| Más Allá de Linux From Scratch: Versión 5.0 | ||
|---|---|---|
| Anterior | Capítulo 18. Programas Básicos para Trabajo en Red | Siguiente |
El paquete tcpwrappers proporciona programas envoltorios para demonios, que informan sobre el nombre del cliente que solicita servicios de red y el servicio solicitado.
Descarga (HTTP): http://files.ichilton.co.uk/nfs/tcp_wrappers_7.6.tar.gz
Descarga (FTP): ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz
Tamaño del paquete: 100 KB
Estimación del espacio necesario en disco: 720 KB
Tiempo estimado de construcción: 0.16 SBU
Parche requerido (Corrige algunos problemas de compilación y añade la construcción de una librería compartida): http://www.linuxfromscratch.org/patches/blfs/5.0/tcp_wrappers-7.6-shared-lib-plus-plus.patch
.
Instala tcpwrappers con los siguientes comandos:
patch -Np1 -i ../tcp_wrappers-7.6-shared-lib-plus-plus.patch && make REAL_DAEMON_DIR=/usr/sbin STYLE=-DPROCESS_OPTIONS linux && make install |
/etc/hosts.allow, /etc/hosts.deny
Protección de ficheros: el envoltorio (wrapper), todos los ficheros utilizados por el envoltorio y todos los directorios en la ruta que conduce a esos ficheros, deben ser accesibles pero no escribibles por usuarios sin privilegios (modo 755 o 555). No instales el envoltorio con el bit set-uid activado.
Después realiza las siguientes modificaciones en el fichero de configuración /etc/inetd.conf:
finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd |
pasa a ser:
finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd |
Nota: El servidor finger se utiliza aquí como ejemplo.
Si usas xinetd, se deben hacer cambios similares, poniendo énfasis en que debes llamar a /usr/sbin/tcpd en vez de llamar directamente al demonio del servicio, y pasarle el nombre del demonio del servicio a tcpd.
El paquete tcpwrappers contiene tcpd, tcpdchk, tcpdmatch, try-from y safe_finger.
tcpd es el demonio principal de control de acceso para todos los servicios de internet, que es lanzado por inetd o xinetd en lugar del demonio del servicio solicitado.
tcpdchk es una herramienta para examinar la configuración del envoltorio tcpd e informar de problemas.
tcpdmatch se utiliza para predecir cómo el envoltorio tcp manejaría una petición específica para un servicio.
try-from puede llamarse mediante un intérprete de comandos remoto para averiguar si el nombre del sistema y su dirección se reconocen correctamente.
safe_finger es un envoltorio para la utilidad finger que proporciona búsqueda inversa de nombres automática.