TCP_Wrappers
TCP_Wrappers是一个工作在第四层(传输层)的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd,telnet。
工作原理
TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。
检查某程序是否受TCP_Wrappers控制
[root@localhost ~]# ldd $(which sshd) |grep wrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f7a5b84c000)
[root@localhost ~]# ldd $(which vsftpd) |grep wrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f2267d66000)
[root@localhost ~]# ldd $(which httpd) |grep wrap
可以看到sshd,vsftpd都受tcp_wrappers控制,而httpd不受控制
TCP_Wrappers的使用
TCP_Wrappers的使用主要是依靠两个配置文件/etc/hosts.allow, /etc/hosts.deny来进行控制的
tcpwrapper的检查顺序:hosts.allow --> hosts.deny --> 允许(默认规则)
1.先以/etc/hosts.allow进行优先对比,该规则符合就予以放行;
2.再以/etc/hosts.deny比对,若符合就抵挡;
3.若不在这两个文件内,即规则都不符合,最终予以放行。
配置格式:daemon_list@host: client_list [:options :option…]
daemon_list:是程序的列表,程序名必须是which查出来同名的名称:
可以是一个或者多个,用逗号隔开。
sshd:
sshd,vsftpd,in.telnetd:
@host:可以没有,是我们的限制的网卡访问接口(自己的),设置允许或禁止他人从自己的那个网口进入。这一项不写,就代表全部。
client_list:是访问者的地址,如果需要控制的用户较多,可以使用空格或,隔开,格式如下:
w 基于IP地址: 192.168.10.1 192.168.1.
w 基于主机名: www.magedu.com .magedu.com 较少用
w 基于网络/掩码: 192.168.0.0/255.255.255.0
内置ACL: ALL, LOCAL, KNOWN, UNKNOWN,PARANOID
主机列表参数:
案例1:禁止某主机用户ssh登录。
在拒绝列表里添加该主机远程登录,
测试无法远程登录:
修改允许列表中,使得其可以远程登录。根据匹配优先级,优先匹配允许列表。
测试,可以远程登录
2.指定某网段不可以访问,但网段中某个地址可以访问
如sshd服务不允许192.168.网段访问但允许192.168.168.158访问.
方法1:根据优先匹配原则,先匹配允许的,拒绝该网段的
hosts.allow:
sshd: 192.168.168.158
hosts.deny:
sshd:192.168.
方法2:拒绝该网段,而目标地址除外。
hosts.deny:
sshd:192.168. EXCEPT 192.168.168.158
这个不能反过来写成192.168.168.158 except 192.168.
有逻辑的包含关系。
方法3:类似于双重否定表肯定的用法
hosts.allow:
sshd: ALL EXCEPT 192.168. EXCEPT 192.168.168.158 ##允许所有但不包括192.168网段,同时在拒绝的网段中又不包含192.168.168.158网址
hosts.deny:
sshd:192.168. ##其余的允许了,还需要拒绝该网段,其中192.168.168.158网址已经被允许了。
这里十分有趣,可以品味一二。