Login en Linux
Hola, otra vez yo...
Quiero evitar que hagan login en un servidor Linux con conexiona Internet otras personas excepto yo.
¿Qué sistema me recomiendas? Creo que existe algo para filtrar IP´s... ¿no?
Muchas gracias.
Quiero evitar que hagan login en un servidor Linux con conexiona Internet otras personas excepto yo.
¿Qué sistema me recomiendas? Creo que existe algo para filtrar IP´s... ¿no?
Muchas gracias.
1 Respuesta
Respuesta de bankhacker
1
En los casos en los que nuestro Linux se encuentre directamente expuesto a Internet resulta conveniente limitar el acceso a los servicios de red que controla inetd. Podemos reducir a un número muy pequeño las IPs (sólo aquellas desde las que vayamos a entrar nosotros mismos) con acceso a los principales servicios de riesgo de nuestro sistema, como telnet o ftp.
El control de acceso esta implementado mediante dos ficheros llamados /etc/hosts.allow y /etc/hosts.deny. Estos ficheros contienen entradas permitiendo y denegando acceso, respectivamente, para ciertos servicios y nodos.
Un ejemplo: si se edita el fichero /etc/hosts.allow y se añade la siguiente línea:
In. Telnetd: 150.24., 52.36., 52.37.
Y se edita el fichero /etc/hosts.deny y se añade la siguiente línea:
ALL: ALL
Y luego se reinicia el servidor de puertos de Internet con el siguiente comando:
/etc/rc.d/init.d/inet restart
Quedará limitado el acceso por telnet al servidor desde las IPs que no estén en el rango de 150.24.xxx.xxx o en 52.36.xxx.xxx y 52.37.xxx.xxx.
La activación de los TCPWrappers es así de sencilla si ya tenemos todos los paquetes necesarios instalados, como suele ocurrir en la mayoría de las distribuciones de Linux. En RedHat 6.2 encontraremos instalada la versión 7.6 de TCPWrappers:
[root@blackcluster root]# rpm -qi tcp_wrappers-7.6-10
Name : tcp_wrappers Relocations: (not relocateable)
Version : 7.6 Vendor: Red Hat, Inc.
Release : 10 Build Date: Mon 07 Feb 2000 03:04:13 PM EST
Install date: Sun 13 Feb 2000 10:15:34 AM EST Build Host: porky.devel.redhat.com
Group : System Environment/Daemons Source RPM: tcp_wrappers-7.6-10.src.rpm
Size : 248801 License: Distributable
Packager : Red Hat, Inc. <http://bugzilla.redhat.com/bugzilla>
Summary : A security tool which acts as a wrapper for TCP daemons.
Description :
The tcp_wrappers package provides small daemon programs which can
monitor and filter incoming requests for systat, finger, FTP, telnet,
rlogin, rsh, exec, tftp, talk and other network services.
Install the tcp_wrappers program if you need a security tool for
filtering incoming network services requests.
En caso contrario, procederemos a instalarlo del siguiente modo:
rpm -i /home/install/distribuciones/redhat62/RedHat/RPMS/tcp_wrappers-7.6-10.i386.rpm
siendo "/home/install/distribuciones/redhat62/RedHat/RPMS/" la ubicación de los paquetes de la distribución de Linux que estemos empleando.
También podemos instalar TCPWrappers sin necesidad de usar el sistema de paquetes:
1.- Descargar y descomprimir:
wget ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz
(o bien, wget ftp://ftp.rediris.es/mirror/dfncert/tools/net/TCP-Wrapper/tcp_wrappers_7.6.tar.gz)
tar -zxvf tcp_wrappers_7.6.tar.gz
2.- Establecer rutas:
Buscamos en el archivo "/etc/inetd.conf" la ruta donde se encuentran los demonios de los servicios de red.
finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
En este caso, se encuentran los demonios en /usr/sbin. En el archivo Makefile buscamos la cadena "REAL_DAEMON_DIR" donde aparecerán distintas opciones de rutas. Descomentamos la que corresponda al directorio obtenido en el punto anterior.
