Dirk Sohler schriebfs4000 schriebEin exaktes Äquivalent gibt es nicht.
Was für ein Scheiß!
Definitiv nein! Dieser Schritt war IMHO schon lange überfällig. Da tcp_wrappers zum einen eine trügerische Systemsicherheit verbreiteten und ebenso ein Quell von (Foren-)Probleme war/ist.
Trügerisch: da es eben kein systemweit gültiges Konzept ist, etliche Netzwerkdienste waren überhaupt nicht (Upstream) gegen lbwrap linkbar/gelinkt. Das wrapper-Konzept war früher (als z.B. auch die meisten Netzwerkdienste noch über inetd gestartet wurden) in Ordnung, wenn ich aber immer erst per ldd schauen muß ob mein Dienst überhaupt durch hosts.allow|deny geregelt wird, dann ist das Zusatzarbeit mit fraglichem Nutzen. Und trügerich ,da ich schon /e/hosts.deny gesehen habe mit Diensten die eben darüber überhaupt nicht geregelt werden.
Und Probleme: Eben das alte Lied - wenn ich einen Netzwerkdienst starte will/soll auf diesen ja auch jemand zugreifen. Das ich dafür (neben der Konfig des Dienstes selbst eben über *seine* Konfig) noch zusätzlich IP-Bereiche in der hosts.allow erlauben muß, das macht es IMHO fehlerträchtig und trägt mehr zur Verwirrung als zur Lösung/Sicherheit bei. Wie viele Beiträge hatten wir schon, wo eben etwas nicht funktionierte nur weil allow/deny nicht (richtig) konfiguriert war...
Die tcp_wrappers waren meiner Meinung die letzten paar Jahre genauso "nützlich" wie sog. PersonalFirewalls. Wenn ich einen Netzdienst anbiete dann erwarte ich ja eben daß Sockets (IP:Port) genutzt werden. Das (nochmal, neben der Konfig des Dienstes selbst) dann an 3.Stelle erlauben zu müssen, macht keinen Sinn. Die hosts.deny ist dann genauso "Blödsinn", wo kein Socket (der auch Pakete verarbeitet), da muß ich auch nichts verbieten.
Die meisten Dienste bieten viel effektivere Mittel um Zugriff auf bestimmte Netzdevices, Subnetbereiche oder User zu regeln als es tcp_wrapper je konnte. Und es ist doch irgendwie unsinnig, z.B. einen sshd (wg. Defaultkonfig) auf allen Devices/IPs lauschen zu haben und dann dieses - wahrscheinlic nicht gewollte Verhalten - "holzhammermäßig" über den Wrapper zu "regeln"...
Die wenigen Dienste, die sich eben nicht zufriedenstellend an Devices/Ranges binden lassen, dafür gibt/gab es dann schon immer iptables - was als Kernelmodul für alles was mit tcp/udp/usw. über den Stack drüebrläuft auch *wirklich* greift. Und nicht eben: manchmal ja, manchmal nein....