【安全与加密】TCP-Wrapper与PAM模块

最新推荐文章于 2023-03-21 14:02:36 发布
最新推荐文章于 2023-03-21 14:02:36 发布
阅读量340 收藏
点赞数
分类专栏: 基础作业 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FlamencaH/article/details/106505751
版权
本文深入探讨了TCP-Wrapper和PAM模块在Linux系统中的安全控制。TCP-Wrapper通过hosts.allow和hosts.deny文件实现对TCP服务的访问控制,而PAM(Pluggable Authentication Modules)提供了灵活的验证机制,支持多种验证模块,可在不同应用程序间共享。通过配置PAM,可以实现更复杂的访问策略和验证流程。
摘要由CSDN通过智能技术生成

TCP-Wrapper

TCP wrappers 通常被称为 wrappers,它是由 Wieste Venema 编写,已经出现几年了。其背后的思想很简单,其要旨是可以在 (UNIX/Linux) 主机上快速轻松地锁定流行的通过 TCP 访问的客户端。

Wrappers 允许系统管理员控制 wrappers 支持的基于 TCP 的服务或守护进程的访问。Tcpd 控制从 /etc/inetd.conf 中运行的 TCP 守护进程。不过,很多基于 TCP 的应用程序已加入 wrappers 支持(一般使用 libwrap 库),并且能感知 wrapper;不通过 /etc/inetd.conf 进行控制也没有关系。可以在 wrappers 下进行访问控制的通常有 telnet、ssh、sendmail、ftp 包、pop3 和 stunnel。

Wrappers 提供对基于 UDP 的连接的有限控制,不过我建议使用内置或第三方防火墙进行基于 UDP 的访问。

如果要看应用程序是否支持 wrapper,使用 strings 命令和 grep 获取 hosts_access 或 host:

# strings /usr/sbin/sshd|grep hosts_access``@(#)65 1.1 src/tcpwrapper/usr/sbin/tcpwrapper/hosts_access.c, tcpwrap, 53twrp2``10, 0617A_53twrp210 2/27/06 04:52:25

或者可以使用 ldd 命令:

ldd </``path``/application> | grep libwrap

wrappers 守护进程称为 tcpd。得到调用的是它,而非 /etc/inetd.conf 文件中的实际守护进程。Tcpd 读取两个文件,hosts.allow 和 hosts.deny,读取时基于这两个文件中的规则。当找到第一条规则匹配后,会拒绝或允许调用客户端的访问。所有操作都会被记录到消息文件或指定的日志文件中,这可以通过 syslog 来确定。通常情况下,hosts.allow 包含允许访问的规则,而 hosts.deny 包含拒绝访问的规则。

下面看一下典型的 telnet 客户端场景,它是这样工作的。客户端试图通过 telnet 会话连接到配置有 wrappers 的主机上。未知的客户端连接到 wrappers 守护进程,而不是实际的 telnentd 守护进程。根据 hosts.allow 或 hosts.deny 文件中的规则,会允许或拒绝该客户端的访问。如果拒绝访问,就会终止 telnet 连接。如果该客户端符合允许访问规则,那么 tcpd 就会交出对所调用的实际守护进程的控制权(本例中是 telnetd)。无论哪种情况,许可或拒绝访问都会通过 syslog 被记录下来。

构建 wrappers

配置 wrappers

下一个任务是在 /etc/inetd.conf 中调用 tcpd 而不是实际的守护进程或服务。首先,创建 /etc/inetd.conf 的备份。在本例中,我仅仅替换想要控制访问的守护进程。我会用 tcpd 替代 ftpd 和 telnetd 作为 /etc/inetd.conf 中的调用守护进程。随意保护此文件中的其他守护进程。/etc/inetd.conf 中我们感兴趣的行有:

ftp   stream tcp6   nowait root  /usr/sbin/ftpd       ftpd ``telnet stream tcp6  nowait root  /usr/sbin/telnetd    telnetd -a

我们只是替换想要保护的守护进程,本例中是用 tcpd 替换 ftpd 和 telnetd。编辑完成后,更改以下配置:

ftp   stream tcp6  nowait root  /usr/sbin//tcpd     ftpd``telnet stream tcp6  nowait root  /usr/sbin/tcpd    telnetd -a

