SuSE Linux: Alle Versionen
/etc/inetd.conf.
Dazu kopieren Sie, falls Sie das noch nicht haben, /etc/inetd.conf.secure
nach /etc/inetd.conf.
Falls Ihr System kein /etc/inetd.conf.secure besitzt, so
ist /etc/inetd.conf schon die sichere Variante.
Sicher heißt hier, das alle Dämonen nicht direkt gestartet werden, sondern
durch /usr/sbin/tcpd, den Wrapper-Dämon.
Dieser benutzt /etc/hosts.allow und /etc/hosts.deny,
um festzustellen, welcher fremde Host welchen Service ansprechen darf.
Lesen Sie dazu in der Manual-Seite hosts_access
(Aufruf: `man 5 hosts_access'), wie Sie
/etc/hosts.allow und /etc/hosts.deny
konfigurieren müssen, um die sicheren Variante von
/etc/inetd.conf richtig zu konfigurieren.
Nun zum eigentlichen tftp. Sie müssen folgende Änderung in
/etc/inetd.conf vornehmen, die Zeile:
# tftp dgram udp wait nobody /usr/sbin/tcpd in.tftpin die zum Beispiel folgende geändert werden:
tftp dgram udp wait nobody /usr/sbin/tcpd /usr/sbin/in.tftpd /tftpbootDas hier angegebene Verzeichnis
/tftpboot ist das einzige
Verzeichnis, aus dem Daten via tftp entnommen werden dürfen.
Da der tcpd den /usr/sbin/in.tftpd als Benutzer nobody startet
(ein absolutes Muß, da bei tftp kein
Passwort nötig ist), sind noch die Rechte von /usr/sbin/in.tftpd
zu ändern. Mit dem Befehl:
chmod 755 /usr/sbin/in.tftpdwerden sie korrekt gesetzt. Zur Benutzung von
tftp gelten folgende Regeln:
Der Dämon /usr/sbin/in.tftpdakzeptiert bei einem
tftp-Request nur Fileangaben, die:
/tftpboot enthalten (oder einen andern, der in
/etc/inetd.conf als Argument angeben wird)
/../ enhalten (Abwehr von Tricksern)
DNS auflösbar sein oder zumindest
in /etc/hosts stehen.
/../ erfolgen.
Mehr zum Dämonen in.tftp findet sich in der Manual-Seite