[Tech] Maledetta Debian (non mi funziona pi? telnet)

Marco Ermini markoer@markoer.org
Mar 14 Nov 2000 16:44:21 CET 

Gianni Bianchini wrote:
> 
> On Tue, Nov 14, 2000 at 01:34:01PM +0100, Marco Ermini wrote:
> 
> > Non so se sono "sfatti" o meno alla Debian, comunque la cosa migliore e'
> > lasciar perdere inetd.conf e usare un server telnet standalone (lanciato
> > con l'utente telnetd se si vuole seguire questo standard...). RedHat il
> > telnet ce l'ha cosi', presumo quindi che esista il telnet server GNU da
> > poter installare. Cosi' fermi e fai ripartire il servizio a seconda dei
> > gusti (es. se sei on line o meno).
> 
> Credo ci siano pro e contro nell'uno e nell'altro approccio.

Certo ovviamente

> Francamente quello del poter riavviare il demone a piacere non mi
> sembra un argomento decisivo. 

Se si parla di comodita' di amministrazione puo' essere un argomento,
certo non e' decisivo

> Un demone avviato da inetd e'
> probabilmente piu' lento a rispondere (devi caricare un nuovo
> programma e probabilmente reinterpretare tutti i file di
> configurazione) 

No, e' *sicuramente* *molto* piu' lento.

> pero' non contribuisce ad occupare memoria quando e'
> inattivo. Se si hanno parecchie connessioni puo' meritare tenerlo
> standalone.

Dimentichi anche tutta un'altra serie di considerazioni: devi gestire
una doppia policy di sicurezza che e' ridondante e spesso inutile. Inetd
utilizza tcp wrappers che e' inefficace (basta un banale spoofing ad
aggirarlo); i singoli servizi hanno una propria policy basata sulla
natura del servizio. Con inetd devi gestire una doppia configurazione,
oppure lasciare inetd aperto a tutti, il che lo rende praticamente
inutile da quel punto di vista - ma in ogni caso e' una complicazione in
piu'.

Inoltre, per tutto quello che non e' telnet o finger o servizi tcp
semplici (who, echo, time ecc.) inetd non e' utile, se ti serve per
esempio un servizio ftp che gestisca piu' che pochi utenti in modo
efficace userai per forza proftpd o wuftpd che possono si' essere usati
da inetd, ma che piu' efficacemente funzionano standalone.

> Per far girare "da solo" un server devi essere anche
> abbastanza sicuro che questo non sia messo (dall'utente?) in condizioni
> di andare in crash nella fase iniziale, altrimenti il servizio e' fuori
> uso fino a che non lo riattivi a mano (bind, che tuttavia e' un caso
> a parte, ad es. soffriva mi pare della possibilita' di un simile DoS).
> Inetd ti evita questo, gestendo lui la connessione
> iniziale, ma dal punto di vista della sicurezza ha lo svantaggio di
> dare ad un eventuale cracker la possibilita' di provare piu' volte
> l'exploitation di un servizio, che in molti casi non riesce alla prima
> e per l'appunto provoca spesso il crash in caso di fallimento.

Su questo sono pienamente d'accordo, questi pro e contro li condivido.

> Il server standalone, poi, deve spesso incorporare alcuni gadget
> che con inetd vengono gratis, per esempio le funzioni di controllo di
> accesso dei tcp-wrappers. Molto probabilmente ci sono altri argomenti
> molto piu' validi di questi a favore dell'una o dell'altra cosa.

Su questo ho gia' risposto, ma come sempre e' la mia opinione ;-)
gestire due volte la sicurezza porta piu' che altro a fare casino
(soprattutto dato che tcp wrappers e' praticamente poco utile)


ciao ciao ciao

-- 
Marco Ermini
http://www.markoer.org
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence.      -- Jeremy S. Anderson

Maggiori informazioni sulla lista flug-tech