LINUXADM (2)

[ Pobierz całość w formacie PDF ]
.Omówimy to w tym podrozdziale.Zapewnienie kont UUCPNa pocz�tek musisz skonfigurowa� konta u�ytkownika, które pozwol� zdalnymoSrodkom logowa� si� do twojego systemu i realizowa� po��czenie UUCP.Musiszstworzy� oddzieln� nazw� dla ka�dego systemu, który b�dzie si� z tob� ��czy�.Przykonfigurowaniu konta dla systemu pablo mo�esz wykorzysta� nazw� u�ytkownikaUpablo.Nie ma tutaj �adnych ustalonych zasad tworzenia nazw u�ytkowników,a wi�c mog� by� dowolne; wygodniej jest, je�eli nazwa u�ytkownika wi��e si� w ja-kiS sposób z nazw� hosta zdalnego.W przypadku systemów, które wdzwaniaj� si� przez port szeregowy, zwykle doda-jesz konta w pliku /etc/passwd.Dobrze jest umieSci� wszystkie identyfikatory UUCPw specjalnej grupie, na przyk�ad uuguest.Katalog macierzysty kont powinien by�ustawiony na publiczny katalog bufora /var/spool/uucppublic.Pow�oka logowaniamusi by� ustawiona na uucico.Aby obs�u�y� systemy UUCP ��cz�ce si� do ciebie przez TCP, musisz skonfigurowa�inetd tak, aby obs�ugiwa� po��czenia przychodz�ce na portuucp.W tym celu, dodajesi� poni�szy wiersz do pliku /etc/inetd.conf*:uucp stream tcp nowait root /usr/sbin/tcpd /usr/lib/uucp/uucico -lOpcja l powoduje, �e uucico przeprowadza w�asn� procedur� uwierzytelniania.Pytao nazw� u�ytkownika i has�o, tak jak standardowy program login, ale wykorzystujeswoj� prywatn� baz� hase�, zamiast /etc/passwd.Prywatny plik hase� nazywa si�/etc/uucp/passwd i zawiera po��czone w pary: nazwy u�ytkowników i has�a:Upablo IslaNegraUlorca co'rdobaPlik ten musi by� w�asnoSci� uucp i mie� prawa dost�pu 600.Czy ta baza danych wygl�da na tyle sensownie, byS chcia� jej u�ywa� tak�e dozwyk�ego logowania przez ��cza szeregowe? OczywiScie, w pewnych sytuacjachmo�esz.Potrzebujesz jedynie programu getty, który w przypadku u�ytkownikówUUCP ma mo�liwoS� wywo�ania uucico zamiast /bin/login**.Wywo�anie uucico wy-gl�da tak:/usr/lib/uucp/uucico -l -u u�ytkownik* Zauwa�, �e tcpd zwykle ma tryb 700, a wi�c musisz go wywo�ywa� jako u�ytkownik root, a nie uucp.tcpd jest omówione dok�adniej w rozdziale 12, Wa�ne funkcje sieciowe.** Dobrze nadaje si� do tego mgetty Gerta Doeringa.Dzia�a na ró�nych platformach, w��cznie z SCO Unix,AIX, SunOS, HP-UX i Linuksem.Konfigurowanie systemu do przyjmowania po��cze� komutowanych 293Opcja u mówi, by uucico u�ywa� zadanej nazwy u�ytkownika, zamiast o ni� pyta�*.Aby zabezpieczy� twoich u�ytkowników UUCP przed dzwoni�cymi, którzy mogli-by poda� fa�szyw� nazw� systemu i przej�� ca�� poczt�, powinieneS doda� poleceniacalled-login do ka�dego wpisu systemu w pliku sys.WyjaSniamy to w nast�pnympodrozdziale.Zabezpieczanie si� przed kanciarzamiG�ównym problemem UUCP jest to, �e dzwoni�cy system mo�e poda� fa�szyw� na-zw�.Po zalogowaniu si� system podaje nazw�, ale serwer nie ma sposobu na jejsprawdzenie.Dlatego atakuj�cy móg�by zalogowa� si� na swoje konto UUCP, uda-wa� kogoS innego i pobra� poczt� przeznaczon� dla innego oSrodka.Jest toszczególnie problematyczne, gdy oferujesz logowanie anonimowe, gdzie has�o jestpublicznie dost�pne.Musisz broni� si� przed oszustami.Ka�dy system powinien u�ywa� jakiejS nazwyu�ytkownika podanej wcalled-loginw pliku sys.Przyk�adowy wpis móg�bywygl�da� tak:system pablo.typowe opcje.called-login UpabloRezultat jest taki, �e gdy system si� zaloguje i twierdzi, �e nazywa si� pablo, uucicosprawdza, czy zalogowa� si� jako Upablo.Je�eli nie, system dzwoni�cy jest wy��cza-ny, a po��czenie zrywane.Dopisywanie polecenia called-login do ka�dego wpisusystemowego w twoim pliku sys powinno wejS� ci w krew.Wa�ne jest, byS zrobi� todla wszystkich systemów z twojego pliku sys, bez wzgl�du na to, czy kiedykolwiekb�d� dzwoni�y do twojego oSrodka, czy nie.Dla tych, które nigdy nie dzwoni�, po-winieneS ustawi�called-loginna jak�S ca�kowicie fa�szyw� nazw� u�ytkowni-ka, jak neverlogsin.B�dx paranoikiem: sprawdzanie licznika po��cze�Innym sposobem ochrony swojego systemu i wykrywania oszustów jest u�ycie licz-nika wywo�a�.Pomaga on zabezpieczy� si� przed intruzami, którzy w jakiS sposóbzdobyli has�o i mog� si� zalogowa� do twojego systemu UUCP [ Pobierz całość w formacie PDF ]