Ir al contenido España-Español
HP.com España principal Productos y Servicios Soporte y Drivers Soluciones Cómo Comprar
» Contactar con HP
Más opciones
HP.com España principal
 Guía del administrador de sistemas HP-UX: Administración de la seguridad: HP-UX 11i versión 3 > Capítulo 5 Administración de la seguridad relativa al acceso remoto

El demonio inetd
» 

Documentación técnica

Libro completo en PDF
» Comentarios
Aquí empieza el contenido

 » Tabla de contenido

 » Glosario

 » Índice

spacerspacerspacer
spacer
spacer
  		 
 

El demonio de Internet, /usr/sbin/inetd, es el servidor maestro de muchos servicios de Internet.

El demonio inetd normalmente lo inicia automáticamente la secuencia de comandos /sbin/init.d/inetd como parte del proceso de inicio.

El demonio inetd controla las solicitudes de conexión de los servicios enumerados en el archivo de configuración /etc/inetd.conf y crea el servidor apropiado al recibir una solicitud. En otras palabras, los usuarios se conectan a los sistemas remotos utilizando un servicio de Internet como, por ejemplo, telnet. El demonio inetd determina si se permite una conexión de telnet desde el host antes de terminar la conexión. La información del host para permitir o denegar el acceso se ubica en el archivo /var/adm/inetd.sec.

El demonio inetd funciona del modo siguiente:

  1. Se inicia en el nivel de ejecución 2 durante el inicio del sistema. (Si el siguiente comando está en la secuencia de comandos de inicio del sistema: /sbin/init.d/inetd start)

  2. Comprueba el archivo /etc/inetd.conf para determinar los servicios que se van a prestar. Para obtener más información, consulte las páginas de manual de ftp(1) e inetd.conf(4).

  3. Comprueba el archivo /etc/services para determinar los puertos que se van a controlar para los servicios enumerados en el archivo /etc/inetd.conf. El archivo /etc/services asigna nombres de servicio a los números de puerto. Para obtener más información, consulte la página de manual de services(4).

  4. Recibe una solicitud de conexión a un servicio de Internet desde un cliente. Por ejemplo, alguien que ejecuta telnet.

  5. Consulta el archivo /var/adm/inetd.sec para determinar si el cliente tiene permiso de acceso. Para obtener más información, consulte la página de manual de inetd.sec(4).

  6. Registra la solicitud en el archivo /var/adm/syslog/syslog.log si se ha habilitado el registro. Para obtener más información, consulte la página de manual de syslogd(1M).

  7. Si inetd rechaza la conexión por razones de seguridad, la conexión se cierra.

  8. Si la solicitud de conexión es válida, inetd inicia un proceso del servidor para gestionar la solicitud de conexión válida. El proceso del servidor puede presentar otras características de seguridad además de inetd.

Seguridad del demonio inetd

El archivo /etc/inetd.conf es el archivo de configuración de inetd que enumera los servicios que el demonio de inetd puede iniciar. Cada servicio enumerado en el archivo /etc/inetd.conf debe aparecer también en el archivo /etc/services. El archivo /etc/services asigna nombres de servicio a los números de puerto. Cada número de puerto tiene un nombre de protocolo asociado como, por ejemplo, tcp o udp. Cada entrada del protocolo debe tener una entrada coincidente en el archivo /etc/protocols.

Las siguientes recomendaciones pueden hacer que inetd sea más seguro:

  • Habilite el registro de inetd en /etc/rc.config.d/netdaemons. Para obtener más información, consulte la página de manual de rc.config.d(4).

  • Examine los archivos /etc/inetd.conf y /etc/services en busca de cambios. Un usuario no autorizado puede haber obtenido acceso de usuario root y modificado los archivos /etc/services y /etc/inetd.conf. En /etc/inetd.conf, busque los nombres de los servicios que no se utilizan. En /etc/services, busque números de puerto que no estén registrados en la Internet Assigned Numbers Authority (IANA - Agencia de Asignación de Números de Internet) en http://www.iana.org. Compruebe que los números de puerto enumerados para los servicios de Internet coinciden con los números de puerto registrados en la agencia IANA.

  • Marque como comentario los servicios innecesarios, por ejemplo, finger en el archivo /etc/inetd.conf. El comando finger muestra la información sobre los usuarios sin necesidad de una contraseña.

  • Marque como comentario los servicios de las llamadas a procedimiento remoto (RPC) en el archivo /etc/inetd.conf.

  • Marque como comentario servicios «triviales internos» de inetd en/etc/inetd.conf para evitar ataques de denegación de servicio. Un usuario malintencionado puede sobrecargar inetd con solicitudes (generador de caracteres) de chargen. Para obtener más información, consulte las páginas de manual de inetd(1M) e inetd.conf(4).

Denegación o concesión de acceso mediante el archivo /var/adm/inetd.sec

Además de configurar el archivo /etc/inetd.conf, puede configurar un archivo de seguridad opcional denominado /var/adm/inetd.sec para restringir el acceso a los servicios que inicia inetd. El archivo /var/adm/inetd.sec enumera los hosts a los que se concede o deniega acceso a cada servicio. Para obtener más información, consulte la página de manual de inetd.conf(4).

Por ejemplo:

login allow 10.3-5 192.34.56.5 ahost anetwork

login deny 192.54.24.5 cory.example.edu.testlan



Descripción general de Internet Services y los servicios de acceso remoto
  		 


Protección contra la simulación con TCP Wrappers  
Versión para imprimir
Declaración de privacidad El uso de este sitio implica la aceptación de sus términos de uso
© 2008 Hewlett-Packard Development Company, L.P.