Control de acceso en Centos 7 utilizando TCP Wrapper

TCP Wrapper es un software que actúa como un sistema de seguridad para controlar el acceso a servicios de red en sistemas Unix-like. Con esta herramienta podemos filtrar y controlar las conexiones de red a servicios específicos, como SSH, FTP, telnet, etc… usando reglas.

En este artículo vamos a configurar TCP Wrapper en Centos 7, algunos comandos podrian variar en otras disitribcuiones de Linux, pero la dinámica es la misma.

Comprobamos si está instalado en el sistema #

En la mayoría de las distribuciones de Linux, como CentOS esta herramienta no suele instalarse por defecto, tenemos que ser nosotros quienes las instalemos manualmente.

Ejecutamos en la terminal:
rpm -q tcp_wrappers

Si tenemos la herramienta/paquete instalado nos mostrará su version.

Otras forma de de verificar si está instalado es listar los archivos relacionados con la herramienta
ls /etc/hosts.allow /etc/hosts.deny

Si estos archivos existen en tu sistema, es probable que TCP Wrapper esté instalado, ya que son utilizados por TCP Wrapper para definir las reglas de acceso.

Instalación de la herramienta #

En CentOS 7 tenemos que utilizar el gestor de paquetes yum:

sudo yum install tcp_wrappers

*En algunas otras distribuciones se puede llamar tcpd en vez de tcp_wrappers

Configuración #

Ahora vamos a ver meramente la configuración de esta herramienta que se basa en dos archivos:

Para que sea muy fácil de entender vamos a permitir el acceso a nuestro servidor SOLO Y EXCLUSIVAMENTE por SSH y más específicamente a través de la IP pública: X.X.X.X y Z.Z.Z.Z, que son las dos IPs públicas de nuestra oficina.

MUY IMPORTANTE: Primero se edita el hosts.allow, y después el hosts.deny. Siempre se deja una Shell de root abierta hasta terminar las pruebas.

Primero editamos el archivo (hosts.allow):

sudo nano /etc/hosts.allow

Al final del documento agregamos:

sshd: X.X.X.X, Z.Z.Z.Z

Guardamos los cambios, abrimos otra terminal sin cerrar esta primera y en la nueva terminal editamos el archivo (hosts.deny):

sudo nano /etc/hosts.deny

Al final del documento agregamos:

ALL: ALL

De esta forma tan sencilla habremos limitado el acceso a nuestro servidor por SSH y por las dos IPs públicas indicadas.

Información adicional #

A través de la herramienta netstat podemos ver los puertos que están escuchando

netstat -nalp | grep 'LISTEN ' | grep '0 0.0.0.0'

Pero aunque nos muestre que esta escuchando en el 22 (sshd), esto quiere decir que está disponible. Entonces la mejor prueba es conectarse directamente para ver si podemos acceder o no.

ssh user@X.X.X.X.

 
1
Kudos
 
1
Kudos

Now read this

Una fuente correcta puede salvarnos un diseño web

Elegir una fuente idónea puede solucionarnos el diseño de una web, ya que podemos jugar con las propiedades CSS de fuentes (espaciado entre letras, bold, interlineado, contraste, alineación, puntos, uppercase…). Hay que saber compaginar... Continue →