usr/src/man/man1m/tcpd.1m

   1 '\" t
   2 .\"
   3 .\" Modified for Solaris to to add the Solaris stability classification,
   4 .\" and to add a note about source availability.
   5 .\"
   6 .TH TCPD 1M "Sep 15, 2011"
   7 .SH NAME
   8 tcpd \- access control facility for internet services
   9 .SH DESCRIPTION
  10 .PP
  11 The \fItcpd\fR program can be set up to monitor incoming requests for
  12 \fItelnet\fR, \fIfinger\fR, \fIftp\fR, \fIexec\fR, \fIrsh\fR,
  13 \fIrlogin\fR, \fItftp\fR, \fItalk\fR, \fIcomsat\fR and other services
  14 that have a one-to-one mapping onto executable files.
  15 .PP
  16 The program supports both 4.3BSD-style sockets and System V.4-style
  17 TLI.  Functionality may be limited when the protocol underneath TLI is
  18 not an internet protocol.
  19 .PP
  20 Operation is as follows: whenever a request for service arrives, the
  21 \fIinetd\fP daemon is tricked into running the \fItcpd\fP program
  22 instead of the desired server. \fItcpd\fP logs the request and does
  23 some additional checks. When all is well, \fItcpd\fP runs the
  24 appropriate server program and goes away.
  25 .PP
  26 Optional features are: pattern-based access control, client username
  27 lookups with the RFC 931 etc. protocol, protection against hosts that
  28 pretend to have someone elses host name, and protection against hosts
  29 that pretend to have someone elses network address.
  30 .SH LIBWRAP INTERFACE
  31 The same monitoring and access control functionality provided by the
  32 tcpd standalone program is also available through the libwrap shared
  33 library interface. Some programs, including the Solaris inetd daemon,
  34 have been modified  to use the libwrap interface and thus do not
  35 require replacing the real server programs with tcpd. The libwrap
  36 interface is also more efficient and can be used for inetd internal
  37 services. See
  38 .BR inetd (1M)
  39 for more information.
  40 .SH LOGGING
  41 Connections that are monitored by
  42 .I tcpd
  43 are reported through the \fIsyslog\fR(3) facility. Each record contains
  44 a time stamp, the client host name and the name of the requested
  45 service.  The information can be useful to detect unwanted activities,
  46 especially when logfile information from several hosts is merged.
  47 .PP
  48 In order to find out where your logs are going, examine the syslog
  49 configuration file, usually /etc/syslog.conf.
  50 .SH ACCESS CONTROL
  51 Optionally,
  52 .I tcpd
  53 supports a simple form of access control that is based on pattern
  54 matching.  The access-control software provides hooks for the execution
  55 of shell commands when a pattern fires.  For details, see the
  56 \fIhosts_access\fR(4) manual page.
  57 .SH HOST NAME VERIFICATION
  58 The authentication scheme of some protocols (\fIrlogin, rsh\fR) relies
  59 on host names. Some implementations believe the host name that they get
  60 from any random name server; other implementations are more careful but
  61 use a flawed algorithm.
  62 .PP
  63 .I tcpd
  64 verifies the client host name that is returned by the address->name DNS
  65 server by looking at the host name and address that are returned by the
  66 name->address DNS server.  If any discrepancy is detected,
  67 .I tcpd
  68 concludes that it is dealing with a host that pretends to have someone
  69 elses host name.
  70 .PP
  71 If the sources are compiled with -DPARANOID,
  72 .I tcpd
  73 will drop the connection in case of a host name/address mismatch.
  74 Otherwise, the hostname can be matched with the \fIPARANOID\fR wildcard,
  75 after which suitable action can be taken.
  76 .SH HOST ADDRESS SPOOFING
  77 Optionally,
  78 .I tcpd
  79 disables source-routing socket options on every connection that it
  80 deals with. This will take care of most attacks from hosts that pretend
  81 to have an address that belongs to someone elses network. UDP services
  82 do not benefit from this protection. This feature must be turned on
  83 at compile time.
  84 .SH RFC 931
  85 When RFC 931 etc. lookups are enabled (compile-time option) \fItcpd\fR
  86 will attempt to establish the name of the client user. This will
  87 succeed only if the client host runs an RFC 931-compliant daemon.
  88 Client user name lookups will not work for datagram-oriented
  89 connections, and may cause noticeable delays in the case of connections
  90 from PCs.
  91 .PP
  92 Warning: If the local system runs an RFC 931 server it is important
  93 that it be configured NOT to use TCP Wrappers, or that TCP Wrappers
  94 be configured to avoid RFC 931-based access control for this service.
  95 If you use usernames in the access control files, make sure that you
  96 have a hosts.allow entry that allows the RFC 931 service (often called
  97 "identd" or "auth") without any username restrictions. Failure to heed
  98 this warning can result in two hosts getting in an endless loop of
  99 consulting each other's identd services.
 100 .SH EXAMPLES
 101 .\" Begin Sun update
 102 .SH ATTRIBUTES
 103 See
 104 .BR attributes (5)
 105 for descriptions of the following attributes:
 106 .sp
 107 .TS
 108 box;
 109 c | c
 110 l | l .
 111 ATTRIBUTE TYPE  ATTRIBUTE VALUE
 112 =
 113 Interface Stability     Committed
 114 .TE
 115 .\" End Sun update