DevSecOps

13 dez, 2013

Garantindo a segurança com TCP_Wrapper – Parte 02

Publicidade

Dando continuidade (confira aqui a primeira parte) iremos demonstrar alguns exemplos de utilização do TCP_Wrapper. Então, vamos ao que interessa!

No TCP_Wrapper podemos utilizar a mesma linguagem em ambos os arquivos (hosts.allow e hosts.deny) para informar quais serão os clientes bloqueados ou liberados para acessar tal serviço. A sintaxe básica é:

daemon_list : client_list

Exemplo:

ALL : ALL

A regra acima se aplica a todos os serviços e também a todos os hosts. Agora, se você deseja inserir no arquivo /etc/hosts.deny, irá bloquear o acesso para todos os serviços. Porém, você pode criar “filtros” para melhorar a situação apresentada.

Por exemplo, inserindo no arquivo /etc/hosts.allow, conforme exemplo abaixo:

sshd : 192.168.60.5

Será autorizado o acesso ssh através do ip supracitado.

Múltiplos serviços

Podemos configurar exceções (operador EXCEPT), conforme exemplos abaixo:

# hosts.allow ludolfs
ALL : .campeao.com.br
telnetd : 192.168.60.0/255.255.255.0 EXCEPT 192.168.60.15
sshd, in.tffpd : 192.168.60.10

Dissecando

A primeira linha é um comentário. A próxima abre os serviços para todos (ALL) os computadores do domínio campeao.com.br. A outra linha abre o serviço telnet para qualquer computador na rede 192.168.60.0 exceto o endereço IP 192.168.60.15 . Os serviços SSH e FTP estão abertos somente para o computador de endereço IP 192.168.60.10.

Outro exemplo:

# hosts.deny ludolfs
ALL EXCEPT in.tftpd : .campeao.com.br
Telnetd : ALL EXCEPT 192.168.60.10

 

Inicialmente a primeira linha é um comentário. Em seguida, a próxima linha impede que todos os serviços exceto o FTP para os computadores do domínio campeao.com.br. A terceira linha indica que apenas um computador com IP 192.168.60.10.

Com isso, encerramos o segundo capítulo de nossa saga. Fique atento e continue acompanhando essa saga desta ferramenta simples e muito eficiente.

Até a próxima!