Product SiteDocumentation Site

5.5. Seguridad en el acceso de impresión (El asunto de lpd y lprng)

Imagine, que usted llega al trabajo, y la impresora está botando interminables cantidades de papel porque alguien está negando el servicio de linea de su demonio de impresión. ¿No es terrible?
En cualquier arquitectura de impresión Unix, tiene que haber la forma de enviar los datos de los clientes a los servidores de impresión. En el lpr ylp tradicional, el comando del cliente es copiado o se hace un enlace simbólico de los datos en el directorio de cola (por lo cual usualmente estos programas son SUID o SGID).
Para evitar algunos asuntos usted debe mantener seguros, los servidores de impresión. Esto significa que usted necesita configurar su servicio de impresión para que solo se permita la conexión del conjunto de servidores confiables. Para hacer esto es necesario, añadir los servidores a los que se les va a permitir imprimir en /etc/hosts.lpd.
Sin embargo, incluso si usted hace esto, el demonio lpr acepta las conexiones entrantes en el puerto 515 de cualquier interfaz. Deberia considerar hacer una regla de cortafuegos para las conexiones de red/servidor a las cuales no se permite la impresión (el demoniolpr no puede ser limitado a escuchar únicamente a una dirección IP dada).
Lprng se prefiere en lugar de lpr porque este puede ser configurado para hacer el control de acceso a IP, ademas se puede especificar cual interfaz va a emplear (aunque sea un poco extraño).
Si está usando el servicio de impresión de su sistema, pero solo localmente, no querrá compartir este servicio en la red. Puede considerar el uso de otros sistemas de impresión, como el servicio proporcionado en cups http://pdq.sourceforge.net/ el cual se basa en el permiso de un usuario del dispositivo/dev/lp0
En cups, los datos de impresión se transfieren al servidor vía el protocolo http. Esto significa que el programa del cliente no necesita ningún privilegio especial, solamente requiere que el servidor esté escuchando sobre un puerto cualquiera.
Sin embargo, si usted quiere usar cups, pero solo localmente usted puede configurar esto para escuchar a la interfaz loopback cambiando /etc/cups/cupsd.conf:
Listen 127.0.0.1:631
Hay muchas otras opciones de seguridad, como por ejemplo permitir o negar redes y servidores en este archivo de configuración. Sin embargo si no los necesita, debería limitar posibilidad de escuchar el puerto. Cups también ofrece documentación a través del puerto HTTP, si no quiere revelar información potencialmente útil para agresores externos (estando abierto el puerto), también agregue:
<Location />
 Order Deny,Allow
 Deny From All
 Allow From 127.0.0.1
</Location>
Este archivo de configuración puede ser modificado para añadir muchas caracteristicas incluyendo certficados SSL/TLS y criptografía. Los manuales estan disponibles en http://localhost:631/ or at cups.org.
ARREGLAME: Add more content (the article on http://www.rootprompt.org provides some very interesting views).
ARREGLAME: Check if PDG is available in Debian, and if so,suggest this as the preferred printing system.
ARREGLAME: Check if Farmer/Wietse has a replacement for printer daemon and if it's available in Debian.