Suporte TCP Wrapper - Serviços stand-alone no Debian 6

Serviços stand-alone são aqueles que "escutam" as conexões TCP/IP diretamente da interface de rede, como por exemplo, Portmap ou SSH. Estes serviços devem ser protegidos de vários modos pelo administrador, tais como: configurações restritivas, regras de firewall e regras de ACL da biblioteca libwrap, conhecida como TCP Wrapper.

[ Hits: 25.910 ]

Por: Perfil removido em 11/09/2012


Extensão - Controle



Extensão das regras

Uma nova extensão do formato das regras, utiliza a seguinte sintaxe:

daemon_list : client_list [ : shell_command ] [: option] [: option] ...


Os três primeiros campos são idênticos aos descritos anteriormente, observando que o caractere de dois-pontos (:) é o delimitador padrão.

Se houver necessidade de incluir dois-pontos em algum trecho dos comandos do shell, ou das opções, estes caracteres devem ser precedidos por uma barra invertida (\:) para escapar da interpretação padrão como separador.

Options são processadas na ordem de aparência. Options, são pares do tipo chave=valor e as máscaras no formato %<letra>, podem ser aplicadas.

Ajustando o nível de log da regra

Normalmente, os logs de tcpd (TCP Wrapper) são gravados por Syslog em /var/log/syslog.

Para ajustar o nível de log de acordo com uma regra específica, uma [:option] pode ser incluída para essa regra:

daemon_list : client_list : severity warning : deny


# cat syslog |fgrep tcp

Saída:
Sep 6 19:07:26 HAL tcpd[6565]: warning: can't get client address: Socket operation on non-socket
Sep 6 19:07:26 HAL tcpd[6565]: getpeername: Socket operation on non-socket


Para esta funcionalidade ser ativada, é preciso ajustar o funcionamento de Syslogd para aceitar o registro desse nível de severidade!

Verifique seu "syslog.conf" antes de iniciar o uso dessas opções.

Controle do nível de acesso: Um hosts.allow centralizado

As palavras chave ALLOW e DENY, PODEM aparecer no fim da regra. Permitindo trabalhar com um único arquivo de regras (/etc/hosts.allow) em vez de dois arquivos, centralizando as regras em um único ponto.

Lembrando que as regras são CASE INSENSITIVE, mas Wildcards PODEM ser escritos em maiúsculas para aumentar a legibilidade do código.

# Conteúdo de /etc/hosts.allow

# regra libera portmap para acesso localhost.
portmap:127.0.0.1:allow

# regra libera acesso ssh para o hosts 101 e grava log deste acesso
sshd:192.168.100.101:spawn /bin/echo "`/bin/date`\:[SSH] Autorizado Acesso \ para \:%a" >> /var/log/tcpd.log:allow

# Bloqueia todos os demais serviços e clientes.
ALL: ALL: deny

$  #Isso é uma linha em branco não inclua nem comentários como esse !!! :)


Referências


Manuais: MAN do Debian 6.0.5

  • Hosts.allow
  • Hosts.deny
  • tcpd
  • hosts_options
  • hosts_access

Kyetoy

Página anterior    

Páginas do artigo
   1. Introdução
   2. TCP Wrapper
   3. Regras - Padrões - Execução
   4. Extensão - Controle
Outros artigos deste autor

Instalação dual boot UEFI Linux Mint/Ubuntu com Windows 8.1/10

Trabalhando com permutações em ordem lexicográfica crescente

Cafe Con Leche (Gerenciador de Lan House e Cyber Café)

Instalando o Slackware sem sofrimento (parte 1)

Clonezilla - Gerando e restaurando backups completos (Parte I)

Leitura recomendada

Como forçar alteração de senha de usuário no próximo login no Linux

Sudo 1.8.12 - Parte I - Manual

Instalando a nova versão do HLBR - IPS invisível

Detectando vulnerabilidades com o Nessus

Analizando os logs do IPTables

  
Comentários

Nenhum comentário foi encontrado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts