Linux中TCP wrapper的使用

最新推荐文章于 2024-04-23 17:23:51 发布
最新推荐文章于 2024-04-23 17:23:51 发布
阅读量1.1w 收藏 5
点赞数
文章标签: wrapper tcp linux vim command login
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deansrk/article/details/6714749
版权


tcpwrapper的目的是对那些访问控制功能较弱的服务提供访问控制功能要想了解访问控制就必须先知道服务监听的概念:

服务监听的两种方式:

listen     :        socket                  监听在套接字上提供服务

                   循环                   不停歇的查看某个端口来提供服务

 

 

有两种方式来判断一个服务是否支持tcp wrapper:

1.通过查找库文件看是否有libwrap

ldd `which command`

2.查看是否连接到/etc/hosts.allow|deny

strings `which command`                   # 查看静态链接库

         如果有/etc/hosts.allow

                              /etc/hosts.deny       就说明这个命令静态链接了tcpwrraper

 

tcpwrraper自身工作在内核,却可以通过这两个文件来提供访问控制

 

                   请求

           ↓              

        服务   --->/etc/hosts.allow     --->     如有有就放行

                                     ↓         没有

                           /etc/hosts.deny     ---->    如果没有就放行     

                                     ↓                    

                                                        如果有明确的匹配条目拒绝

/etc/hosts.allow|deny文件格式:damon_list: client_list [:option]

匹配服务列表:damon_list

vsftpd: 192.168.0.            

vsftpd,sshd,in.telnetd:

ALL                    

daemon@host

vsftpd@192.168.0.186                    

#可以简写192.168.0  代表192.168.0.0网段

#可以一次指定多个服务

#可以使用通配符ALL来指定所有的服务

#@只对某个主机来控制

 

匹配客户端列表clent_list

IP

network address

     network/mask:   mask不能使用长度格式 ,只能是有完全ip的格式

     172.16.0.0--->172.16.    也可以简写网段

HOSTNAME

           fqdn

           .a.rog            表示a.org域内的所有主机    

 

option  选项

spawn                     #可以通过spawn来实现日志定义

spawn echo ""     

#下面定义一个条件,只要用户通过telnet登录就记录到一个日志

vim /etc/hosts.deny

in.telnetd:ALL EXCEPT 172.16.0.1: spawnecho "Login attemp(`date`) %u from %a attemp to login %A, the deamon is%d." >> /var/log/telnet.log

##注意不能在echo后面用: 分号在这里有特殊意义。

##可以通过man 5 hosts_access 来查看上述%的含义

 

常用的宏定义 MACRO

ALL                                   #代表所有主机,或者所有服务

LOCAL                                   #表示本地主机,非FQDN主机

KNOWN                                      #表示可以被解析的主机

UNKNOWN                #反向可以被解析的主机

PARANOID                #正反向解析不匹配的主机

EXCEPT                                    #排除某个主机或某个网络 

 

-

怎么来控制vsftpd的访问

1. which vsftpd                       # 确定文件路径        
2. vim /etc/hosts.deny                 # 改文件立即生效
vsftpd: 172.16.100.100
 
#假设仅允许172.16网段访问
vim /etc/hosts.allow
vsftpd: 171.16                        # 只允许172.16.0.0/16网段
vim /etc/hosts.deny
ALL: ALL                                            # 拒绝其他的用户登陆

这样就只有172.16.0.0网段可以访问了

 

 

控制SSH ,只允许192.168.0.32网段登陆,并且不允许192.168.0.32登陆

vim /etc/hosts.deny
ALL:ALL
vim /etc/hosts.allow
sshd: 192.168.0 EXCEPT 192.168.0.32

效果:


