Tcp_Wrapper_简单的基于主机的访问控制工具

最新推荐文章于 2021-11-30 17:31:25 发布
最新推荐文章于 2021-11-30 17:31:25 发布
阅读量3.1k 收藏 3
点赞数 1
分类专栏: linux 文章标签: tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hai__Yun/article/details/77991291
版权

目录

简介

tcp wrapperWietse Venema开发的一个开源软件。它是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptablesLinux默认安装了tcp_wrapper。作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护。iptables防火墙通过直观的监视系统的运行状况,阻挡网络中的一些恶意攻击,保护整个系统正常运行免遭攻击和破坏。如果通过了第一层防护,那么下一层防护就是tcp_wrapper了。通过tcp_wrapper可以实现对系统中提供的某些服务的开放和关闭、允许及禁止,从而更有效的保证系统安全运行。使用tcp_wrapper的功能仅需要两个配置文件:/etc/hosts.allow/etc/hosts.deny

特性

  • 工作在第四层(传输层)的TCP协议
  • 对有状态连接的特定服务进行安全检测并实现访问控制
  • 以库文件形式实现
  • 某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译的
  • 判断sshd服务是否支持tcp_wrapper
方法1:
[root@centos6 ~]# ldd `which sshd` | grep libwrap.so   # sshd服务支持tcp_wrapper
    libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f01bb457000)
方法2:
[root@centos6 ~]# strings `which sshd` | grep libwrap.so # 通过strings命令也可以查看,sshd服务程序是否调用libwrap.so库。strings命令列出sshd程序中所有的ASCII文本。
libwrap.so.0
Tcp_Wrapper的实现

如果要使用Tcp_Wrapper的功能,只需两个配置文件:/etc/hosts.allow/etc/hosts.deny。检查顺序为: /etc/hosts.allow –>/etc/hosts.deny(默认允许)。注:一旦前面规则匹配,直接生效 ,将不再继续检查。下图为/etc/hosts.allow/etc/hosts.deny工作示意图:

基本语法

daemon_list@host: [except client_list1]client_list2 [ :options :option… ]

daemon_list@host格式

  • 单个应用程序的二进制文件名,而非服务名, 例如vsftpd
  • 以逗号或空格分隔的应用程序文件名列表,如:sshd,vsftpd
  • ALL表示所有接受tcp_wrapper控制的服务程序

@host格式

  • 主机有多个IP,可用@hostIP来实现控制,如:in.telnetd@192.168.0.254

client_list格式

  • 以逗号或空格分隔的客户端列表
  • 基于IP地址: 192.168.10.1 192.168.1.
  • 基于主机名: www.magedu.com .magedu.com 较少用
  • 基于网络/掩码: 192.168.0.0/255.255.255.0
  • 基于net/prefixlen: 192.168.1.0/24(CentOS7支持)
  • 基于网络组(NIS 域): @mynetwork
  • 内置ACLALL(所有来源主机), LOCAL(主机名中不带.的), KNOWN(所有能解析到的主机), UNKNOWN(所有未能解析到的主机),PARANOID (正反解析不匹配的地址)

[:options]选项:

  • deny 主要用在/etc/hosts.allow定义“拒绝”规则,如: vsftpd: 172.16. :deny

  • allow 主要用在/etc/hosts.deny定义“允许” 规则,如: vsftpd:172.16. :allow

  • spawn 启动一个外部程序完成执行的操作

  • twist 实际动作是拒绝访问,使用指定的操作替换当前服务,标准I/OERROR发送到客户端,默认至/dev/null

EXCEPT: 排除某个主机或某个网络

except client_list1:代表除了client_list1剩余的都匹配

范例:

