lpd


El lpd es la utilidad UNIX de impresión (Demonio de Impresión de Línea, Line Printer Daemon). Te permite entregar trabajos de impresión, ejecutarlos a través de filtros, gestionar las colas de impresión, etcétera. lpd puede aceptar trabajos locales de impresión, o sobre la red, y acceder a varias partes del sistema (impresoras, demonios de logging, etc), lo cual lo convierte en un potencial agujero de seguridad. Históricamente el lpd ha sido motivo de diferentes ataques root. Aunque estos bugs parecen haberse limado en su mayoría, todavía quedan muchos potenciales ataques de denegación de servicio, debido a su función (algo tan simple como mandar trabajos de impresión enormes y dejar sin papel a la impresora). Por suerte, con la llegada de las impresoras que tienen conocimiento de red, el lpd se está desfasando, sin embargo todavía existe una gran cantidad de impresión hecha vía lpd. El acceso a lpd se controla vía /etc/hosts.equiv y /etc/hosts.lpd. El lp se debería filtrar del mundo exterior con el cortafuegos. Si se necesita enviar trabajos de impresión a través de redes públicas, recuerda que cualquiera los puede leer, de modo que sería interesante una solución de VPN. El lpd se ejecuta en el puerto 515, utilizando tcp. El fichero hosts.lpd debería contener una lista de los hosts (estacion1.tudominio.org, etc), uno por línea, a los que se les permite utilizar los servicios lpd del servidor, de igual forma se podría utilizar ipfwadm/ipchains.

ipfwadm –I –a accept –P tcp –S 10.0.0.0/8 –D 0.0.0.0/0 515

ipfwadm –I –a accept –P tcp –S un.host.fiable –D 0.0.0.0/0 515

ipfwadm –I –a deny –P tcp –S 0.0.0.0/0 –D 0.0.0.0/0 515

o

ipchains –A input –p tcp –j ACCEPT –s 10.0.0.0/8 –d 0.0.0.0/0 515

ipchains –A input –p tcp –j ACCEPT –s un.host.fiable –d 0.0.0.0/0 515

ipchains –A input –p tcp –j DENY –s 0.0.0.0/0 –d 0.0.0.0/0 515

LPRng

Una alternativa al lpd por defecto es "LPRng" (LPR Generación Siguiente, Next Generation), que aporta nuevas mejoras y también soporta un más alto grado de seguridad. LPRng soporta Kerberos y autentificación basada en PGP, al igual que restricción de ficheros, /etc/lpd.perms, lo cual te permite controlar el acceso basado en usuario, grupo, autentificación, IP, etcétera, permitiendo configuraciones extremadamente flexibles y seguras. LPRng tiene una documentación excelente y se encuentra disponible en: http://www.astart.com/lprng/LPRng.html

pdq

El pdq es otro reemplazo del LPD, no se hace especial hincapié en la seguridad mejorada, pero parece ofrecer algunas mejoras de gestión y rendimiento comparado con el LPD por defecto. Se puede conseguir en: http://feynman.tam.uiuc.edu/pdq/

CUPS

Systema Común de Impresión Unix, Common UNIX Printing System (CUPS), tiene licencia GPL y actualmente se encuentra en fase beta. CUPS se encuentra disponible en: http://www.cups.org/


Volver


Copyright © 1999, Kurt Seifried, José Antonio Revilla

Todos los derechos reservados.