Un demonio de PPP mal configurado puede ser un peligroso agujero en la seguridad. Es equivalente a dejar a cualquiera enganchar su máquina a su red Ethernet (y eso es muy malo). En esta sección, discutiremos algunas medidas que deberían hacer su configuración de PPP segura.
Nota: Configurar el dispositivo de red y la tabla de encaminamiento requiere los privilegios de root. Normalmente resolverá esto ejecutando pppd como setuid de root. Sin embargo, pppd permite a los usuarios establecer varias opciones relacionadas con la seguridad.
Para protegerse contra cualquier ataque que pueda lanzar algún usuario manipulando estas opciones, se sugiere que establezca un par de valores predeterminado en el fichero global /etc/ppp/options, tal como los mostrados en el fichero de ejemplo en Sección 8.3,” al principio de este capítulo. Algunos de ellos, como los de las opciones de autentificación, no pueden ser después modificados por el usuario, así que proporcionan una razonable protección contra las manipulaciones. Una opción importante que proteger es la opción connect. Si pretende permitir a usuarios no root invocar pppd para conectar a Internet, debería siempre añadir las opciones connect y noauth al fichero de opciones globales /etc/ppp/options. Si no hace esto, los usuarios serán capaces de ejecutar ordenes arbitrarias con privilegios de root especificandolas como argumento del pppd en la orden de connect o en sus ficheros de opciones personales.
Otra buena idea es restringir qué usuarios pueden ejecutar pppd creando un grupo en /etc/group e introducir sólo aquellos usuarios que usted desea que tengan la habilidad de ejecutar el demonio PPP. Despues debería cambiar la propiedad de grupo del demonio pppd a ese grupo y quitar los privilegios de ejecución globales. Para hacer esto, asumiendo que ha llamado a su grupo dialout, podria usar algo como esto:
# chown root /usr/sbin/pppd # chgrp dialout /usr/sbin/pppd # chmod 4750 /usr/sbin/pppd |
Por supuesto, también tiene que protegerse de los sistemas con los que habla PPP. Para evitar que otros ordenadores puedan hacerse pasar por quien no son, debe utilizar siempre algún tipo de autentificación con el otro extremo de la comunicación. Además, no debería permitir a ordenadores desconocidos usar cualquier dirección IP que elijan, sino restringirlas a unas pocas. La siguiente sección tratará sobre estos asuntos.