El paquete tcpwrappers proporciona programas envoltorios para demonios, que informan sobre el nombre del cliente que solicita servicios de red y el servicio solicitado.
Descarga (HTTP): http://files.ichilton.co.uk/nfs/tcp_wrappers_7.6.tar.gz
Descarga (FTP): ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz
Suma MD5 del paquete: e6fa25f71226d090f34de3f6b122fb5a
Tamaño del paquete: 97 KB
Estimación del espacio necesario en disco: 1.04 MB
Tiempo estimado de construcción: 0.02 SBU
Parche requerido (Corrige algunos problemas de compilación y añade la construcción de una librería compartida): http://www.linuxfromscratch.org/blfs/downloads/6.0/tcp_wrappers-7.6-shared_lib_plus_plus-1.patch
.
Instala tcpwrappers con los siguientes comandos:
patch -Np1 -i ../tcp_wrappers-7.6-shared_lib_plus_plus-1.patch &&
sed -i -e "s,^extern char \*malloc();,/* & */," scaffold.c &&
make REAL_DAEMON_DIR=/usr/sbin STYLE=-DPROCESS_OPTIONS linux &&
make install
sed -i -e ... scaffold.c: Este comando elimina una declaración C obsoleta que provoca que falle la construcción cuando se utiliza GCC-3.4.x.
/etc/hosts.allow, /etc/hosts.deny
Protección de ficheros: el envoltorio (wrapper), todos los ficheros utilizados por el envoltorio y todos los directorios en la ruta que conduce a esos ficheros, deben ser accesibles pero no escribibles por usuarios sin privilegios (modo 755 o 555). No instales el envoltorio con el bit set-uid activado.
Después realiza las siguientes modificaciones en el fichero de configuración /etc/inetd.conf:
finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
pasa a ser:
finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd
El servidor finger se utiliza aquí como ejemplo.
Si usas xinetd, se deben hacer cambios similares, poniendo énfasis en que debes llamar a /usr/sbin/tcpd en vez de llamar directamente al demonio del servicio, y pasarle el nombre del demonio del servicio a tcpd.
El paquete tcpwrappers contiene tcpd, tcpdchk, tcpdmatch, try-from, safe_finger y las librerías libwrap.
tcpd es el demonio principal de control de acceso para todos los servicios de internet, que es lanzado por inetd o xinetd en lugar del demonio del servicio solicitado.
tcpdchk es una herramienta para examinar la configuración del envoltorio tcpd e informar de problemas.
tcpdmatch se utiliza para predecir cómo el envoltorio tcp manejaría una petición específica para un servicio.
try-from puede llamarse mediante un intérprete de comandos remoto para averiguar si el nombre del sistema y su dirección se reconocen correctamente.
Last updated on 2005-04-09 00:53:09 +0200