3.- Optimizar configuración de log:
En este mismo archivo buscamos la cadena "FACILITY=LOG_MAIL" y la sustituimos por "FACILITY=LOG_LOCAL0" para que los mensajes generados por el "tcpd" se registren por separado de los generados por sendmail y otros servicios:
REAL_DAEMON_DIR=/usr/sbin
FACILITY= LOG_LOCAL0
4.- Compilando e Instalando:
Make linux
Mv tcpd tcpdmatch tcpdchk try_from safe_finger /usr/sbin
5.- Aplicando TCPWrappers:
Editamos el archivo "/etc/inetd.conf", sustituyendo todas las referencias a las rutas de los demonios de servicios de red que utilicen el protocolo TCP/IP por la ruta donde se encuentra el tcpd.
finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
6.- Logeando:
Si queremos mantener un registro de las conexiones realizadas a través del tcpd agregaremos la siguiente línea al archivo de configuración "syslog.conf":
local0.info /var/log/tcpd.log
Y luego creamos el fichero de log correspondiente:
touch /var/log/tcpd.log
7.- En marcha:
Reinicializamos los demonios inetd y syslogd para que lean su nueva configuración:
ps aux | grep "inetd|syslogd"
kill -HUP <pid_inetd> <pid_syslogd>
A partir de este momento, el "tcpd" debe registrar todos los accesos a los servicios para los que se haya activado su ejecución. Lo comprobamos:
telnet localhost
cat /var/log/tcpd.log
Sep 28 18:42:59 chela in.telnetd[29102]: connect from 127.0.0.1
Funciona!
En 1990, una de las máquinas de la Universidad de Eindhoven en Holanda era objeto de fuertes ataques por un hacker alemán, que después obtenía privilegios de root. Acto seguido introducía el comando "rm -rf /".
El comportamiento destructivo de este individuo hacía muy difícil averiguar que estaba pasando, dado que "rm -rf" elimina cualquier huella. Una noche Venema noto que el Hacker lo estaba observando a través de la red, esto lo realizaba mediante el comando "finger", el cual proporciona información de los usuarios de manera remota. Este tipo de servicio no requiere un password, y casi nunca mantiene un registro de su uso, por lo que fue el comienzo del diseño de un sistema que pudiera detectar y registrar información de las conexiones realizadas. Así es como nació TCPWrappers.
TCPWrappers es una solución rápida y cómoda al control de acceso desde Internet, supliendo en parte la necesidad de instalar un Firewall. De todas formas, si queremos proteger aún más nuestra red o servidores, podemos convertir un Linux en un perfecto Firewall. Algunos de los programas que nos dan esta funcionalidad son: Instant Firewall, ipchains-firewall, Juniper Firewall Toolkit, KFirewall, PHP Firewall Generator, PMFirewall, TIS Internet Firewall Toolkit, gfcc, gShield.
El control de acceso esta implementado mediante dos ficheros llamados /etc/hosts.allow y /etc/hosts.deny. Estos ficheros contienen entradas permitiendo y denegando acceso, respectivamente, para ciertos servicios y nodos.
Un ejemplo: si se edita el fichero /etc/hosts.allow y se añade la siguiente línea:
In. Telnetd: 150.24., 52.36., 52.37.
Y se edita el fichero /etc/hosts.deny y se añade la siguiente línea:
ALL: ALL
Y luego se reinicia el servidor de puertos de Internet con el siguiente comando:
/etc/rc.d/init.d/inet restart
Quedará limitado el acceso por telnet al servidor desde las IPs que no estén en el rango de 150.24.xxx.xxx o en 52.36.xxx.xxx y 52.37.xxx.xxx.
La activación de los TCPWrappers es así de sencilla si ya tenemos todos los paquetes necesarios instalados, como suele ocurrir en la mayoría de las distribuciones de Linux. En RedHat 6.2 encontraremos instalada la versión 7.6 de TCPWrappers:
[root@blackcluster root]# rpm -qi tcp_wrappers-7.6-10
Name : tcp_wrappers Relocations: (not relocateable)
Version : 7.6 Vendor: Red Hat, Inc.
Release : 10 Build Date: Mon 07 Feb 2000 03:04:13 PM EST
Install date: Sun 13 Feb 2000 10:15:34 AM EST Build Host: porky.devel.redhat.com
Group : System Environment/Daemons Source RPM: tcp_wrappers-7.6-10.src.rpm
Size : 248801 License: Distributable
Packager : Red Hat, Inc. <http://bugzilla.redhat.com/bugzilla>
Summary : A security tool which acts as a wrapper for TCP daemons.
