SuSE GmbH

SuSE Support-Datenbank

Titel: TFTP-Boot mit Xterminals

----------

Übersicht o Stichwortsuche o History o Versionen o Kategorien o Alle Artikel
English

----------

TFTP-Boot mit Xterminals

Problem:

Ein Xterminal, das seine benötigten Dateien via tftp (Trivial File Transfer Protocol) holt, bekommt keinen Zugriff auf den Linux-Server.

Lösung:

Verwenden Sie bitte die sichere Variante von /etc/inetd.conf. Dazu kopieren Sie, falls Sie das noch nicht haben, /etc/inetd.conf.secure nach /etc/inetd.conf.

Falls Ihr System kein /etc/inetd.conf.secure besitzt, so ist /etc/inetd.conf schon die sichere Variante. Sicher heißt hier, das alle Dämonen nicht direkt gestartet werden, sondern durch /usr/sbin/tcpd, den Wraper-Dämon. Dieser benutzt /etc/hosts.allow und /etc/hosts.deny, um festzustellen, welcher fremde Host welchen Service ansprechen darf.

Lesen Sie dazu in der Manual-Seite hosts_access (Aufruf: `man 5 hosts_access'), wie Sie /etc/hosts.allow und /etc/hosts.deny konfigurieren müssen, um die sicheren Variante von /etc/inetd.conf richtig zu konfigurieren.

Nun zum eigentlichen tftp. Sie müssen folgende Änderung in /etc/inetd.conf vornehmen, die Zeile:

# tftp  dgram   udp     wait    nobody  /usr/sbin/tcpd  in.tftp
in die zum Beispiel folgende geändert werden:
tftp    dgram   udp     wait    nobody  /usr/sbin/tcpd  /usr/sbin/in.tftpd /tftpboot
Das hier angegebene Verzeichnis /tftpboot ist das einzige Verzeichnis, aus dem Daten via tftp entnommen werden dürfen. Da der tcpd den /usr/sbin/in.tftpd als Benutzer nobody startet (ein absolutes Muß, da bei tftp kein Passwort nötig ist), sind noch die Rechte von /usr/sbin/in.tftpd zu ändern. Mit dem Befehl:
chmod 755 /usr/sbin/in.tftpd
werden sie korrekt gesetzt. Zur Benutzung von tftp gelten folgende Regeln:
Der Dämon /usr/sbin/in.tftpdakzeptiert bei einem tftp-Request nur Fileangaben, die:
a)
mit einem `/' anfangen
b)
den String /tftpboot enthalten (oder einen andern, der in /etc/inetd.conf als Argument angeben wird)
c)
kein /../ enhalten (Abwehr von Tricksern)
d)
die lesbar für alle sind
e)
der Client muß via DNS auflösbar sein oder zumindest in /etc/hosts stehen.
Die tftp-File-Requests eines Xterminals müssen daher immer mit vollem Pfadnamen und ohne /../ erfolgen. Mehr zum Dämonen in.tftp findet sich in der Manual-Seite

----------

Siehe auch:

----------

Stichwörter: NETZ, XTERMINAL, TFTP, SECURITY, SICHERHEIT, TCPD

----------

Kategorien: Internet

----------

Feedback willkommen: Send Mail to feedback@suse.de (Geben Sie bitte folgendes Stichwort an: SDB-tftp_solved)

----------

Übersicht o Stichwortsuche o History o Versionen o Kategorien o Alle Artikel
English

----------

SDB-tftp_solved, Copyright SuSE GmbH, Nuremberg, Germany - Version: 17. Jul 1996
SuSE GmbH - Zuletzt generiert: 03. Oct 1999 23:21:01 by maddin with sdb_gen 1.00.0