范例1

拒绝192.168.8.129访问192.168.8.128的sshd服务

[root@centos6 ~]# vim /etc/hosts.deny  #编辑/etc/hosts.deny文件,拒绝192.168.8.129访问sshd
sshd@192.168.8.128: 192.168.8.129
[root@centos7 ~]# ssh 192.168.8.128        #在192.168.8.129访问192.168.8.128已经被拒绝,注此文家修改完,立刻生效
ssh_exchange_identification: read: Connection reset by peer
[root@centos6 ~]# tail -2 /var/log/secure  #在192.168.8.128上查看日志,已经把192.168.8.129拒绝
Sep 15 09:39:37 centos6 sshd[3197]: pam_unix(sshd:session): session closed for user root
Sep 15 09:40:51 centos6 sshd[3222]: refused connect from 192.168.8.129 (192.168.8.129)
范例2

拒绝192.168.8.0/24网段访问192.168.8.128的ftp服务,但允许192.168.8.129访问

[root@A ~]# vi  /etc/hosts.deny            #编辑/etc/hosts.deny文件,拒绝192.168.8.0/24网段访问192.168.8.128的ftp服务
最低0.47元/天 解锁文章
Hai__Yun
关注
专栏目录
tcpwrapper---访问控制工具
user_cui的博客
03-21 394
tcpwrapper访问控制工具 1.tcp wrapper是一种访问控制工具是操作系统自带的,类似于防火墙(iptables)可以作访问控制。 2.针对系统进程来做限制的 ========================================================================================= #TCPwrapper配置 TCPwrapp...
tcpwrapper
mylinux
06-07 2071
tcpwrapper 这片文章介绍以下tcpwrappertcp的包装器)。tcpwrapper的作用是对基于tcp的程序进行安全控制。它通过使用/usr/sbin/tcpd这样一个进程来代为监听任何一个使用了tcpwrapper的发起连接的tcp请求。假设sshd接受tcpwrapper的验证,当有一个连接发起ssh连接时先有tcpwrapper进行身份验证,如果通过了验证,则
TCP_Wrapper防火墙的安装与配置
JXH_123的专栏
05-14 1352
说明:本文转自 http://www.yesky.com/493/197493.shtml TCP_Wrapper软件包是一种基于TCP/IP协议之上的、运行于UNIX/Linux系统、基于访问控制技术的一种网络防火墙软件。它使用C语言编写。软件功能是提供访问控制机制和记录网络服务。需要特别指出的是,它是一种提供源代码的软件,用户仅需在自己的系统上编译并简单配置即可。它不仅支持Linux,而且还
tcp_wrapper知识整理
weixin_33991727的博客
09-29 310
tcp_wrapper知识整理一、tcp wrapper简介tcp wrapper是一种访问控制工具,类似于iptables可以作访问控制tcp wrapper只能对基于tcp协议的服务作访问控制,但并不是所有基于tcp协议的服务都能实现用tcp wraper作访问控制tcp wrapper实现访问控制主要依靠两个文件,一个是/etc.hosts.allow文件,另...
tcp_wrappertcp包装器
钟明家
03-29 487
tcp_wrappertcp包装器 对基于tcp协议开发并提供服务的应用程序,提供的一层访问控制工具; 基于库调用实现其功能: libwrap 判断服务是否能够由tcp_wrapper进行访问控制: 动态编译:ldd命令; 静态编译:strings命令查看应用程序文件,其结果中如果出现 hosts.allow hosts.deny 在配置文件在为各服务分别...
tcp wrapper
yongchaocsdn的博客
06-11 519
转载自:http://blog.chinaunix.net/uid-24648486-id-2420628.html#tcp wrapper是一款访问控制工具,很类似iptables的功能,但是要比iptables功能要小很多,一般只有在满足以下条件时才能使用tcp wrapper 1),在编译的时候明确表示能接受tcp wrapper的控制
tcp_wrapper访问控制
