Suporte TCP Wrapper - Serviços stand-alone no Debian 6

removido

Serviços stand-alone são aqueles que "escutam" as conexões TCP/IP diretamente da interface de rede, como por exemplo, Portmap ou SSH. Estes serviços devem ser protegidos de vários modos pelo administrador, tais como: configurações restritivas, regras de firewall e regras de ACL da biblioteca libwrap, conhecida como TCP Wrapper.

[ Hits: 26.970 ]

Por: Perfil removido em 11/09/2012

2 0

Denuncie Favoritos Indicar Impressora

Extensão - Controle

Extensão das regras

Uma nova extensão do formato das regras, utiliza a seguinte sintaxe:

daemon_list : client_list [ : shell_command ] [: option] [: option] ...

Os três primeiros campos são idênticos aos descritos anteriormente, observando que o caractere de dois-pontos (:) é o delimitador padrão.

Se houver necessidade de incluir dois-pontos em algum trecho dos comandos do shell, ou das opções, estes caracteres devem ser precedidos por uma barra invertida (\:) para escapar da interpretação padrão como separador.

Options são processadas na ordem de aparência. Options, são pares do tipo chave=valor e as máscaras no formato %<letra>, podem ser aplicadas.

Ajustando o nível de log da regra

Normalmente, os logs de tcpd (TCP Wrapper) são gravados por Syslog em /var/log/syslog.

Para ajustar o nível de log de acordo com uma regra específica, uma [:option] pode ser incluída para essa regra:

daemon_list : client_list : severity warning : deny

# cat syslog |fgrep tcp

Saída:

Sep 6 19:07:26 HAL tcpd[6565]: warning: can't get client address: Socket operation on non-socket
Sep 6 19:07:26 HAL tcpd[6565]: getpeername: Socket operation on non-socket

Para esta funcionalidade ser ativada, é preciso ajustar o funcionamento de Syslogd para aceitar o registro desse nível de severidade!

Verifique seu "syslog.conf" antes de iniciar o uso dessas opções.

Controle do nível de acesso: Um hosts.allow centralizado

As palavras chave ALLOW e DENY, PODEM aparecer no fim da regra. Permitindo trabalhar com um único arquivo de regras (/etc/hosts.allow) em vez de dois arquivos, centralizando as regras em um único ponto.

Lembrando que as regras são CASE INSENSITIVE, mas Wildcards PODEM ser escritos em maiúsculas para aumentar a legibilidade do código.

# Conteúdo de /etc/hosts.allow

# regra libera portmap para acesso localhost.
portmap:127.0.0.1:allow

# regra libera acesso ssh para o hosts 101 e grava log deste acesso
sshd:192.168.100.101:spawn /bin/echo "`/bin/date`\:[SSH] Autorizado Acesso \ para \:%a" >> /var/log/tcpd.log:allow

# Bloqueia todos os demais serviços e clientes.
ALL: ALL: deny

$  #Isso é uma linha em branco não inclua nem comentários como esse !!! :)