TCP_Wrappers
简介
TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd,telnet。
工作原理
TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。
TCP_Wrappers的使用
TCP_Wrappers的使用主要是依靠两个配置文件/etc/hosts.allow, /etc/hosts.deny,用于拒绝和接受具有TCP_Wrappers控制全的程序,详细信息具体可以查看man帮助,这里我们就做简单的演示和使用(man 5 hosts_access, man 5 hosts_options)
要说明的是当我们启动一个受控制的软件的时候,比如ssh,
不过在刚开始的时候,/etc/hosts.allow,/etc/hosts.deny什么都没有添加,此时没有限制,是都可以连接的,现在我们来说如何设置,禁止和允许连接,配置文件格式遵循如下规则:
daemon_list@host: client_list [:options :option…]
daemon_list: 是程序的列表,可以是多个,是多个时,使用,隔开
@host:可以没有,是我们的限制的网卡访问接口(自己的),设置允许或禁止他人从自己的那个网口进入。这一项不写,就代表全部。
client_list:是访问者的地址,如果需要控制的用户较多,可以使用空格或,隔开,格式如下:
基于IP地址: 192.168.10.1 192.168.1.
基于主机名: www.magedu.com .magedu.com 较少用
基于网络/掩码: 192.168.0.0/255.255.255.0
内置ACL: ALL, LOCAL, KNOWN, UNKNOWN,PARANOID
ALL:所有主机
LOCAL:本地主机
KNOWN:主机名可解析成ip的
UNKNOWN:主机名无法解析成IP的
PARANOID:正向解析与反向解析不对应的主机
EXCEPT 反向选择
只能针对服务程序和主机地址进行访问控制策略的设置,而不能指定网络解析和其他属性。
Iptables---------> tcp_wrappers--------> service
两个控制文件
/etc/hosts.allow 定义允许的访问
/etc/hosts.deny 定义拒绝的访问
特点:配置改变,立即生效
tcp_wrappers的访问控制判断顺序
/etc/hosts.allow--->/etc/hosts.deny-->允许所有
案例一:
在A服务器上/etc/hosts.deny中写入如下内容:
sshd:192.168.40.132
在B服务器上通过ssh命令来远程登陆A服务器,已经没有响应
在A服务器上删除该条目后,B服务器即可正常登陆A服务器
案例二:
在A服务器上/etc/hosts.deny中写入如下内容:
sshd:192.168.40.132 EXCEPT 192.168.40.132
----------------------------不管怎样允许在前
B服务器上可以使用ssh命令来远程登陆A服务器
案例三:
清空A服务器上的/etc/hosts.deny中的内容
然后在/etc/hosts.allow中写入如下内容:
sshd:192.168.40. EXCEPT 192.168.40.132
----------------------------不管怎样允许在前
在B服务器上查看是否可以ssh到A服务器?
可以登录。
因为hosts.allow文件中没有定义的时候是要查看hosts.deny文件的,如果该文件也没有定义,那么就是允许的
查询哪些服务支持tcp_wrappers
如果某个服务调用了libwrap.so这个动态链接库,那么这个服务就是支持的
也可以使用以下命令来查看:
[root@web ~]# ldd `which sshd` |grep libwrap
TCP_Wrappers相关推荐
- 第十六章 tcp_wrappers
16.1 tcp_wrappers简介 tcp wrappers:Transmission Control Protocol Wrappers为由inetd生成的服务提供了增强的安全性.TCP Wra ...
- TCP_Wrappers 基于TCP的安全控制
TCP_Wrappers简介 TCP_Wrappers全称:Transmission Control Protocol(TCP)Wrappers 是一个基于主机的网络访问控制表系统,用于过滤对类Uni ...
- 分享:利用tcp_wrappers 保护服务安全
利用tcp_wrappers 保护服务安全 http://my.oschina.net/u/158500/blog/119568
- 安装VSFTPD后, FTP连接抛OOPS: tcp_wrappers is set to YES but no tcp wrapper support compiled in
状态:> [2020/8/19 16:36:53] 正在获取清单 ""... 状态:> [2020/8/19 16:36:53] 正在连接到 FTP ...
- SSH和tcp_wrappers
目录 一.SSH介绍 1.概念 2.常用软件和传输特点 3.服务功能 二.SSH服务登录与配置 1.SSH远程登录方式 方法一 方法二 2.服务配置(/etc/ssh/sshd_config) 监听端 ...
- linux学习之路:Tcp_wrappers
TCP_Wrappers 学习 一:为什么要学习TCP_Wrappers tcp_Wrappers是一个简单的防火墙,它的全称是:Transmission Control Protocol(TCP)W ...
- TCP_Wrappers防火墙配置
访问控制列表来实现防火墙功能 防火墙优先级 TCP_Wrappers防火墙策略配置文件--从应用层配置防火墙策略 查看程序/服务是否应用了libwrapped库文件 server_name(服务名) ...
- 启用tcp_wrappers防火墙
一.tcp_wrappers 介绍 TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可 ...
- dropbear编译使用、aide介绍、sudo介绍、TCP_Wrappers介绍、PAM介绍
dropbear编译 dropbear是SSH功能的另一个实现 编译步骤: 1.准备好dropbear源码包 2.安装开发包组,已安装的可以跳过 3.解压源码包 4.进到解压目录执行./configu ...
最新文章
- Asp.net后台创建HTML
- 转:字体集选择font-family
- 程序员编程10大原则,请牢牢记住
- mysql查询时有两条一模一样的结果应该只显示一条
- Entity Framework 的一些性能建议
- 牛客网【每日一题】3月25日 tokitsukaze and Soldier
- MySQL 常见的开放性问题
- mysql cascade|restrict|no action|set null__mysql 外键的几种约束
- 信息学奥赛一本通 1073:救援 | OpenJudge NOI 1.5 19:救援
- java+2e10_CoreJavaE10V1P3.10 第3章 Java的基本编程结构-3.10 数组(Arrays)
- break与continue关键字的使用
- 格雷码和二进制的转换及典型例题(4bits格雷码计数器)
- 零基础怎样自学编程?初学者如何学习编程?编程学习入门指南(文章较长,需要耐心看完)
- git目录下object文件过大清理
- iwork09破解方法及解决SFCompatibility错误方法
- dfs-placing apples
- [总结]FFMPEG视音频编解码零基础学习方法
- java 日期获取时间戳
- js网页动画,如何做一款高逼格不失真的动画
- 细胞生物学-5-细胞质基质与内膜系统Cytosol and Endomembrane system