将/etc/hosts.deny 里面的ALL: ALL去掉就可以恢复登陆










deansrk
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux下用Tcp_wrapper实现访问控制.pdf
09-07
Linux下用Tcp_wrapper实现访问控制.pdf
安装VSFTPD后, FTP连接抛OOPS: tcp_wrappers is set to YES but no tcp wrapper support compiled in
打杂人
08-19 6557
状态:> [2020/8/19 16:36:53] 正在获取清单 ""... 状态:> [2020/8/19 16:36:53] 正在连接到 FTP 服务器... 119.29.***.***:21 (ip = 119.29.***.***)... 状态:> [2020/8/19 16:36:53] 已连接套接字。正在等待欢迎信息... [2020/8/19 16:36:53] 500 OOPS: tcp_wrappers is set to ...
Cloudflare设置优选IP教程-Cloudflare自选IP
qq_17754023的博客
02-16 1万+
母庸质疑,Cloudflare应该是全球最大的CDN服务提供商,它以其全球最大、最快、大容量的的网络互联,为成千上万的用户和企业提供了服务。当然各位站长对Cloudflare肯定是不陌生的,较低的使用门槛和高级的防御能力让它成为了不少站长初次使用的CDN服务,当然时至今日,Cloudflare也仍在以自己先进的技术为各个网站发光发热。当然需要理解Cloudflare的话,先得知道他的一个特性--
使用Cloudflare Warp绕过GPT的IP ban
weixin_43065003的博客
10-20 3608
本文使用WireGuard接管IPv6的流量,将/etc/warp/wgcf-profile.conf的engage.cloudflareclient.com替换为162.159.192.1,并删除AllowedIPs = 0.0.0.0/0。双栈服务器在访问双栈网站的时候,默认IPv6会优先于IPv4,而IPv6已经由WireGurad接管了,所以我们需要让服务器优先通过原来的 IPv4 网络去访问外部网络。附项目地址:https://github.com/P3TERX/warp.sh。
Linux的FTP安装、使用配置(FTP客户端管理工具)
梦想起飞的地方.........
03-09 5618
ftp
关于 Cloudflare Warp 的一些细节以及是否暴露访客真实 IP 的测试
热门推荐
akatale的博客
02-26 2万+
Warp 加速的理念就是:你的 ISP 到你的目标网站服务器所在的网络不一定稳定,但是你的 ISP 到距离你最近的一个 Cloudflare 数据心的连接足够稳定,Cloudflare 数据心到目标网站服务器的连接也足够稳定,因此虽然间经过 Cloudflare转,却可以起到加速的效果。我在这里做一个测试。也就是说,虽然我的源站服务器在香港,但是我访问的是 Cloudflare 澳门数据心、所以 Cloudflare 会直接使用澳门数据心回源,也就是「由访客命的数据心进行回源」。
Cloudflared WARP client 在LInux上的安装
weixin_43821278的博客
12-14 3056
耗时一个白天+一个晚上,成功的时候心情大好!前提是你已经有一个cloudflare 账号,并且注册了teams。有空再写如何注册 Zero Trust终于发现一篇文章,参考官方文章。
CloudFlare系列--功能介绍与常用配置
IT利刃出鞘的博客
12-23 4802
本文介绍CloudFlare的功能与常用的配置
Ubuntu 下使用 CloudFlare 动态域名
学习者专栏
11-05 1550
首先保证你有一个自有域名,然后登录到CloudFlare,添加你的域名。遵循指令操作,使用它给出的默认值就行了。你将让CloudFlare来托管你的域,所以你需要调整你的注册机构的设置。如果你想要使用子域名,请为它添加一条‘A’记录。目前,任何IP地址都可以。
Cloudflare宣布适用于 LinuxWARP 和代理模式
t05777的博客
09-27 4937
去年 10 月,我们发布了桌面版 WARP,为数十亿台设备免费提供更安全、更快捷的互联网使用方式。同时,我们让企业客户能够将 WARP 与 Cloudflare for Teams 相结合使用。通过 WARP 路由来自地球上任何地方的设备的所有企业流量,我们都能够无缝地支持高级功能,例如安全 Web 网关和浏览器隔离,以及未来的数据丢失防护平台。 今天,我们很高兴地宣布 Cloudflare WARP for Linux,以及在所有桌面平台上,能够将 WARP 用于单个应用程序而不是整个设备。 什么是 WA
Linux的访问控制——TCP_Wrappers
还不是太晚的博客
06-28 1636
TCP Wrappers简介 TCP_Wrappers是Linux的一个安全机制【TCP Wrappers防火墙】也可以成为访问控制,一定程度上达到了保护系统的目的,相当于我们手机的黑名单和白名单,对访问我们服务器的用户进行设置和管理。 TCP_Wrappers是一个工作在第4层(传输层)的安全工具,对有状态及特定服务进行安全检测并实现访问控制,凡是包含有libwrao.so库文件的程序就可以受tcp wrappers的管理。它的主要功能就是控制谁可以访问。 TCP_Wrappers(tcp封套,以作为应
linux防火墙-tcp wrapper的简单配置说明.docx
10-29
linux防火墙-tcp wrapper的简单配置说明.docx
银河麒麟v10服务器版 tcpreplay
12-25
银河麒麟v10服务器版 tcpreplay可执行二进制文件
Linux网络服务器配置基础(下)
08-15
那么对于管理员需要远程管理时,将非常不方便.Linux提供另外一种更为灵活和有效的方法来实现对服务请求用户的限制,从而可以在保证安全性的基础上,使可信任用户使用各种服务.Linux提供了一个叫TCP wrapper的程序....
linux18:进程等待
m0_73919066的博客
04-20 1074
1:子进程创建的目的是要完成父进程指派的某个任务,当子进程运行完毕退出时,父进程需要通过进程等待的方式,回收子进程资源,获取子进程退出信息(子进程有无异常?没有异常结果是否正确?检查退出码查看错误原因)2:父进程如果一直不回收,就可能造成子进程‘僵尸进程’的问题,子进程一直得不到父进程的回收,进而造成内存泄漏。3:子进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
最新发布
jianjian的博客
04-23 911
vmlinux.lds.S 是 Linux 内核用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
Spectre-v2 以及 Linux Retpoline技术简介
小立仔
04-19 1207
Spectre-v2 以及 Linux Retpoline技术简介
Linux:服务器硬件及RAID配置
JIUYINGQAQ的博客
04-22 1504
RAID 0又称为条带化(Stripe),代表了所有RAID级别最高的存储性能。通过建立RAID 0,原先顺序的数据请求被分散到所有的三块硬盘同时执行。但由于其没有数据冗余,无法保护数据的安全性,只能适用于I/O速率要求高,但数据安全性要求低的场合。RAID 0数据存储原理。
JavaQueryWrapper使用
10-18
QueryWrapper是MyBatis-Plus的一个查询构造器,用于构建复杂的查询条件。它可以通过链式调用的方式,方便地拼接各种查询条件,例如等于、不等于、大于、小于、模糊查询等等。 下面是一个简单的示例: ```java ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值