Garantindo a segurança com TCP_Wrapper – parte 3

Share

Chegando ao capítulo final desta saga, iremos demonstrar comandos externos na configuração de regras para o TCP_Wrapper…

Confira os outros posts desta série aqui:

Então, vamos ao que interessa !!!

Podemos utilizar as opções twist ou spawn nos arquivos /etc/hosts.allow ou /etc/hosts.deny para ter acesso a comandos do Shell.

Exemplo:

Negar uma conexão e enviar uma mensagem de alerta sobre a tentativa de conexão:

sshd : .mitsouko.com.br : twist /bin/echo Acesso Negado % c, Area Restrita.

Outra possibilidade é utilizar a opção spawn, que diferentemente do comando twist, não envia uma resposta individual a quem fez a tentativa de conexão. Por exemplo:

ALL : .mitsouko.com.br : spawn (/bin/echo %a da %h tentativa de acesso %d >> /var/log/acessos.log) : deny.

Dissecando:

O exemplo acima, negam todas as tentativas de conexão do domínio mitsouko.com.br. Simultaneamnete, está realizando um log do nome do host, endereço IP.

Registro de Logs

Algumas opções permitem aos administradores facilmente mudar a facilidade de log e nível de prioridade para uma regra usando a diretiva severity.

No exemplo seguinte, conexões ao daemon SSH de qualquer host no domínio mitsouko.com.br são registradas à facilidade authpriv syslog (por causa que nenhum valor de facilidade é especificado) com uma prioridade de emerg:

sshd : .mitsouko.com.br : severity emerg

Também é possível especificar uma facilidade usando a opção severity. O exemplo abaixo registra em log qualquer tentativa de conexão SSH por hosts do domínio mitsouko.com.br à facilidade local0 com a prioridade de alert:

sshd : .mitsouko.com.br : severity local0.alert

Conclusão

Para que o sistema TCP_Wrapper realmente funcione corretamente, é importante que no momento da configuração dos arquivos /etc/hosts.allow e /etc/hosts.deny sejam utilizados critérios minuciosos. É importante analisar cada situação e aplicar as regras de acordo com cenário apresentado.

Quer continuar por dentro das novidades do Blog Seja Livre? Siga o nosso perfil no TWITTER, curta a nossa página no FACEBOOK ou adicione o Blog Seja Livre nos seus círculos do GOOGLE+.