Oidentd - jest to demon, potrzebny do prawidłowego rozpoznawania użytkownika w systemie, poprzez takie usługi jak np. IRC. Standardowy (ident) nie jest w stanie poprawnie współpracować z maskaradą. Wynikiem tego, na IRCu mogą przebywać jedynie 2-3 osoby. Jak temu zaradzić? ... polecam zainstalować oidentd 2.0.7
Instalacja i konfiguracja oidentd 2.0.7.
Zabawę z oidentd'em rozpoczynamy od zainstalowania.
Oczywiście polecam instalację z portów:
# cd /usr/ports/security/oidentd
# make build && make install && make cleanKolejną czynnością jest konfiguracjia plików /etc/oidentd.conf, oraz /etc/oidentd_masq.conf,
najpierw tworzymy te pliki:
# touch /etc/oidentd.conf
# touch /etc/oidentd_masq.conf
Przykładowy plik /etc/oidentd.conf może wyglądać tak:
default {
default {
deny spoof
deny spoof_all
deny spoof_privport
allow random_numeric
allow numeric
allow hide
}
} |
OPCJE:
"deny spoof" i "deny spoof_all" niepozwalają użytkownikowi używać wymyślonych ident'ów oraz ident'ów innych użytkowników systemu.
"deny spoof_privport" zabrania używać identowi jako nadawania portów poniżej 1024.
"numeric" dzięki numeric daemon na poprawne zapytania odpowiada odpowiada UID'em użytkownika.
"random_numeric" - analogicznie do numeric, tyle że po uidzie znaduje się liczba (0 - 100000).
"allow hide" opcja ta pozwala na odpowiedź "HIDDEN-USER" w przypadku powodzenia identyfikacji.
Przykładowy plik /etc/oidentd_masq.conf powinien zawierać wpisy komputerów, które mają być identyfikowane (w formacie: "adres-ip ident system"):
192.168.1.10 ml0dy UNIX
192.168.1.11 new UNIX
192.168.1.12 gizmo UNIX
192.168.1.13 eli0t UNIX
192.168.1.14 jurek UNIX |
Pozostaje nam tylko odpalić oidentd'a, robimy to w następujący sposób:
# cd /usr/local/etc/rc.d/
# touch oidentd.sh
# vi oidentd.sh
Przykladowy plik oidentd.sh:
#!/bin/sh
/usr/local/sbin/oidentd -m -u nobody -g nobody |
Autor: Marcin Burda
ml0dy(at)konin.ath.cx
|
Re: Oidentd
Dodane przez Argasek w dniu - 2004-08-18 03:14:35 | Nie wiem dlaczego jeszcze nikt tego do tej pory nie napisał, a sprawa jest dość nieoczywista: otóż oidentd z opcją -m będzie działał poprawnie tylko wówczas, gdy w jądro wkompilowana jest obsługa Berkeley Packet Filter i - co najważniejsze - korzystamy z tandemu ipf+ipnat. W przeciwnym razie NIE podziała (np. gdy dla SDI NATem zajmuje się ppp).
Pewnego rodzaju obejściem problemu jeśli nie stosujemy ipnat, jest dodanie opcji -r - wymuszonej odpowiedzi dla nieudanych lookupów. |
Tylko zarejestrowani użytkownicy mogą pisać komentarze.
Prosze zaloguj się i dodaj komentarz. Powered by AkoComment! |
FreeBSD 
Postfix - "Krok po kroku" v1.1
sdi.sh
uEagle 1.0p1
