You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>APOSTILA</strong> <strong>GNU</strong>/<strong>DEBIAN</strong> <strong>AVANÇADO</strong><br />
“sshd”.<br />
Para testar as regras contidas neste arquivo, você poderá usar o utilitário<br />
“tcpdmatch”.<br />
O formato deste arquivo de configuração, é demonstrado a seguir:<br />
daemons : maquinas [:comando]<br />
Onde:<br />
daemons<br />
São os serviços que você deseja liberar o acesso a uma determinada maquina<br />
ou a um conjunto delas. Exemplos de daemons são: sshd, ftpd, indentd, etc.<br />
maquinas<br />
É o endereço IP, nome da maquina, ou em alguns casos, o domínio (iniciado<br />
pelo caractere “.”), que terá acesso aos daemons especificados pelo parâmetro explicado<br />
anteriormente.<br />
comandos<br />
É um parâmetro opcional que permite especificar um comando que será<br />
executado pelo shell “/bin/sh”, quando uma conexão recebida corresponder a uma<br />
determinada regra existente. Particularmente interessante quando o computador está<br />
sofrendo um ataque.<br />
Você poderá utilizar caracteres coringas como “*” e “?” para especificar nomes e<br />
endereços de maquinas, além das palavras chave “ALL”, “LOCAL”, “UNKNOWN”,<br />
“KNOWN”, “PARANOID” e “EXCEPT”. As palavras chave “ALL” e “EXCEPT”, também<br />
podem ser usadas no parâmetro “daemons”. Para entender o significado de cada uma<br />
das palavras chave, consulte a documentação através do comando “man hosts.allow”.<br />
Exemplos:<br />
ALL: ALL<br />
Libera o acesso a todos os daemons do sistema a qualquer maquina/domínio.<br />
sshd:10.15.15.15 ecelepar00001<br />
Libera o acesso ao daemon SSH “sshd” para as maquinas “10.15.15.15” e<br />
“ecelepar00001”.<br />
sshd ftpd: 10.* EXCEPT 10.15.15.15<br />
É necessário muito cuidado na observação desta regra. Ela libera o acesso aos<br />
daemons SSH “sshd” e FTP “ftpd” para todas as maquinas da rede “10.0.0.0/8”, com<br />
exceção para “10.15.15.15”, que ainda assim, pode ter seu acesso garantido, caso não<br />
exista uma regra explicita em “/etc/hosts.deny”, impedindo seu acesso ao sistema, já que<br />
por padrão, o acesso aos serviços é liberado.<br />
9.4.18. /etc/hosts.deny<br />
É um dos arquivos de controle de acesso a serviços de rede do <strong>GNU</strong>/Linux, assim<br />
como “/etc/hosts.allow”. Todas as regras contidas neste arquivo, tem o objetivo de proibir<br />
o acesso de uma ou mais maquinas a um determinado daemon da maquina local, função<br />
contrária daquela desempenhada por “/etc/hosts.allow”.<br />
O formato como o arquivo deve ser configurado e os parâmetros que podem ser<br />
usados na sua configuração, são exatamente os mesmos de “/etc/hosts.allow” (veja o<br />
tópico daquele arquivo para mais detalhes).<br />
É importante frisar aos leitores deste documento que, por padrão, o acesso as<br />
daemons da maquina local via rede são liberados, embora isso possa não ser possível<br />
por configurações particulares que o usuário fez em cada um deles. Portanto, caso se<br />
queira negar o acesso a determinado daemon, é necessário configurar apropriadamente<br />
este arquivo.<br />
PÁG.: 90