Um guia para os iniciantes no mundo do FreeBSDInstalando e configurando o TCP WRAPPERS no FreeBSD.
Muitas vezes precisamos ter um melhor controle sobre quem esta acessando nosso servidor e onde estes acessos se originam.
Neste caso uma das solucoes possiveis e utilizar o tcpd.Com o uso do tcpd voce podera monitorar melhor os acessos ao seu servidor, feitos atraves de: FINGER, FTP, TELNET, RLOGIN, RSH, EXEC, TFTP, TALK, etc. Alem de poder restringir quem podera acessar determinado servico, oque em muitos casos pode ser muito util.
Mas vamos a instalacao:
Instale o TCP Wrapper mais recente ( hoje 18/03/98 - a versao corrente e 7.6 ), usando a versao pre-compilada, disponivel no packages, ou compilando-o novamenteapartir de /usr/ports/security/tcp_wrappers.
Crie os banners com as mensagens que serao exibidas para usuario quando ele acessar algumservico protegido pelo tcpd. Para configura-los faca o seguinte:
a) Crie o diretorio /usr/local/etc/banners
b) Dentro deste diretorio crie os arquivos que vao conter seus avisos.
Por exemplo:
- para criar um banner para o servidor de telnet, crie o arquivo /usr/local/etc/banners/telnetd, contendo a mensagem a ser exibida ao usuario.
- para criar um banner para o pelo servidor de ftp, crie o arquivo /usr/local/etc/banners/ftpd, contendo a mensagem a ser exibida ao usuario.
- para criar um banner para o pelo servidor de finger, crie o arquivo /usr/local/etc/banners/fingerd, contendo a mensagem a ser exibida ao usuario.
O proximo passo sera criar/editar o arquivo /usr/local/etc/hosts.allow , para definir o uso dos banners ou para restringir o acesso a algum servico, por exemplo:
ALL: .pro-unix.org: spawn (echo "Acesso de %h usando %d." | sendmail root): DENY telnetd: ALL : banners /usr/local/etc/banners/fingerd: ALL : banners /usr/local/etc/banners/ftpd: ALL : banners /usr/local/etc/banners/
Este arquivo ira configurar o tcpd para negar todas as conexoes vindas de qualquer host dodominio .pro-unix.org, e enviar um e-mail ao root avisando da tentativa, vai permitir/logar todas as conexoes usando os servicos de telnet, finger, ftp, bem como exibir os respectivos banners no momento da conexaoe ira negar o acesso a todos os outros servicos configurados no inetd.conf para usar o tcpd e nao listados no hosts.allow.
Veja mais detalhes sobre como utilizar os arquivos /usr/local/etc/hosts.allow e /usr/local/etc/hosts.deny para restringir o acesso a um servico, usando tcpd, em:man hosts_access
Edite seu arquivo /etc/syslog.conf para ajustar a configuracao do syslogd.
No arquivo /etc/syslog.conf altere a linha:
*.notice;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
para:*.notice;kern.debug;lpr.info;mail.crit;news.err;auth.info /var/log/messages
Configure o inetd para usar tcpd para os servicos que voce desejar. Para isso edite o arquivo /etc/inetd.conf.
Por exemplo para os servicos de ftp, telnet e finger , as linhas originais do seu/etc/inetd.conf devem estar como as mostradas abaixo:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l -atelnet stream tcp nowait root /usr/libexec/telnetd telnetdfinger stream tcp nowait nobody /usr/libexec/fingerd fingerd -s
Para habilitar o uso do TCP WRAPPER para estes servicos, devemos alterar as linhas acima para:
ftp stream tcp nowait root /usr/local/libexec/tcpd ftpd -l -atelnet stream tcp nowait root /usr/local/libexec/tcpd telnetdfinger stream tcp nowait nobody /usr/local/libexec/tcpd fingerd -s
Recomendo que voce habilite o tcpd tambem para os servicos de rsh e rlogin, mas se voce nao for utiliza-los o ideal e desativa-los.
Reinicie syslogd e o inetd, para isso de um kill -HUP no pid deles.
Pronto o TCP WRAPPER ja esta instalado e configurado.
Se você possui alguma critica , duvida ou sugestão ,entre em contato pelo e-mail: edson.brandi@uol.com.br