Segurança no Arquivo /etc/inetd.conf
postado por nightnux - comentários
0 -
enviar ! 
Gerhard Mourani
Linux na rede - http://www.linuxnarede.com.br
O arquivo "/etc/inetd.conf"
O inetd, também chamado de "super servidor", faz a carga de um programa de rede com base em uma solicitação de rede. O arquivo "inetd.conf" diz ao inetd quais portas ouvir e quais servidores iniciar para cada porta. A primeira coisa que você precisa verificar, assim que você colocar o seu servidor Linux em QUALQUER rede, é que serviços você precisa oferecer.
Serviços que você não precisa oferecer devem ser desabilitados e desinstalados para
que você tenha uma coisa a menos com que se preocupar e para que atacantes tenham um
lugar a menos onde procurar por uma brecha. Dê uma olhada em seu arquivo
"/etc/inetd.conf" e verifique que serviços estão sendo oferecidos pelo seu programa inetd.
Desabilite os que você não precisa, comentando-os (adicionando um # no início da linha) e,
depois, enviando um comando SIGHUP ao processo inetd para refletir a atualização do
arquivo inetd.conf.
Passo 1
Altere as permissões deste arquivo para 600.
[root@deep /]# chmod 600 /etc/inetd.conf
Passo 2
CERTIFIQUE-SE de que o proprietário seja root.
[root@deep /]# stat /etc/inetd.conf
saida:
File: "/etc/inetd.conf"
Size: 2869 Filetype: Regular File
Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Device: 8,6 Inode: 18219 Links: 1
Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)
Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)
Change: Mon Sep 20 10:22:44 1999(00002.06:12:16)
Passo 3
Edite o arquivo inetd.conf (vi /etc/inetd.conf) e desabilite serviços como:
ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth e outros, a
menos que você planeje usá-los. Se estiverem desligados, o risco será muito menor.
arquivo /etc/inetd.conf
# Para re-ler este arquivo após as alterações, simplesmente digite 'killall -HUP inetd'
#
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#discard stream tcp nowait root internal
#discard dgram udp wait root internal
#daytime stream tcp nowait root internal
#daytime dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
#time stream tcp nowait root internal
#time dgram udp wait root internal
#
# Estes são serviços padrão
#
#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
#
# shell, login, exec, comsat e talk são protocolos BSD
#
#shell stream tcp nowait root /usr/sbin/tcpd in.rshd
#login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
#comsat stream tcp nowait root /usr/sbin/tcpd in.comsat
#talk dgram udp wait root /usr/sbin/tcpd in.talkd
#ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd
#dtalk stream tcp nowait nobody /usr/sbin/tcpd in.dtalkd
#
# Serviços de correio pop e imap
#
#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
#imap stream tcp nowait root /usr/sbin/tcpd imapd
#
# O serviço Internet UUCP
#
#uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l
# O serviço tftp é fornecido primariamente para boot remoto. A maioria dos sites
# rodam isto somente em máquinas que funcionam como "servidores de boot".
# Não descomente isto, a menos que "precise".
#
#tftp dgram udp wait root /usr/sbin/tcpd in.tftpd
#bootps dgram udp wait root /usr/sbin/tcpd bootpd
#
# finger, systat e netstat fornecem informações de usuários que podem ser valiosas
# para "crackers de sistema" em potencial. Muitos sites preferem desabilitar alguns
# ou todos esses serviços para melhorar a segurança
#
#finger stream tcp nowait root /usr/sbin/tcpd in.fingerd
#cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd
#systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auWwx
#netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet
#
# Autenticação
#
#auth stream tcp nowait nobody /usr/sbin/in.identd in.identd -l -e -
o
#
# Fim do inetd.conf
Observação:
Não esqueça de enviar um sinal SIGHUP ao seu processo inetd (killall -HUP inetd)
após fazer as alterações em seu arquivo inetd.conf. Os serviços que você ativa em
um determinado host dependem das funções que você quer que o host desempenhe.
As funções poderiam suportar o serviço de rede selecionado, outros serviços
hospedados neste computador, ou desenvolvimento e manutenção do sistema
operacional e das aplicações.
[root@deep /]# killall -HUP inetd
Passo 4
Uma outra medida de segurança que você pode tomar para tornar seguro o arquivo
"inetd.conf" é configurá-lo com atributo de imutável, usando o comando chattr.
" Para tornar o arquivo imutável, simplesmente execute o comando:
[root@deep /]# chattr +i /etc/inetd.conf
Isto impedirá quaisquer alterações (acidentais ou não) do arquivo "inetd.conf". Um
arquivo com o atributo "i" setado não pode ser modificado, deletado ou renomeado,
nenhum link pode ser criado para este arquivo e nenhum dado pode ser gravado
nele. A única pessoa que pode setar ou resetar este atributo é o superusuário root.
Caso, mais tarde, você queira modificar o arquivo inetd.conf, você precisará resetar
o flag de imutável.
" Para resetar o flag de imutável, simplemente execute o seguinte comando:
[root@deep /]# chattr -i /etc/inetd.conf
|
