La wiki de TempWin

Herramientas de usuario

Herramientas del sitio

Traza: 101.2_boot_the_system 209.1_samba_server_configuration 212.2_securing_ftp_servers 212.3_secure_shell_ssh 110.2_setup_host_security
informatica:certificaciones:lpic:lpic-1:110_security:110.2_setup_host_security

¡Esta es una revisión vieja del documento!

Tabla de Contenidos

110.2 Setup host security

Pertenece a Topic 110: Security

  • Weight: 3
  • Description: Candidates should know how to set up a basic level of host security.
  • Key Knowledge Areas:
    • Awareness of shadow passwords and how they work.
    • Turn off network services not in use.
    • Understand the role of TCP wrappers.
  • The following is a partial list of the used files, terms and utilities:
    • /etc/nologin
    • /etc/passwd
    • /etc/shadow
    • /etc/xinetd.d/
    • /etc/xinetd.conf
    • systemd.socket
    • /etc/inittab
    • /etc/init.d/
    • /etc/hosts.allow
    • /etc/hosts.deny

Auditar acceso a servicios del sistema

TCP Wrappers

Los tcp_wrappers permiten la comprobación de los accesos a un servicio de red determinado (service, xinetd, portmapper).

Para verificar una regla, el sistema lee primero /etc/hosts.allow, luego /etc/hosts.deny. La búsqueda se detiene a la primera correspondencia encontrada. Una línea en hosts.allow autoriza la conexión. Una línea en hosts.deny prohibe la conexión. Si no se deniega de manera explícita el acceso, se autoriza: la petición no corresponde a ningún criterio.

Sintaxis: 

servicio : <host> : [accion/es]
  • ALL: → Todos los servicios o hosts
  • Hosts: .dominio.com | 192.168. | 192.168.1.0/255.255.255.0
  • EXCEPT → excluye hosts
  • Acciones (opcional):
    • spawn: ejecuta comandos
    • severity: manda mensajes al log

Ejemplo /etc/hosts.allow: 

sshd: 192.168.1.
apache2: puesto1, puesto2

Ejemplo: /etc/hosts.deny 

dovecot : 192.168.0. EXCEPT 192.168.0.5
ftp: 192.168.10. : spawn /bin/echo "ALGUIEN INTENTA CONECTARSE" >> /var/log/ftp.log

Xinetd

Xinetd es un “superdemonio” que gestiona varios servicios habituales de red del sistema como Telnet, FTP o IMAP, y que hace las veces de TCP Wrapper con dichos servicios, pudiendo definir reglas de acceso a estos.

En Debian se instala con apt install xinetd

La configuración del xinetd se encuentra en:

  • /etc/xinetd.conf
  • /etc/xinetd.d/*

Ejemplo: 

service telnet
{
    flags = REUSE
    socket_type = stream
    wait = no
    user = root
    server = /usr/sbin/in.telnetd
    log_on_failure += USERID
    disable = no
}
service ssh
{
    disable = no
    socket_type = stream
    protocol = tcp
    port = 22
    wait = no
    user = root
    server = /usr/sbin/sshd
    server_args = -i
}

Directivas de control de acceso:

  • only_from: Solo permite que las máquinas específicas usen el servicio
  • no_access: Impide que estas máquinas usen el servicio
  • access_times: Especifica el intervalo de tiempo en el que un determinado servicio puede ser usado. El rango de tiempo debe especificarse en formato de 24 horas, HH:MM-HH:MM

Ejemplos: 

no_access = 10.0.1.0/24
access_times = 09:45-16:15
informatica/certificaciones/lpic/lpic-1/110_security/110.2_setup_host_security.1651511275.txt.gz · Última modificación: por tempwin