CONTROL DE ACCESO TCPWRAPPERS TCPWRAPPERS Los envolventes de acceso o TCPWrappers permiten controlar y limitar el acceso a los servicios que

ejecuta un ordenador en sistemas GNU/Linux Para realizar dicho control, los envolventes de acceso se basan en dos archivos hosts.allow y hosts.deny que especifican respectivamente los servicios a los que se permite el acceso y los servicios a los que se deniega el acceso y desde que ordenadores. Dichos archivos se encuentran dentro del directorio /etc CONFIGURACIN Los envolventes de acceso funcionan mediante reglas. Su sintaxis (en ambos archivos) es lista_servicios:lista_clientes [spawn comando_shell] donde lista_servicios es una lista de uno o ms servicios separados por espacios, donde los servicios se especifican mediante el nombre del servidor que los proporciona (vsftpd, sshd, etc) lista_clientes es uno o ms nombres de ordenador, direcciones IP o patrones separados por espacios comando_shell indica una accin a ejecutar si una regla se cumple. Es opcional Adems de los patrones *, ? y . se pueden utilizar una serie de palabras reservadas en lugar de especificar una lista de clientes OPCIN ALL LOCAL KNOWN UNKNOW PARANOID DESCRIPCIN Especifica todos los ordenadores Especifica todos los ordenadores de nuestra red local Especifica todos los ordenadores cuyo nombre o direccin IP son conocidos Especifica todos los ordenadores cuyo nombre o direccin IP son desconocidos Especifica todos los ordenadores cuyo nombre no se corresponde con su direccin IP

KNOWN, UNKNOW y PARANOID se deben utilizar con precaucin pues cualquier error o modificacin en el servidor DNS puede producir que ordenadores o usuarios no autorizados obtengan acceso a los servicios En la lista de clientes se puede utilizar el operador EXCEPT, permitindonos combinar dos listas en la misma lnea, es decir, una regla se aplicar a la primera lista y excluir a la segunda Ejemplo. Uso de EXCEPT en el archivo hosts.allow vsftpd:192.168.1. EXCEPT 192.168.1.xx 192.168.1.yy Adems de todo lo expuesto la palabra reservada ALL puede utilizarse en la lista de servicios significando todos los permisos Ejemplo. Uso de ALL en la lista de servicios ALL:192.168.1.xx Ejemplo. Uso de ALL y EXCEPT ALL:ALL EXCEPT vsftpd:192.168.1.xx Por ltimo la opcin spawn que ejecutar un comando en caso de que una regla se cumpla Ejemplo. Crear un log con los intentos de acceso al servicio openSSH mostrando la direccin IP del cliente y el nombre del servicio sshd:ALL: spawn echo cliente %a servicio %d >> /var/log/deny.log

CONTROL DE ACCESO TCPWRAPPERS VARIABLES %a %A %c %d %h %H %n DESCRIPCIN Direccin IP del cliente Direccin IP del servidor Identificador del proceso, nombre o direccin IP del cliente entre otros Nombre del servicio solicitado Nombre del cliente o direccin IP si no existe Nombre del servidor o direccin IP si no existe Nombre del cliente unknow si no existe paranoid si no coincide el nombre y su direccin IP Nombre del servidor unknow si no existe paranoid si no coincide el nombre y su direccin IP Identificador del proceso del servicio Identificador del proceso, nombre o direccin IP del servidor entre otros Nombre del cliente, unknow si no existe

%N

%p %s %u

Ejemplo. Denegar todos los servicios excepto el servicio FTP que se permitir a todo el mundo y el servicio openSSH que se permitir a un ordenador especfico #HOSTS.ALLOW vsftpd:ALL sshd:192.168.1.xx #HOSTS.DENY ALL:ALL Ejercicios 1. Configura los envolventes de acceso de forma que a. Se permita el acceso al servicio FTP a todos los ordenadores b. Se permita el acceso al servicio openSSH a todos los ordenadores del aula excepto al ordenador 192.168.1.xx c. Se genere un fichero log con el nombre del servicio, IP y nombre del cliente en caso de que se deniegue el acceso a algn permiso 2. Configura los envolventes de acceso de forma que a. Se permita el acceso al servicio NFS a dos ordenadores del aula b. En cualquier caso, cuando se permita o deniegue el acceso al servicio se tiene que generar un fichero log con informacin sobre el mismo