Description :
The tcp_wrappers package provides small daemon programs which can
monitor and filter incoming requests for systat, finger, FTP, telnet,
rlogin, rsh, exec, tftp, talk and other network services.
Install the tcp_wrappers program if you need a security tool for
filtering incoming network services requests.
En caso contrario, procederemos a instalarlo del siguiente modo:
rpm -i /home/install/distribuciones/redhat62/RedHat/RPMS/tcp_wrappers-7.6-10.i386.rpm
siendo "/home/install/distribuciones/redhat62/RedHat/RPMS/" la ubicación de los paquetes de la distribución de Linux que estemos empleando.
También podemos instalar TCPWrappers sin necesidad de usar el sistema de paquetes:
1.- Descargar y descomprimir:
wget ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz
(o bien, wget ftp://ftp.rediris.es/mirror/dfncert/tools/net/TCP-Wrapper/tcp_wrappers_7.6.tar.gz)
tar -zxvf tcp_wrappers_7.6.tar.gz
2.- Establecer rutas:
Buscamos en el archivo "/etc/inetd.conf" la ruta donde se encuentran los demonios de los servicios de red.
finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
En este caso, se encuentran los demonios en /usr/sbin. En el archivo Makefile buscamos la cadena "REAL_DAEMON_DIR" donde aparecerán distintas opciones de rutas. Descomentamos la que corresponda al directorio obtenido en el punto anterior.
3.- Optimizar configuración de log:
En este mismo archivo buscamos la cadena "FACILITY=LOG_MAIL" y la sustituimos por "FACILITY=LOG_LOCAL0" para que los mensajes generados por el "tcpd" se registren por separado de los generados por sendmail y otros servicios:
REAL_DAEMON_DIR=/usr/sbin
FACILITY= LOG_LOCAL0
4.- Compilando e Instalando:
Make linux
Mv tcpd tcpdmatch tcpdchk try_from safe_finger /usr/sbin
5.- Aplicando TCPWrappers:
Editamos el archivo "/etc/inetd.conf", sustituyendo todas las referencias a las rutas de los demonios de servicios de red que utilicen el protocolo TCP/IP por la ruta donde se encuentra el tcpd.
finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
6.- Logeando:
Si queremos mantener un registro de las conexiones realizadas a través del tcpd agregaremos la siguiente línea al archivo de configuración "syslog.conf":
local0.info /var/log/tcpd.log
Y luego creamos el fichero de log correspondiente:
touch /var/log/tcpd.log
7.- En marcha:
Reinicializamos los demonios inetd y syslogd para que lean su nueva configuración:
ps aux | grep "inetd|syslogd"
kill -HUP <pid_inetd> <pid_syslogd>
A partir de este momento, el "tcpd" debe registrar todos los accesos a los servicios para los que se haya activado su ejecución. Lo comprobamos:
telnet localhost
cat /var/log/tcpd.log
Sep 28 18:42:59 chela in.telnetd[29102]: connect from 127.0.0.1
Funciona!
En 1990, una de las máquinas de la Universidad de Eindhoven en Holanda era objeto de fuertes ataques por un hacker alemán, que después obtenía privilegios de root. Acto seguido introducía el comando "rm -rf /".
El comportamiento destructivo de este individuo hacía muy difícil averiguar que estaba pasando, dado que "rm -rf" elimina cualquier huella. Una noche Venema noto que el Hacker lo estaba observando a través de la red, esto lo realizaba mediante el comando "finger", el cual proporciona información de los usuarios de manera remota. Este tipo de servicio no requiere un password, y casi nunca mantiene un registro de su uso, por lo que fue el comienzo del diseño de un sistema que pudiera detectar y registrar información de las conexiones realizadas. Así es como nació TCPWrappers.
TCPWrappers es una solución rápida y cómoda al control de acceso desde Internet, supliendo en parte la necesidad de instalar un Firewall. De todas formas, si queremos proteger aún más nuestra red o servidores, podemos convertir un Linux en un perfecto Firewall. Algunos de los programas que nos dan esta funcionalidad son: Instant Firewall, ipchains-firewall, Juniper Firewall Toolkit, KFirewall, PHP Firewall Generator, PMFirewall, TIS Internet Firewall Toolkit, gfcc, gShield.
