Ir al contenido España-Español
HP.com España principal Productos y Servicios Soporte y Drivers Soluciones Cómo Comprar
» Contactar con HP
Más opciones
HP.com España principal
 Distributed Systems Administration Utilities: Guía del usuario > Capítulo 2 Sincronización de la configuración

Notas sobre la seguridad
» 

Documentación técnica

Libro completo en PDF
» Comentarios
Aquí empieza el contenido

 » Tabla de contenido

 » Índice

spacerspacerspacer
spacer
spacer
  		 
 

cfengine presenta muchas características de seguridad que abarcan desde parámetros para controlar los ataques de denegación de servicio a listas de control de acceso que impiden a los clientes administrados obtener acceso a los directorios de archivos de referencia en el servidor. Para obtener detalles sobre las características de seguridad de cfengine, consulte el manual de referencia ubicado en /opt/dsau/doc/cfengine/. Los temas de seguridad analizados a continuación abarcan:

  • Intercambio de claves

  • Uso del puerto de red

  • Cifrado

  • Alertas de suma de comprobación

Intercambio de claves

En todos los ejemplos de intercambio de claves mostrados hasta ahora se ha utilizado la utilidad scp para transferir sin riesgos la clave pública del servidor maestro al cliente administrado y la clave pública del cliente administrado al servidor maestro. Este esquema aporta el máximo nivel de seguridad, pero puede resultar inconveniente en determinadas situaciones. Otras alternativas de distribución de claves incluyen las siguientes:

  • Al conectar con un cliente nuevo, cfrun tiene un modo interactivo semejante a ssh, en el que se le pide al administrador que acepte la clave del sistema remoto. Por ejemplo:

    cfrun(0): .......... [ Hailing remote-host.abc.xyz.com ] .......... 
WARNING - You do not have a public key from host remote-host.abc.xyz.com =
192.10.25.12 
Do you want to accept one on trust? (yes/no)
-> yes
cfrun:nombre_servidor_maestro: Trusting server identity and willing to accept key
from remote-host.abc.xyz.com=192.10.25.12

  • En el caso de una cantidad grande de clientes nuevos, este modo interactivo puede ser ineficaz. cfrun admite una opción -T que le indica a cfengine que confíe en todas las claves nuevas de los sistemas host enumerados en cfrun.hosts.

  • cfservd.conf admite una cláusula de control TrustKeysFrom. Por ejemplo:

    control:
TrustKeysFrom = ( 128.39.89.76 ) # Un host de confianza
TrustKeysFrom = ( 128.39.89.76/24 ) # Una subred de confianza

    Se confiará implícitamente en el sistema host o direcciones de subred enumerados y sus claves se aceptarán automáticamente.

Todas estas alternativas al intercambio de claves deben emplearse con suma precaución y sólo en un entorno seguro donde la LAN sea de confianza y los sistemas host remotos también lo sean. Una vez aceptada una clave pública, no se actualizará a menos que se elimine manualmente en el directorio /var/opt/dsau/cfengine/ppkeys del servidor maestro o que se sustituya manualmente por una clave nueva, o que el asistente csync_wizard se ejecute para actualizarla.

Uso del puerto de red csync

cfservd utiliza el puerto TCP 5308 por defecto. Puede darle instrucciones a cfagent para que conecte con cfservd mediante otro puerto especificando un puerto en el archivo cfrun.hosts. Por ejemplo:

host1.abc.xyz.com # Utilizar puerto estándar
host2.abc.xyz.com # Utilizar puerto estándar
host3.abc.xyz.com:4444 	# Utilizar el puerto 4444

Asimismo, cfengine aceptará un puerto tcp cfengine definido en /etc/services. Hay cambios correspondientes en /etc/services.

Cifrado

En general, el tráfico de transferencia de archivos entre el servidor maestro y un cliente administrado no se cifra. Para muchos archivos de configuración relacionados con la administración de sistemas esto es aceptable. Para determinados archivos, es deseable una transferencia de archivos cifrada. La acción de copia en cfagent.conf tiene una opción «encrypt = true» para cifrar el archivo especificado. Para conocer opciones de cifrado adicionales, consulte el manual de referencia de cfengine ubicado en /opt/dsau/doc/cfengine.

Alertas de suma de comprobación

cfengine tiene una característica de alerta de suma de comprobación. Para supervisar los cambios efectuados en la suma de comprobación de un archivo, dé los siguientes pasos:

  • Agregue la siguiente estrofa en /var/opt/dsau/cfengine_master/inputs/cfagent.conf:

    ChecksumUpdates = ( “on” )

  • En la secuencia de acción «files» de cfagent.conf, agregue las opciones checksum = md5 o checksum = sha para los archivos que han de supervisarse. Por ejemplo:

    files:
class::
/etc/example
mode = 644
checksum = md5

    Tenga en cuenta que esta opción de suma de comprobación difiere de la opción checksum = true utilizada en la secuencia de acción de copia («copy»). Dicha opción le indica a cfengine que utilice una suma de comprobación en lugar de marcas de hora al decidir si los archivos tienen que copiarse.

cfagent crea la base de datos de suma de comprobación en el cliente si aún no existe. Cuando ChecksumUpdates se define en «on» o «true», la suma de comprobación actual para los archivos supervisados se agrega a la base de datos de suma de comprobación o se actualiza en la misma. Después de esta ejecución inicial para ocupar la base de datos de suma de comprobación, cambie ChecksumUpdates a «off». Al llegar a este punto, cualquier cambio realizado en una suma de comprobación de un archivo supervisado provoca una advertencia de seguridad. Por ejemplo:

host1: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
host1: SECURITY ALERT: Checksum for /etc/example changed!
host1: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


Configuración de cfengine
  		 


Deshabilitación del uso de cfengine  
Versión para imprimir
Declaración de privacidad El uso de este sitio implica la aceptación de sus términos de uso
© Hewlett-Packard Development Company, L.P.