下一步,刷新 inted 让更改生效。

# refresh -s inetd

根据以上所述,对于其他的 wrapper 支持的第三方应用程序,应查询 hosts.allow 和 hosts.deny 文件。履行文件中的规则从而拒绝或允许对自己的客户端的访问是应用程序的责任。我们现在开始配置主机文件。

wrappers 会默认记录到 /var/adm/messages,使用的是设备级的权限:

auth.info  /var/adm/messages

如果您在 makefile 中指定了 LOCAL 设备,那么您必须告诉 syslog 使用 syslog.conf 中哪个文件。以下示例中,所有在 wrappers 中使用 LOCAL 的消息都记录到 /var/adm/wrappers.log 文件中。

local0.info       /var/adm/wrappers.log

确保在重启 syslog 之前创建 wrappers.log 文件:

# refresh -s syslogd

规则

要关闭 wrappers,只需将 hosts.allow 和 hosts.deny 文件改成其他文件名即可。如果不存在允许或拒绝访问文件,wrappers 将不会使用访问控制,从而有效关闭 wrappers 。或者将主机文件清空或清零,

最低0.47元/天 解锁文章
FlamencaH
关注
专栏目录
TCP_Wrappers--过滤的介绍和使用
暖风吹起云之博客
05-13 1369
TCP_Wrappers--过滤的介绍和使用。
Linux应用-加密安全
qq_41596208的博客
02-22 2110
Linux应用-加密安全加密安全一、grep1. grep概念 加密安全 一、grep 1. grep概念
TCP_Wrappers的使用
枫叶斜阳的博客
06-09 652
TCP_Wrappers的使用判断服务程序是否能够由tcp_wrapper进行访问控制的方法配置文件帮助参考检查顺序基本语法TCP_Wrappers的使用EXCEPT用法示例 判断服务程序是否能够由tcp_wrapper进行访问控制的方法 ldd /PATH/TO/PROGRAM|grep libwrap.so strings PATH/TO/PROGRAM|grep libwrap.so 配置文件 /etc/hosts.allow, /etc/hosts.deny 帮助参考 man 5 hosts_a
Linux学习笔记:sudo、tcp_wrapperpam
weixin_34290631的博客
04-06 164
一、sudo授权工具授权工具;能够实现把有限的管理操作授权给某普通用户;且还能限定其仅能够在某些主机上执行此类的命令;操作过程还会被记录与日志中;以便于日后审计。1、定义sudo授权;保存/etc/sudoersvisudo:编辑sudoers命令格式:who which_host=(whom) command添加删除用户[root@localhost ~]# visudo ...
防火墙(四):TCP Wrappers服务
qq_43072797的博客
06-17 674
TCP Wrappers服务1、TCP Wrappers服务是什么?2、TCP Wrappers服务涉及到的文件和策略3、练习4、小问题 1、TCP Wrappers服务是什么? TCP Wrappers又称为"服务的访问控制列表",是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。 换句话说,Linux系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP协议的流量过滤工具,而TCP Wrappers服务则是能允许或禁止Linux
sshd中tcp-wrappers的调用
一块积木
05-10 3828
今天配置sshd的时候,发现openssh-server不同过xinetd依然可以得到tcp-wrappers的知识,好奇之下就察看了 sshd和tcp-wrapper的代码,做成笔记写在下面。这些笔记对想使用tcp-wrappers的程序员来说有一定的参考价值。一些基础知识什么是sshssh secure shell,是用户在进行传输的时候使用的一种保密协议。本来这是为telne
总结:加密安全
wauzy的博客
06-11 1929
信息安全防护的目标 保密性 Confidentiality 完整性 Integrity 可用性 Usability 可控制性 Controlability 不可否认性 Non-repudiation 安全防护环节 物理安全:各种设备/主机、机房环境 系统安全:主机或设备的操作系统 应用安全:各种网络服务、应用程序 网络安全:对网络访问的控制、防火墙规则 数据安全:信息的备份与恢复、加密解密 管理安全:各种保障性的规范、流程、方法 安全攻击: STRIDE Spoofing 假冒 [root@centos7
安全加密
weixin_40647174的博客
09-23 720
1.墨菲定律 墨菲定律:一种心理学效应,是由爱德华·墨菲(Edward A. Murphy)提出的,原话:如果有两种或两种以上的方式去做某件事情,而其中一种选择方式将导致灾难,则必定有人会做出这种选择 主要内容: 任何事都没有表面看起来那么简单 所有的事都会比你预计的时间长 会出错的事总会出错 如果你担心某种情况发生,那么它就更有可能发生 2.安全机制 信息安全防护的目标 保密性 ...
Linux_加密安全详细介绍
Blog of Stevenux
