Suporte TCP Wrapper - Serviços stand-alone no Debian 6

Serviços stand-alone são aqueles que "escutam" as conexões TCP/IP diretamente da interface de rede, como por exemplo, Portmap ou SSH. Estes serviços devem ser protegidos de vários modos pelo administrador, tais como: configurações restritivas, regras de firewall e regras de ACL da biblioteca libwrap, conhecida como TCP Wrapper.

[ Hits: 24.196 ]

Por: Perfil removido em 11/09/2012


Extensão - Controle



Extensão das regras

Uma nova extensão do formato das regras, utiliza a seguinte sintaxe:

daemon_list : client_list [ : shell_command ] [: option] [: option] ...


Os três primeiros campos são idênticos aos descritos anteriormente, observando que o caractere de dois-pontos (:) é o delimitador padrão.

Se houver necessidade de incluir dois-pontos em algum trecho dos comandos do shell, ou das opções, estes caracteres devem ser precedidos por uma barra invertida (\:) para escapar da interpretação padrão como separador.

Options são processadas na ordem de aparência. Options, são pares do tipo chave=valor e as máscaras no formato %<letra>, podem ser aplicadas.

Ajustando o nível de log da regra

Normalmente, os logs de tcpd (TCP Wrapper) são gravados por Syslog em /var/log/syslog.

Para ajustar o nível de log de acordo com uma regra específica, uma [:option] pode ser incluída para essa regra:

daemon_list : client_list : severity warning : deny


# cat syslog |fgrep tcp

Saída:
Sep 6 19:07:26 HAL tcpd[6565]: warning: can't get client address: Socket operation on non-socket
Sep 6 19:07:26 HAL tcpd[6565]: getpeername: Socket operation on non-socket


Para esta funcionalidade ser ativada, é preciso ajustar o funcionamento de Syslogd para aceitar o registro desse nível de severidade!

Verifique seu "syslog.conf" antes de iniciar o uso dessas opções.

Controle do nível de acesso: Um hosts.allow centralizado

As palavras chave ALLOW e DENY, PODEM aparecer no fim da regra. Permitindo trabalhar com um único arquivo de regras (/etc/hosts.allow) em vez de dois arquivos, centralizando as regras em um único ponto.

Lembrando que as regras são CASE INSENSITIVE, mas Wildcards PODEM ser escritos em maiúsculas para aumentar a legibilidade do código.

# Conteúdo de /etc/hosts.allow

# regra libera portmap para acesso localhost.
portmap:127.0.0.1:allow

# regra libera acesso ssh para o hosts 101 e grava log deste acesso
sshd:192.168.100.101:spawn /bin/echo "`/bin/date`\:[SSH] Autorizado Acesso \ para \:%a" >> /var/log/tcpd.log:allow

# Bloqueia todos os demais serviços e clientes.
ALL: ALL: deny

$  #Isso é uma linha em branco não inclua nem comentários como esse !!! :)


Referências


Manuais: MAN do Debian 6.0.5

  • Hosts.allow
  • Hosts.deny
  • tcpd
  • hosts_options
  • hosts_access

Kyetoy

Página anterior    

Páginas do artigo
   1. Introdução
   2. TCP Wrapper
   3. Regras - Padrões - Execução
   4. Extensão - Controle
Outros artigos deste autor

Windows é mais fácil que Linux!? Tá louco!? Você sabe ler!?

Instalando o Slackware sem sofrimento (parte 1)

Removendo dependências desnecessárias no Debian

Criando uma aplicação que mostra os processos em execução

Anthares, um sistema voltado para o usuário final

Leitura recomendada

EcryptFS - Usando, Desvendando suas Chaves e Recuperando seus Arquivos

A Arte de HACKEAR Pessoas

Acessando o Linux via SSH através do Android

Incron - supervisionando sistemas de arquivos

SELinux - Security Enhanced Linux

  
Comentários

Nenhum comentário foi encontrado.


Contribuir com comentário