Ip-dns
Hola, estoy montado un servidor apache sobre linux y me preguntaba si existe alguna opción para compreobar ip y dns antes de servir la petición del servidor. Es decir, cuando un browser hace una petición al seerver, este mira su ip, comprueba su nombre en un servidor de nombresde dominio y le pide al browser su nombre de dominio, si no coincide con el que ha pillado del servidor de nombres no le sirve la petición y si todo ok le deja entrar. Me han comentado que quizás se pueda hacer con la directiva paranoid en los ficheros host. Allow y/o host.deny, pero no he encontrador ninguna info de esto, ¿podrías darme alguna pista? Gracias por todo.
1 Respuesta
Respuesta de dfmarin
1
Supongo que prentendes bloquear el acceso a tu servidor Web (Apache), pues mencionas un Navegador, lo que debes hacer es usar las directivas "allow" y "deny" en la sección global, o para el directorio o servicio que desees, en el archivo "httpd.conf".
[] http://httpd.apache.org/docs/
[] http://httpd.apache.org/docs/misc/security_tips.html
_ _ _
Si utilizas "/etc/hosts.allow" y "/etc/hosts.deny", lo que vas a bloquear es el acceso a la maquina desde la red, con todos los servicios no solo Web.
La opcion PARANOID del hosts_access es para bloquear aquellas maquinas cuyo nombre DNS, no corresponde con la direccion IP, pero esto solo funciona si el "tcpd" fue compilado con esta misma opcion. A pesar de lo que pueda parecer, no usar esta opcion permite un mejor control del acceso a la maquina, pues PARANOID es demasiado restrictiva.
Puedes ver el manual para más información:
$ man 5 hosts_access
_ _ _ _
[] http://httpd.apache.org/docs/
[] http://httpd.apache.org/docs/misc/security_tips.html
_ _ _
Si utilizas "/etc/hosts.allow" y "/etc/hosts.deny", lo que vas a bloquear es el acceso a la maquina desde la red, con todos los servicios no solo Web.
La opcion PARANOID del hosts_access es para bloquear aquellas maquinas cuyo nombre DNS, no corresponde con la direccion IP, pero esto solo funciona si el "tcpd" fue compilado con esta misma opcion. A pesar de lo que pueda parecer, no usar esta opcion permite un mejor control del acceso a la maquina, pues PARANOID es demasiado restrictiva.
Puedes ver el manual para más información:
$ man 5 hosts_access
_ _ _ _
Me refería exactamente a eso, a bloquear el acceso a la maquina si no coinciden dns y dirección ip, ¿pero cómo puedo saber si el ecpd esta compilado como la opción paranoid?
Gracias por la respuesta, es justo lo que quería saber.
Gracias por la respuesta, es justo lo que quería saber.
La verdad a partir del binario "tcpd" seria difícil, y solo podrías realizar la prueba para verificar si la opción fue incluida. Es decir, si usas los RPMs o DEBs, etc. no veo otra forma para hacerlo, aunque es posible que exista.
Si usas una distribución basada en RPM, siempre hay disponible el archivo SRPM que contiene el código fuente, incluido el "Makefile" usado y con ese archivo podrías saber que opciones habilitaron al momento de la compilación.
Generalmente estos SRPMs vienen en el segundo CD, o uno marcado "Source".
Grupo USB-Linux
[] http://groups.yahoo.com/group/usb.linux
Si usas una distribución basada en RPM, siempre hay disponible el archivo SRPM que contiene el código fuente, incluido el "Makefile" usado y con ese archivo podrías saber que opciones habilitaron al momento de la compilación.
Generalmente estos SRPMs vienen en el segundo CD, o uno marcado "Source".
Grupo USB-Linux
[] http://groups.yahoo.com/group/usb.linux
