„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Darkman wrote:
der Portmapper hat tcpwrapper Support. Du kannst also via hosts.(allow|deny)
den Zugriff regulieren.
Danke, aber diese Möglichkeit kenne ich. Das war aber nicht die Frage. Es ist nämlich unlogisch, etwas zu erlauben (=Port öffnen), nur um es danach wieder zu verbieten (=/etc/hosts.deny) :evil: Jeder offene Port in Richtung Internet ist eine Sicherheitsgefahr, egal, wie sicher er konfiguriert ist. :roll:
Sollte der portmap neben dem xntpd das zweite Linux-Programm sein, was sich nicht auf einzelne Interfaces einschränken läßt? 8O
der originale afaik nicht, nein. Aber dafuer gibts eben den tcpwrapper
Support. Aehnlich wie bei iptables ist damit keine direkte Kommunikation
zum Programm moeglich sofern die IP nicht freigegeben ist. Damit ist
der Port quasi "zu".
Die iptables/Firewall-Variante waer noch sauberer da der Port dann von
aussen komplett zu ist (tcpwrapper akzeptiert die Verbindung ja initial
trotzdem).
Das das vlt. nicht die beste Loesung ist, mag sein, aber es ist nunmal
der Weg den man gehen "soll".
Wenn Du SLES verwendest solltest Du das mit dem SRPM auch eher sein lassen, weil:
1. Kein Support mehr fuer dieses RPM
2. Keine Updates mehr fuer dieses RPM
Wenn man schon "teure" Distributionen nimmt, sollte man moeglichst nahe
am "Standard" bleiben, das macht Maintenance etc. erheblich einfacher
und dafuer zahlt man immerhin.
