DevSecOps

20 dez, 2013

Garantindo a segurança com TCP_Wrapper – Parte 03

Publicidade

Chegando ao capítulo final desta saga, iremos demonstrar comandos externos na configuração de regras para o TCP_Wrapper.

seguranca-8

Podemos utilizar as opções twist ou spawn nos arquivos /etc/hosts.allow ou /etc/hosts.deny para ter acesso a comandos do Shell.

Exemplo:

Negar uma conexão e enviar uma mensagem de alerta sobre a tentativa de conexão:

sshd : .mitsouko.com.br : twist /bin/echo Acesso Negado % c, Area Restrita.

Outra possibilidade é utilizar a opção spawn, que diferentemente do comando twist, não envia uma resposta individual a quem fez a tentativa de conexão. Por exemplo:

ALL : .mitsouko.com.br : spawn (/bin/echo %a da %h tentativa de acesso %d >> /var/log/acessos.log) : deny.

O exemplo acima nega todas as tentativas de conexão do domínio mitsouko.com.br. Simultaneamnete, está realizando um log do nome do host, endereço IP.

Registro de Logs

Algumas opções permitem aos administradores facilmente mudar a facilidade de log e nível de prioridade para uma regra usando a diretiva severity.

No exemplo seguinte, conexões ao daemon SSH de qualquer host no domínio mitsouko.com.br são registradas à facilidade authpriv syslog (por causa que nenhum valor de facilidade é especificado) com uma prioridade de emerg:

sshd : .mitsouko.com.br : severity emerg

Também é possível especificar uma facilidade usando a opção severity. O exemplo abaixo registra em log qualquer tentativa de conexão SSH por hosts do domínio mitsouko.com.br à facilidade locá-l0 com a prioridade de alert:

sshd : .mitsouko.com.br : severity local0.alert

Conclusão

Para que o sistema TCP_Wrapper realmente funcione corretamente, é importante que no momento da configuração dos arquivos /etc/hosts.allow e /etc/hosts.deny sejam utilizados critérios minuciosos. É importante analisar cada situação e aplicar as regras de acordo com cenário apresentado.