漠效的博客
04-27 2292
前言 由于前一篇登陆安全的配置中涉及的Tcp_Wrapper仅演示了其中一个用法。下面就详细的总结一下tcp_wrapper的另外几种配置方法。 tcp_wrapper的介绍 tcp wrapper是Wietse Venema开发的一个开源软件。 它是一种类似于iptables防火墙的,基于tcp协议的访问控制工具,只能对基于tcp协议的部分服务作访问控制。 iptables是在网络层...
tcp_wrapper
05-03
这些规则可以非常灵活,支持基于IP地址、主机名甚至DNS反向查找的访问控制策略。此外,TCP Wrapper还可以记录所有传入的连接尝试,为系统管理员提供详细的日志,以便于审计和监控。 TCP Wrapper的另一个关键特性是...
tcp_wrapper源代码
05-03
TCP_Wrapper主要提供了两种功能:一是基于主机名或IP地址的访问控制,二是日志记录。通过这两个功能,它可以阻止未经授权的网络访问并记录尝试连接的活动。 2. **工作原理**: 当一个远程客户端尝试连接到使用TCP...
TCPwrapper访问控制工具
01-09
TCPwrapper访问控制工具 什么是TCPwrapper TCPwrapper是一种访问控制工具是操作系统自带的,类似于防火墙(iptables)可以用作访问控制。 针对系统进程来做限制的 TCPwrapper有两个配置文件(文件中写入ip或网段) 1./etc/hosts.allow 允许访问的文件(优先) 2./etc/hosts.deny 拒绝访问的文件 TCPwrappers会先查找/etc/hosts.allow,再查找/etc/hosts.deny,如果两个配置中有冲突,先匹配中的优先,也就是/etc/hosts.allow中的配置优先,如果两个配置都没命中,默认放
TCP_Wrappers实现访问控制
qq_39526788的博客
09-17 945
作者:Wieste Venema,IBM。 TCP_Wrappers可以对有状态连接的特定服务进行安全检测并实现访问控制,类似起到防火墙的功能,然而并不是所有的应用都是使用TCP_Wrappers的,所以管理是有限制的, TCP_Wrappers是工作在第四层(传输层)的TCP协议,某进程是否接受libwrap的控制取决于发起此进程的程序在编,译时是否针对libwrap进行编译的,判断服务程序是
TCPWRAPPER
weixin_33969116的博客
02-23 93
一、TCPWRAPPER(立即生效)在传输层,对于进出本主机访问某特定服务的连接,基于规则进行检查的一个访问控制工具,以库文件形式实现;某进程是否接受libwrap.so的控制,取决于发起此进程的程序在编译时是否针对libwrap.so进行编译的(某进程在编译时连接到tcpwrapper)。***************************1、一个二进制程序依赖哪些库如l...
TCP Wrapper
weixin_56669056的博客
05-26 200
TCP Wrappers概述 保护原理 保护机制的实现方式 方式1:通过tcpd程序对其他服务程序进行包装 方式2:由其他服务程序调用libwrap.so.*链接库 访问控制策略的配置文件 [root@localhost .ssh]# which ssh /usr/bin/ssh [root@localhost .ssh]# which sshd /usr/sbin/sshd [root@localhost .ssh]# ldd /usr/sbin/sshd | grep libwrap libwrap
TCP Wrappers
jingde528的博客
11-30 1705
TCP Wrappers简介 TCP_Wrappers是一个工作在笫四层(传轮层)的的安全工具. 对有状态连接 (TCP) 的特定服务进行安全检测井实现访问控制. 界定方式是凡是调用 libwrap. so库文件的的程片就可以受TCP_Wrappers的安全控制。 它的主要功能就是控制谁可以访问, 常见的程序有rpcbind、 vsftpd、 sshd. telnet 。 判断方式(以sshd为例): 1.查看对应服务命令所在位置 which sshd 或 whereis sshd 2.查石指定命令执..
关于TCP Wrapper
JXH_123的专栏
05-14 2073
像Telnet、SSH、FTP、POP和SMTP等很多服务都会用到TCP Wrapper,它被设计为一个介于外来服务请求和服务回应的中间处理。 tcp_wrapper (tcpd) 由 xinetd 启动,而非作为一个独立的服务启动。 它的基本过程是这样的:当接收到一个外来服务请求的时候,先由TCP Wrapper处理这个请求,TCP Wrapper根据这个请求所请求的服务和针对这个服务所
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值