11-10 835
加密安全 一.安全机制 安全攻击的几种典型方式: STRIDE Spoofing 假冒 Tampering 篡改 Repudiation 否认 Information Disclosure 信息泄漏 Denial of Service 拒绝服务 Elevation of Priv...
TCP wrapper的访问控制
weixin_33795833的博客
03-21 319
TCP wrappers 通常被称为 wrappers,它是由 Wieste Venema 编写,已经出现几年了。其背后的思想很简单,其要旨是可以在您的 AIX (UNIX®/Linux®) 主机上快速轻松地锁定流行的通过 TCP 访问的客户端。 Wrappers 允许系统管理员控制 wrappers 支持的基于 TCP 的服务或守护进程的访问。Tcpd 控...
TCP Wrappers访问控制
weixin_51720711的博客
05-26 612
1.概述 TCP Wrappers的访问控制是基于TCP协议的应用服务,相对于防火墙的访问控制规则,TCPWrappers的配置更加简单。 TCP Wrappers只能控制TCP协议的应用服务,并不是所有基于TCP协议的应用服务都能接受TCP Wrappers的控制 2.访问策略 TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户机地址,进行访问控制,对应的两个策略文件/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略 2.1 策略的配
tcp_wrappers应用详解
weixin_34392906的博客
04-23 163
简介TCP wrappers 通常被称为 wrappers,它是由 Wieste Venema 编写,已经出现几年了。其背后的思想很简单,其要旨是可以在您的 AIX (UNIX/Linux) 主机上快速轻松地锁定流行的通过 TCP 访问的客户端。Wrappers 允许系统管理员控制 wrappers 支持的基于 TCP 的服务或守护进程的访问。Tcpd 控制从...
SSH远程管理及TCP Wrappers 访问控制
g_l_d_y的博客
01-29 471
SSH:是一种安全通道协议,主要用来实现字符界面的远程登陆、远程复制等功能(先加密再压缩)协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,ssh为建立在应用层和传输层基础上的安全协议。
Linux安全检查
wqfhenanxc的专栏
09-06 5645
检查设备密码复杂度策略 1. 检查密码复杂度策略中设置的大写字母个数      2. 检查密码复杂度策略中设置的数字个数 3. 检查密码复杂度策略中设置的特殊字符个数 4. 检查密码复杂度策略中设置的小写字母个数 Redhat系统:修改/etc/pam.d/system-auth文件,  Suse9:修改/etc/pam.d/passwd文件,  Suse10,Suse11:修改/etc...
aix配置日志服务器
gc20032002的博客
03-21 1267
aix aix系统 aix系统运维 aix系统配置日志服务器 aix配置日志服务器 日志服务器 配置日志服务器
Debugging PAM configuration
Vic的博客
05-31 863
BEFORE YOU BEGINMake a backup of your existing system-auth-ac file:Rawmv /etc/pam.d/system-auth-ac{,-orig} cp /etc/pam.d/system-auth-ac{-orig,} This will keep the original with its existing time stamp...
Wrapper 安装 配置
幽靈
07-11 1709
Linux系统中我一般采用编译源码的方式来安装Apache,有两种方法可以让Apache在系统启动时自动启动。 1. 在/etc/rc.d/rc.local中增加启动apache的命令,例如:/usr/local/httpd/bin/apachectl start 2. 将apache注册为系统服务 首先将apachectl命令拷贝至/etc/rc.d/init.d目录下,改名...
C++的wapper类和头文件
qq_41911185的博客
10-26 1958
Wapper类: Wrapper: Omnidriver 入口类,主类,其它很多的类要从它获入进入接口。 能直接在C++/Java中使用。(为什么不用Java写?JAVA和python不兼容?Java难学?) 回答:之前学过C++,就直接用C++写了。自带文档里只说明了可以直接在C++中使用。 头文件: 就是调用/引用系统定义的头文件,也可以是用户写好的类文件,或*.cpp文件。 用户自定义的头文件只能采用" "的方式 用到的头文件: #include <stdio.h> //定义输入/输
netutils-wrapper-1.0与fpga
最新发布
01-19
netutils-wrapper-1.0是一个用于...总的来说,netutils-wrapper-1.0与FPGA之间有着密切的联系,它可以为FPGA提供便捷的网络管理和监控功能,同时也可以与FPGA进行数据交互,满足用户在网络通信和数据处理方面的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值