Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

El uso de rlogin, rsh y rexec con PAM

Los servicios R como rexec, rsh, rcp y rlogin son muy inseguros, por ende no están habilitados por defecto en Red Hat Linux.

Sus fundamentos de seguridad se basan en la dirección hostname/IP de la máquina desde la que se conecta, la cual se puede falsificar con facilidad, utilizando técnicas como envenenamiento de DNS, comprometido de cualquier forma.

Si es absolutamente necesario ejecutar estos servicios, se debera de utilizar los TCP_WRAPPERS para restringir el acceso, no es mucho pero ayudará. También asegúrate de que se filtran con el fw, puesto que los TCP_WRAPPERS le permiten a un atacante ver que se están ejecutando, lo cual puede dar como resultado un ataque falsificado, algo contra lo que los TCP_WRAPPERS no se pueden defender si se hace correctamente. El acceso a varios servicios R se controla vía archivos rhosts, por lo general cada usuario tiene su propio archivo rhosts, por desgracia esto es susceptible a spoofing de paquetes.

El problema con los servicios r también estriba en que existe una pequeña brecha que se puede utilizar para modificar archivos, editar el archivo rhosts de un usuario (como el del root) es una sencilla forma de reventar ampliamente un sistema.

Si se necesitan herramientas de administración remotas que sean fáciles de usar y similares a rsh/etc, recomendaría utilizar el grupo de programas de herramientas de OpenSSH en su lugar o nsh (Network SHell), ambos soportan cifrado y un grado de seguridad mucho más alto.


Nota completa esta aquí.
El procedimiento completo para dar de alta los servicios R esta aquí.

Domingo Varela Y.
dvarela en linuxsc.net


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/20080306192205134
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.