Re: [LUG.ro] Re: [LUG.ro] Denegación de servicio en pop3 por mala configuración en inetd.conf

Tue, 05 Dec 2006 09:14:05 -0800 

El Martes 05 Diciembre 2006 12:28, Horacio Castellini escribió:
> Me extraña.... basicamente se aconseja nunca se dejar al inetd para
> que atienda solicitudes masivas, sino que se deja al demonio que las
> atienda...


Depnde para que, estoy de acuerdo en servicios como sendmail el cual le llegan 
solicitudes de cualquier parte, pero con un pop3 interno, como es este caso 
en particular, no hace falta. No tenes que andar lidiando con configuraciones 
para cada uno de los servicios (en cuanto a como son atendidos).

> Como por ejemplo el sendmail... uno puede activarlo por inetd, pero si
> debés atender mas de 10 solicitudes el manual te recomienda que lo
> ejecutes como demonio sin pasar por el inetd. Ya que lo dejás
> tontorulo más si debés extremar las medidas de seguridad con el
> tcpwaper!!
> Que veo que no lo usas y confias en la solidez del servidor 
> pop.

No es un problema del servidor pop3. El problema es el de la configuración por 
defecto del inet.d y ese es el espiritu de la nota.

Por supuesto que para una mayor cantidad de peticiones podemos querer usar al 
servidor de pop3 atendiendo directamente el puerto en lugar que se encargue 
el inet.d, pero este no es el caso. 

Lo que quise mostrar con esta medida es como se puede hacer una DoS por la 
simple mala configuración del inet.d.


>
> Reiniciar el inetd cada 10 minutos puede ser una solución de
> emergencia al estilo la "gran window". Pero seguro que se debe existir
> otras más profeciona

Si, puede sonar a una solución poco profecional. Es verdad  y pienso lo mismo, 
pero es una solución viable y de simple configuración para cualquiera que 
sepa usar el vi. Consume muy pocos recursos la recarga y te protege de una 
caida del inet.d. KISS principle ;)

Saludos.-

-- 

Sebastián D. Criado - scriado{en}ciudad.com.ar
L.U.G.R.o - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
-------------------------------------------------------------------
"Si el Universo fuera un programa estaría hecho en C, y correría sobre
un sistema UNIX"
                                                   Anónimo.

Attachment: pgpSAM7Ya1JmQ.pgp
Description: PGP signature

Responder a