Sys Admin (ep. 02, parte 7) - SSH (hosts.allow e hosts.deny)
Outro método clássico para gerir acesso SSH (e outros) é através da uso de
dois ficheiros de configuração simples, mas poderosos: hosts.allow e
hosts.deny. Esses ficheiros fazem parte do sistema TCP Wrappers, um mecanismo
de controlo de acesso baseado em host que fornece uma forma directa para
permitir ou negar conexões a serviços que suportam esta estrutura. Embora nem
todos os serviços modernos sejam compatíveis com este método, mas para aqueles
que são se beneficiam de uma camada de segurança descomplicada que opera
independentemente dos controlos de acesso integrados do serviço, tornando-o
uma ferramenta valiosa para administradores que buscam implementar uma
verificação de segurança adicional ou uma alteração rápida na regra de acesso
sem modificar a configuração principal do serviço.
Este método funciona com base num princípio simples: primeiro, verifica o ficheiro hosts.allow para encontrar uma regra correspondente. Se encontrar uma, o acesso é concedido. Se não encontrar nenhuma correspondência, verifica o ficheiro hosts.deny para encontrar uma regra correspondente. Caso tenha uma, o acesso é bloqueado. Se não encontrar nenhuma correspondência em nenhum dos ficheiros, o acesso é permitido por padrão.
Este método é visto como uma camada de defesa complementar conveniente, e não como um firewall principal pelo facto de apresentar certas limitações, por isso para uma proteção abrangente, a melhor prática é utilizá-lo em conjunto com um firewall stateful robusto.
Este método funciona com base num princípio simples: primeiro, verifica o ficheiro hosts.allow para encontrar uma regra correspondente. Se encontrar uma, o acesso é concedido. Se não encontrar nenhuma correspondência, verifica o ficheiro hosts.deny para encontrar uma regra correspondente. Caso tenha uma, o acesso é bloqueado. Se não encontrar nenhuma correspondência em nenhum dos ficheiros, o acesso é permitido por padrão.
Este método é visto como uma camada de defesa complementar conveniente, e não como um firewall principal pelo facto de apresentar certas limitações, por isso para uma proteção abrangente, a melhor prática é utilizá-lo em conjunto com um firewall stateful robusto.
Comentários