załatwia to problem
większości ataków od hostów, które udają adres, nienależący do ich
sieci. Usługi UDP nie odnoszą z tego zabezpieczenia żadnej korzyści. Opcja
ta musi być włączona podczas kompilacji.
.SH "RFC 931"
Gdy wyszukiwania RFC\ 931 itp. są włączone (opcja kompilacji), \fItcpd\fP
spróbuje uzyskać nazwę użytkownika klienta. Powiedzie się to tylko, jeśli na
komputerze klienta pracuje demon kompatybilny z RFC\ 931. Nie działa to na
połączeniach zorientowanych datagramowo i może spowodować zauważalne
spowolnienia w wypadku połączeń z PC.
.SH PRZYKŁADY
Detale używania \fItcpd\fP zależą od informacji o ścieżce, która została
wkompilowana w program.
.SH "PRZYKŁAD 1"
Ten przykład odnosi się do przypadku, gdy \fItcpd\fP oczekuje, że oryginalne
demony sieciowe zostaną przeniesione w "inne" miejsce.
.PP
Aby monitorować dostęp do usługi \fIfinger\fP, przenieś oryginalnego demona
finger w "inne" miejsce, a zamiast niego zainstaluj tcpd. Nie rób żadnych
zmian w plikach konfiguracyjnych.
.nf
.sp
.in +5
# mkdir /inne/miejsce
# mv /usr/sbin/in.fingerd /inne/miejsce
# cp tcpd /usr/sbin/in.fingerd
.fi
.PP
Przykład zakłada, że demony sieciowe są w /usr/sbin. Na niektórych
systemach, demony sieciowe znajdują się w /usr/sbin lub /usr/libexec, czasem
nie mają przedrostka "in." w nazwie.
.SH "PRZYKŁAD 2"
Ten przykład odnosi się do przypadku, gdy \fItcpd\fP oczekuje, że demony
sieciowe są w swoim oryginalnym miejscu.
.PP
Aby monitorować dostęp do usługi \fIfinger\fP, należy dokonać następujących
edycji w pliku konfiguracyjnym \fIinetd\fP (zwykle \fI/etc/inetd.conf\fP):
.nf
.sp
.ti +5
finger  stream  tcp  nowait  nobody  /usr/sbin/in.fingerd  in.fingerd
.sp
stanie się:
.sp
.ti +5
finger  stream  tcp  nowait  nobody  /usr/sbin/tcpd     in.fingerd
.sp
.fi
.PP
Przykład zakłada, że demony sieciowe są w /usr/sbin. Na niektórych
systemach, demony sieciowe znajdują się w /usr/sbin lub /usr/libexec, czasem
nie mają przedrostka "in." w nazwie albo plik konfiguracyjny inetd nie
zawiera pola z identyfikatorem użytkownika.
.PP
Podobne zmiany będą wymagane dla innych usług, które mają być objęte
\fItcpd\fP. Po ich dokonaniu należy wysłać programowi \fIinetd\fP(8) "kill \-HUP",
aby zaczęły działać.
.SH "PRZYKŁAD 3"
W wypadku demonów, które nie istnieją w ogólnym katalogu ("tajnych", czy
innych), należy zmienić plik konfiguracyjny \fIinetd\fP tak, aby wskazywał
absolutną ścieżkę dla pola nazwy procesu. Na przykład:
.nf
.sp
    ntalk  dgram  udp  wait  root  /usr/sbin/tcpd  /usr/local/lib/ntalkd
.sp
.fi
.PP
Tylko ostatni komponent (ntalkd) ścieżki zostanie użyty do kontroli dostępu
i do logowania.
.SH BŁĘDY
Niektóre demony UDP (i RPC) zwlekają chwilę po tym, jak zakończą pracę, aby
móc ewentualnie obsłużyć następne żądanie. W pliku konfiguracyjnym inetd,
usługi te są zarejestrowane z flagą \fIwait\fP. Tylko żądanie, które uruchomiło
taki daemon, zostanie zalogowane.
.PP
Program nie działa z usługami RPC poprzez TCP. Usługi te są zarejestrowane w
pliku inetd jako \fIrpc/tcp\fP. Jedyną nietrywialną usługą, która jest
dotknięta tym ograniczeniem, jest \fIrexd\fP, używany przez komendę
\fIon\fP(1). Nie jest to wielka strata. Na większości systemów \fIrexd\fP jest
mniej bezpieczny niż użycie gwiazdki w /etc/hosts.equiv.
.PP
Żądania typu broadcast RPC (np: \fIrwall, rup, rusers\fP)  zawsze pojawią się
jako pochodzące od komputera odpowiadającego na te żądania. Dzieje się tak
dlatego, że jeśli klient rozgłasza żądanie do wszystkich demonów \fIportmap\fP
w jego sieci, to każdy daemon \fIportmap\fP przekazuje żądanie lokalnemu
demonowi. Z kolei demony typu \fIrwall\fP itp. widzą, że żądanie pochodzi od
komputera lokalnego.
.SH PLIKI
.PP
Domyślne lokacje tabel kontroli dostępu do hosta to:
.PP
/etc/hosts.allow
.br
/etc/hosts.deny
.SH "ZOBACZ TAKŻE"
.na
.nf
hosts_access(3), funkcje biblioteki libwrap.
hosts_access(5), format tabel kontroli dostępu tcpd.
syslog.conf(5), format pliku kontrolnego syslogd.
inetd.conf(5), format pliku konfiguracyjnego inetd.
.SH AUTORZY
.na
.nf
Wietse Venema (wietse@wzv.win.tue.nl),
Department of Mathematics and Computing Science,
Eindhoven University of Technology
Den Dolech 2, P.O. Box 513,
5600 MB Eindhoven, The Netherlands

.\" @(#) tcpd.8 1.5 96/02/21 16:39:16
.SH TŁUMACZENIE
Autorami polskiego tłumaczenia niniejszej strony podręcznika man są:
Przemek Borys (PTM) <pborys@dione.ids.pl>
i
Robert Luberda <robert@debian.org>.
.PP
Polskie tłumaczenie jest częścią projektu manpages-pl; uwagi, pomoc, zgłaszanie błędów na stronie http://sourceforge.net/projects/manpages-pl/. Jest zgodne z wersją \fB 7.6.q \fPoryginału.