summaryrefslogtreecommitdiffstats
path: root/tde-i18n-es/docs/tdenetwork/kppp/security.docbook
diff options
context:
space:
mode:
Diffstat (limited to 'tde-i18n-es/docs/tdenetwork/kppp/security.docbook')
-rw-r--r--tde-i18n-es/docs/tdenetwork/kppp/security.docbook138
1 files changed, 138 insertions, 0 deletions
diff --git a/tde-i18n-es/docs/tdenetwork/kppp/security.docbook b/tde-i18n-es/docs/tdenetwork/kppp/security.docbook
new file mode 100644
index 00000000000..2fc02195fde
--- /dev/null
+++ b/tde-i18n-es/docs/tdenetwork/kppp/security.docbook
@@ -0,0 +1,138 @@
+<chapter id="security">
+<title
+>&kppp; y los asuntos de seguridad</title>
+
+<para
+>Esta sección está mayormente indicada para los administradores (<systemitem
+>root</systemitem
+>) con importantes demandas en seguridad, o simplemente a quién tenga un interés técnico. No es necesario leerlo si únicamente utiliza &Linux; a nivel doméstico, aunque siempre puede aprender algo.</para>
+
+<sect1 id="security-restricting-access">
+<title
+>Restricción de acceso a &kppp;</title>
+
+<para
+>Un administrador de sistema puede querer restringir el acceso a según quién utilice &kppp;. Hay dos maneras de acometer esto.</para>
+
+<sect2 id="security-group-permissions">
+<title
+>Restricción de acceso con permisos de grupo</title>
+
+<para
+>Cree un nuevo grupo (quizá llamado <systemitem
+>dialout</systemitem
+> o similar), y ponga a todos los usuarios a los que se les permita usar &kppp; en ese grupo. Después teclee en la línea de órdenes:</para>
+
+<screen
+><prompt
+>#</prompt
+> <userinput
+><command
+>chown</command
+> <option
+>root.dialout</option
+> <filename
+>/opt/kde/bin/kppp</filename
+></userinput>
+<prompt
+>#</prompt
+> <userinput
+><command
+>chmod</command
+> <option
+>4750</option
+> <filename
+>/opt/kde/bin/kppp</filename
+></userinput
+>
+</screen>
+
+<para
+>Esto asume que &kde; está instalado en <filename class="directory"
+> /opt/kde/</filename
+> y que el nuevo grupo se llama <systemitem
+>dialout</systemitem
+>.</para>
+
+</sect2>
+
+<sect2 id="security-kppps-way">
+<title
+>Restricción de acceso por el método de &kppp;</title>
+
+<para
+>Antes de hacer nada, &kppp; comprueba si hay un archivo llamado <filename
+>/etc/kppp.allow</filename
+>. Si dicho archivo existe, sólo les estará permitido llamar a los usuarios nombrados en el mismo. El archivo debe ser legible (pero por supuesto <emphasis
+>NO</emphasis
+> puede ser escrito). Sólo se reconocen los nombres de usuario, así que no se pueden utilizar identificadores de usuario (<acronym
+>UID</acronym
+>) en este archivo. Este es un pequeño ejemplo:</para>
+
+<screen
+># /etc/kppp.allow
+# comment lines like this are ignored
+# as well as empty lines
+
+fred
+karl
+daisy
+</screen>
+
+<para
+>En el ejemplo anterior, sólo los usuarios <systemitem
+>fred</systemitem
+>, <systemitem
+>karl</systemitem
+> y <systemitem
+>daisy</systemitem
+> pueden efectuar llamadas, así como cualquier usuario con un <acronym
+>UID</acronym
+> de 0 (de modo que no hay que incluir a root específicamente).</para>
+
+</sect2>
+
+</sect1>
+
+<sect1 id="security-why-suid">
+<title
+>¿&kppp; tiene el bit <acronym
+>SUID</acronym
+> activo? ¿Qué pasa con la seguridad?</title>
+
+<para
+>Es virtualmente imposible escribir un sistema de llamadas telefónicas sin el bit <acronym
+>SUID</acronym
+> que sea al mismo tiempo fiable y sencillo de utilizar para los usuarios inexpertos. &kppp; aborda los problemas de seguridad con la siguiente estrategia.</para>
+
+<itemizedlist>
+<listitem>
+<para
+>Inmediatamente después de iniciarse, &kppp; se divide.</para>
+</listitem>
+<listitem>
+<para
+>El proceso maestro, que se ocupa de todas las operaciones del entorno gráfico (como la interacción con el usuario), abandona el estado <acronym
+>SUID</acronym
+> tras la división, y se ejecuta con privilegios de usuario normal.</para>
+</listitem>
+<listitem>
+<para
+>El proceso esclavo mantiene sus privilegios, y es el responsable de todas las acciones que necesitan privilegios de <systemitem
+>root</systemitem
+>. Para mantener esta parte segura, aquí no se utiliza ninguna llamada a las bibliotecas de &kde; o &Qt;, sólo se hacen llamadas a bibliotecas sencillas. El código fuente de este proceso es corto (unas 500 líneas) y está muy bien documentados, así que es fácil buscar agujeros de seguridad.</para>
+</listitem>
+<listitem>
+<para
+>Los procesos maestro y esclavo se comunican a través del <acronym
+>IPC</acronym
+> estándar de &UNIX;.</para>
+</listitem>
+</itemizedlist>
+
+<para
+>Un agradecimiento especial a Harri Porten por escribir este excelente segmento de código. Se pensaba que era imposible, pero el lo resolvió en una semana.</para>
+
+</sect1>
+
+</chapter>