tcp-wrappers

687 views
609 views

Published on

introducción al control de acceso mediante tcp wrappers en gnu linux
los ejemplos están probados en ubuntu 10.04 desktop

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
687
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

tcp-wrappers

  1. 1. CONTROL DE ACCESO TCPWRAPPERSTCPWRAPPERSLos envolventes de acceso o TCPWrappers permiten controlar y limitar el acceso a los servicios que ejecuta un ordenador en sistemasGNU/LinuxPara realizar dicho control, los envolventes de acceso se basan en dos archivos hosts.allow y hosts.deny que especifican respectivamente losservicios a los que se permite el acceso y los servicios a los que se deniega el acceso y desde que ordenadores. Dichos archivos se encuentrandentro del directorio /etcCONFIGURACIÓNLos envolventes de acceso funcionan mediante reglas. Su sintaxis (en ambos archivos) es lista_servicios:lista_clientes [spawn comando_shell]dondelista_servicios es una lista de uno o más servicios separados por espacios, donde los servicios se especifican mediante el nombre del servidorque los proporciona (vsftpd, sshd, etc…)lista_clientes es uno o más nombres de ordenador, direcciones IP o patrones separados por espacioscomando_shell indica una acción a ejecutar si una regla se cumple. Es opcionalAdemás de los patrones *, ? y . se pueden utilizar una serie de palabras reservadas en lugar de especificar una lista de clientes OPCIÓN DESCRIPCIÓN ALL Especifica todos los ordenadores LOCAL Especifica todos los ordenadores de nuestra red local KNOWN Especifica todos los ordenadores cuyo nombre o dirección IP son conocidos UNKNOW Especifica todos los ordenadores cuyo nombre o dirección IP son desconocidos PARANOID Especifica todos los ordenadores cuyo nombre no se corresponde con su dirección IPKNOWN, UNKNOW y PARANOID se deben utilizar con precaución pues cualquier error o modificación en el servidor DNS puede producir queordenadores o usuarios no autorizados obtengan acceso a los serviciosEn la lista de clientes se puede utilizar el operador EXCEPT, permitiéndonos combinar dos listas en la misma línea, es decir, una regla seaplicará a la primera lista y excluirá a la segundaEjemplo. Uso de EXCEPT en el archivo hosts.allowvsftpd:192.168.1. EXCEPT 192.168.1.xx 192.168.1.yyAdemás de todo lo expuesto la palabra reservada ALL puede utilizarse en la lista de servicios significando todos los permisosEjemplo. Uso de ALL en la lista de serviciosALL:192.168.1.xxEjemplo. Uso de ALL y EXCEPTALL:ALL EXCEPT vsftpd:192.168.1.xxPor último la opción spawn que ejecutará un comando en caso de que una regla se cumplaEjemplo. Crear un log con los intentos de acceso al servicio openSSH mostrando la dirección IP del cliente y el nombre del serviciosshd:ALL: spawn echo ‘cliente’ %a ‘servicio’ %d >> /var/log/deny.log
  2. 2. CONTROL DE ACCESO TCPWRAPPERS VARIABLES DESCRIPCIÓN %a Dirección IP del cliente %A Dirección IP del servidor %c Identificador del proceso, nombre o dirección IP del cliente entre otros %d Nombre del servicio solicitado %h Nombre del cliente o dirección IP si no existe %H Nombre del servidor o dirección IP si no existe %n Nombre del cliente unknow si no existe paranoid si no coincide el nombre y su dirección IP %N Nombre del servidor unknow si no existe paranoid si no coincide el nombre y su dirección IP %p Identificador del proceso del servicio %s Identificador del proceso, nombre o dirección IP del servidor entre otros %u Nombre del cliente, unknow si no existeEjemplo. Denegar todos los servicios excepto el servicio FTP que se permitirá a todo el mundo y el servicio openSSH que se permitirá a unordenador específico#HOSTS.ALLOWvsftpd:ALLsshd:192.168.1.xx#HOSTS.DENYALL:ALLEjercicios 1. Configura los envolventes de acceso de forma que a. Se permita el acceso al servicio FTP a todos los ordenadores b. Se permita el acceso al servicio openSSH a todos los ordenadores del aula excepto al ordenador 192.168.1.xx c. Se genere un fichero log con el nombre del servicio, IP y nombre del cliente en caso de que se deniegue el acceso a algún permiso 2. Configura los envolventes de acceso de forma que a. Se permita el acceso al servicio NFS a dos ordenadores del aula b. En cualquier caso, cuando se permita o deniegue el acceso al servicio se tiene que generar un fichero log con información sobre el mismo

×