TCP_Wrappers
TCP_Wrappers是一個工作在第四層(傳輸層)的安全工具,對有狀態連接的特定服務進行安全檢測並實現訪問控制,凡是包含有libwrap.so庫文件的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制誰可以訪問,常見的程序有rpcbind、vsftpd、sshd,telnet。
工作原理
TCP_Wrappers有一個TCP的守護進程叫作tcpd。以ssh爲例,每當有ssh的連接請求時,tcpd即會截獲請求,先讀取系統管理員所設置的訪問控制文件,符合要求,則會把這次連接原封不動的轉給真正的ssh進程,由ssh完成後續工作;如果這次連接發起的ip不符合訪問控制文件中的設置,則會中斷連接請求,拒絕提供ssh服務。
檢查某程序是否受TCP_Wrappers控制
[root@localhost ~]# ldd $(which sshd) |grep wrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f7a5b84c000)
[root@localhost ~]# ldd $(which vsftpd) |grep wrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f2267d66000)
[root@localhost ~]# ldd $(which httpd) |grep wrap
可以看到sshd,vsftpd都受tcp_wrappers控制,而httpd不受控制
TCP_Wrappers的使用
TCP_Wrappers的使用主要是依靠兩個配置文件/etc/hosts.allow, /etc/hosts.deny來進行控制的
tcpwrapper的檢查順序:hosts.allow --> hosts.deny --> 允許(默認規則)
1.先以/etc/hosts.allow進行優先對比,該規則符合就予以放行;
2.再以/etc/hosts.deny比對,若符合就抵擋;
3.若不在這兩個文件內,即規則都不符合,最終予以放行。
配置格式:daemon_list@host: client_list [:options :option…]
daemon_list:是程序的列表,程序名必須是which查出來同名的名稱:
可以是一個或者多個,用逗號隔開。
sshd:
sshd,vsftpd,in.telnetd:
@host:可以沒有,是我們的限制的網卡訪問接口(自己的),設置允許或禁止他人從自己的那個網口進入。這一項不寫,就代表全部。
client_list:是訪問者的地址,如果需要控制的用戶較多,可以使用空格或,隔開,格式如下:
w 基於IP地址: 192.168.10.1 192.168.1.
w 基於主機名: www.magedu.com .magedu.com 較少用
w 基於網絡/掩碼: 192.168.0.0/255.255.255.0
內置ACL: ALL, LOCAL, KNOWN, UNKNOWN,PARANOID
主機列表參數:
案例1:禁止某主機用戶ssh登錄。
在拒絕列表裏添加該主機遠程登錄,
測試無法遠程登錄:
修改允許列表中,使得其可以遠程登錄。根據匹配優先級,優先匹配允許列表。
測試,可以遠程登錄
2.指定某網段不可以訪問,但網段中某個地址可以訪問
如sshd服務不允許192.168.網段訪問但允許192.168.168.158訪問.
方法1:根據優先匹配原則,先匹配允許的,拒絕該網段的
hosts.allow:
sshd: 192.168.168.158
hosts.deny:
sshd:192.168.
方法2:拒絕該網段,而目標地址除外。
hosts.deny:
sshd:192.168. EXCEPT 192.168.168.158
這個不能反過來寫成192.168.168.158 except 192.168.
有邏輯的包含關係。
方法3:類似於雙重否定表肯定的用法
hosts.allow:
sshd: ALL EXCEPT 192.168. EXCEPT 192.168.168.158 ##允許所有但不包括192.168網段,同時在拒絕的網段中又不包含192.168.168.158網址
hosts.deny:
sshd:192.168. ##其餘的允許了,還需要拒絕該網段,其中192.168.168.158網址已經被允許了。
這裏十分有趣,可以品味一二。