Para protegerse contra cualquier ataque que pueda lanzar alg�n usuario manipulando estas opciones, se sugiere que establezca un par de valores predeterminado en el fichero global /etc/ppp/options, tal como los mostrados en el fichero de ejemplo en Secci�n 8.3,” al principio de este cap�tulo. Algunos de ellos, como los de las opciones de autentificaci�n, no pueden ser despu�s modificados por el usuario, as� que proporcionan una razonable protecci�n contra las manipulaciones. Una opci�n importante que proteger es la opci�n connect. Si pretende permitir a usuarios no root invocar pppd para conectar a Internet, deber�a siempre a�adir las opciones connect y noauth al fichero de opciones globales /etc/ppp/options. Si no hace esto, los usuarios ser�n capaces de ejecutar ordenes arbitrarias con privilegios de root especificandolas como argumento del pppd en la orden de connect o en sus ficheros de opciones personales.
Otra buena idea es restringir qu� usuarios pueden ejecutar pppd creando un grupo en /etc/group e introducir s�lo aquellos usuarios que usted desea que tengan la habilidad de ejecutar el demonio PPP. Despues deber�a cambiar la propiedad de grupo del demonio pppd a ese grupo y quitar los privilegios de ejecuci�n globales. Para hacer esto, asumiendo que ha llamado a su grupo dialout, podria usar algo como esto:
# chown root /usr/sbin/pppd # chgrp dialout /usr/sbin/pppd # chmod 4750 /usr/sbin/pppd |
Por supuesto, tambi�n tiene que protegerse de los sistemas con los que habla PPP. Para evitar que otros ordenadores puedan hacerse pasar por quien no son, debe utilizar siempre alg�n tipo de autentificaci�n con el otro extremo de la comunicaci�n. Adem�s, no deber�a permitir a ordenadores desconocidos usar cualquier direcci�n IP que elijan, sino restringirlas a unas pocas. La siguiente secci�n tratar� sobre estos asuntos.