Más Allá de Linux From Scratch: Versión 1.0 | ||
---|---|---|
Anterior | Capítulo 18. Programas Básicos para Trabajo en Red | Siguiente |
Localización de descarga (HTTP): http://files.ichilton.co.uk/nfs/tcp_wrappers_7.6.tar.gz Localización de descarga (FTP): Versión usada: 7.6 Tamaño del paquete: 100 KB Estimación del espacio necesario en disco: 720 KB Estimación del tiempo de construcción: 0.16 SBU |
Parche requerido: Localización de descarga (HTTP): http://files.ichilton.co.uk/nfs/tcp_wrappers_7.6.diff.gz |
El paquete tcpwrappers proporciona programas envoltorios para demonios, que informan sobre el nombre del cliente que solicita servicios de red y el servicio solicitado.
.
Instala tcpwrappers con los siguientes comandos:
patch -Np1 -i ../tcp_wrappers_7.6.diff && make REAL_DAEMON_DIR=/usr/sbin linux && cp libwrap.a /usr/lib && cp tcpd.h /usr/include && cp safe_finger /usr/sbin && cp tcpd /usr/sbin && cp tcpdchk /usr/sbin && cp tcpdmatch /usr/sbin && cp try-from /usr/sbin && cp -av *.3 /usr/share/man/man3 && cp -av *.5 /usr/share/man/man5 && cp -av *.8 /usr/share/man/man8 |
patch -Np1 -i ../tcp_wrappers_7.6.diff : Este parche modifica la ruta original y las facilidades de registro del programa tcpwrappers original.
/etc/hosts.allow, /etc/hosts.deny
Protección de ficheros: el envoltorio (wrapper), todos los ficheros utilizados por el envoltorio y todos los directorios en la ruta que conduce a esos ficheros, deben ser accesibles pero no escribibles por usuarios sin privilegios (modo 755 o 555). No instales el envoltorio con el bit set-uid activado.
Después realiza las siguientes modificaciones en el fichero de configuración /etc/inetd.conf :
finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd |
finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd |
Nota: El servidor finger se utiliza aquí como ejemplo.
Si usas xinetd, se deben hacer cambios similares, poniendo énfasis en que debes llamar a /usr/sbin/tcpd en vez de llamar directamente al demonio del servicio, y pasarle el nombre del demonio del servicio a tcpd.
tcpd es el demonio principal de control de acceso para todos los servicios de internet, que es lanzado por inetd o xinetd en lugar del demonio del servicio solicitado.
tcpdchk es una herramienta para examinar la configuración del envoltorio tcpd e informar de problemas.
tcpdmatch se utiliza para predecir cómo el envoltorio tcp manejaría una petición específica para un servicio.