Suporte TCP Wrapper - Serviços stand-alone no Debian 6

Serviços stand-alone são aqueles que "escutam" as conexões TCP/IP diretamente da interface de rede, como por exemplo, Portmap ou SSH. Estes serviços devem ser protegidos de vários modos pelo administrador, tais como: configurações restritivas, regras de firewall e regras de ACL da biblioteca libwrap, conhecida como TCP Wrapper.

[ Hits: 25.334 ]

Por: Perfil removido em 11/09/2012


Extensão - Controle



Extensão das regras

Uma nova extensão do formato das regras, utiliza a seguinte sintaxe:

daemon_list : client_list [ : shell_command ] [: option] [: option] ...


Os três primeiros campos são idênticos aos descritos anteriormente, observando que o caractere de dois-pontos (:) é o delimitador padrão.

Se houver necessidade de incluir dois-pontos em algum trecho dos comandos do shell, ou das opções, estes caracteres devem ser precedidos por uma barra invertida (\:) para escapar da interpretação padrão como separador.

Options são processadas na ordem de aparência. Options, são pares do tipo chave=valor e as máscaras no formato %<letra>, podem ser aplicadas.

Ajustando o nível de log da regra

Normalmente, os logs de tcpd (TCP Wrapper) são gravados por Syslog em /var/log/syslog.

Para ajustar o nível de log de acordo com uma regra específica, uma [:option] pode ser incluída para essa regra:

daemon_list : client_list : severity warning : deny


# cat syslog |fgrep tcp

Saída:
Sep 6 19:07:26 HAL tcpd[6565]: warning: can't get client address: Socket operation on non-socket
Sep 6 19:07:26 HAL tcpd[6565]: getpeername: Socket operation on non-socket


Para esta funcionalidade ser ativada, é preciso ajustar o funcionamento de Syslogd para aceitar o registro desse nível de severidade!

Verifique seu "syslog.conf" antes de iniciar o uso dessas opções.

Controle do nível de acesso: Um hosts.allow centralizado

As palavras chave ALLOW e DENY, PODEM aparecer no fim da regra. Permitindo trabalhar com um único arquivo de regras (/etc/hosts.allow) em vez de dois arquivos, centralizando as regras em um único ponto.

Lembrando que as regras são CASE INSENSITIVE, mas Wildcards PODEM ser escritos em maiúsculas para aumentar a legibilidade do código.

# Conteúdo de /etc/hosts.allow

# regra libera portmap para acesso localhost.
portmap:127.0.0.1:allow

# regra libera acesso ssh para o hosts 101 e grava log deste acesso
sshd:192.168.100.101:spawn /bin/echo "`/bin/date`\:[SSH] Autorizado Acesso \ para \:%a" >> /var/log/tcpd.log:allow

# Bloqueia todos os demais serviços e clientes.
ALL: ALL: deny

$  #Isso é uma linha em branco não inclua nem comentários como esse !!! :)


Referências


Manuais: MAN do Debian 6.0.5

  • Hosts.allow
  • Hosts.deny
  • tcpd
  • hosts_options
  • hosts_access

Kyetoy

Página anterior    

Páginas do artigo
   1. Introdução
   2. TCP Wrapper
   3. Regras - Padrões - Execução
   4. Extensão - Controle
Outros artigos deste autor

Compiz no Debian Etch

Ingressando estações de trabalho Ubuntu no AD com Closed In Directory

Particionamento GPT - Conceitos básicos

A imbecilidade real revelada pela realidade virtual

Lucaschess: software para base de dados, jogar e treinar xadrez

Leitura recomendada

Escondendo banners de serviços

Servidor para centralização de logs - Fedora 7

Gerar par de chaves com o GnuPG em 11 passos

Snort - The Open Source Network Intrusion Detection System

Chroot + Bind sem stress

  
Comentários

Nenhum comentário foi encontrado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts