2、TCP Wrappers(简单防火墙)

最新推荐文章于 2024-08-14 15:09:50 发布
最新推荐文章于 2024-08-14 15:09:50 发布
阅读量1.9k 收藏 3
点赞数 7
文章标签: linux ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tiamon_/article/details/109005363
版权

TCP Wrappers 简介

TCP_Wrappers 是一个工作在第四层(传输层)的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式凡是调用 libwrap.so 库文件的程序就可以受 TCP_Wrappers 的安全控制。它的主要功能就是控制谁可以访问,常见的程序有 rpcbind、vsftpd、sshd、telnet。
判断方式:

查看对应服务命令所在位置
	[root@test1 ~]# which sshd
	/usr/sbin/sshd

查看指定命令执行时是否调用 libwrap.so 文件
	[root@test1 ~]# ldd /usr/sbin/sshd | grep libwrap.so
		libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fbdd494d000)

TCP Wrappers 工作原理

以 ssh 为例,每当 ssh 的连接请求时,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给 ssh 进程,由 ssh 完成后续工作,如果这次连接发起的 IP 不符合访问控制文件中的设置,则会中断连接请求。拒绝 ssh 服务。
在这里插入图片描述

  • 优先查看 hosts.allow 文件,匹配访问控制策略
  • 允许个别拒绝所有:hosts.allow 文件添加单个允许的策略,hosts.deny 文件添加 all
  • 拒绝个别允许所有:hosts.deny 文件添加单个拒绝的策略,hosts.allow 文件为空

TCP Wrappers 的使用

TCP_Wrappers 的使用主要依靠两个配置文件 /etc/hosts/allow,/etc/hosts/deny;以此实现访问控制,默认情况下,这两个文件什么都没有添加,所以没有限制。
配置文件编写规则:
service_list@host:client_list
- service_list:是服务(程序)的列表,可以是多个,使用 “ , ” 隔开
- @host:设置允许或禁止他人从自己的哪个网口进入,这一项不写就代表全部
- client_list:是访问者的地址,如果需要控制的用户较多,可以使用空格或 “ , ” 隔开

格式如下:
- 基于IP地址:192.168.117.130 192.168.117.131
- 基于主机名:www.baidu.com www.aliyun.com
- 基于网络/掩码:192.168.0.0/255.255.255.0
- 内置 ACL:ALL(所有主机)、LOCAL(本地主机)

实验案例

准备好两台 Linux 操作系统的主机,配置好相关网络参数,实现可以正常通信。

主机名服务IP
test~1ssh 客户端192.168.117.130
test~2ssh 服务端192.168.117.131

1、拒绝 192.168.117.130 使用 ssh 远程连接本机

#test2 添加拒绝策略
	[root@test2 ~]# vim /etc/hosts.deny 
	sshd:192.168.117.130
#test1 ssh 远程连接 test2 失败
	[root@test1 ~]# ssh root@192.168.117.131
	catssh_exchange_identification: read: Connection reset by peer

2、拒绝某一网段使用 ssh 远程连接本地

#test2 添加拒绝策略
	[root@test2 ~]# vim /etc/hosts.deny 
	sshd:192.168.117.
#test1 ssh 远程连接 test2 失败
	[root@test1 ~]# ssh root@192.168.117.131
	ssh_exchange_identification: read: Connection reset by peer

3、只允许192.168.117.130 使用 ssh 远程连接本机

#test2 添加允许策略
	[root@test2 ~]# vim /etc/hosts.allow 
	sshd:192.168.117.130
#test1 ssh 远程连接 test2 成功
	[root@test1 ~]# ssh root@192.168.117.131
	root@192.168.117.131's password: 
	# test2 root 密码:123
	Last login: Mon Oct 12 22:04:30 2020 from 192.168.117.130
	[root@test2 ~]#
Tiamon_
关注
专栏目录
ssh安全远程管理和TCP Wrappers(简单防火墙
huazai198的博客
05-12 1207
5.1 什么是ssh ssh是Secure Shell 的缩写,是一个建立在应用层上的安全远程管理协议。ssh是目前较为可靠的传输协议,专为远程登录会话和其他网络服务提供安全性。利用ssh协议可以有效防止远程管理过程中的信息泄露问题。ssh可用于大多数UNIX和类UNIX操作系统中,能够实现字符界面的远程登录管理,它默认使用22端口,采用密文的形式在网络中传输数据,相对于通过明文传输的Telnet协议,具有更高的安全性。 5.2 ssh的登录验证模式 ssh提供了基于账号密码(口令)和密...
tcp_wrappers防火墙介绍
实践求真知
04-12 909
一 查看系统是否安装了tcp_wrappers 如果有上面类似输出,表示已经安装了tcp_wrappers模块。如果没有显示,可能没有安装,就需要通过yum或者rpm工具进行安装。  二 tcp_wrappers防火墙的局限性 系统中的某个服务是否使用了tcp_wrappers防火墙,取决于服务是否应用了libwrapped库文件,如果应用了就可以使用tcp_wrappers防火墙,系统
简单防火墙
03-12
基于c++的网络管理软件,实现简单防火墙功能
TCP_Wrappers
Albert__Einstein的博客
11-16 7788
简介 TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd,telnet。 工作原理 TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原
TCP Wrappers 工作原理及配置实例
weixin_45367434的博客
08-14 388
TCP Wrappers 是 Linux 系统中提供的一种访问控制机制,其主要作用是基于客户端的 `IP `地址**`对特定的服务进行访问控制`**,相当于我们手机的黑白名单。
TCP Wrappers】
DiKL_Y的博客
04-22 958
使用ssdh命令来定制网络配置,允许和放通
一个简单防火墙(iptables)实例
weixin_30824479的博客
07-28 508
#!/bin/bash##for centos7 iptables table##yum install iptables-services -y###规则的排列是有顺序的##清除默认规则 iptables -Fiptables -Xiptables -Z #设置策略 iptables -P INPUT DROP#iptables -P INPUT ACCEPTiptables -P OUT...
linux学习之路:Tcp_wrappers
qq_33318382的博客
02-17 2432
TCP_Wrappers 学习 一:为什么要学习TCP_Wrappers tcp_Wrappers是一个简单防火墙,它的全称是:Transmission Control Protocol(TCP)Wrappers。 它工作原理简单,方便易于上手,相当于我们手机的黑名单和白名单,对访问我们服务器的用户进行设置和管理。 1.1 TCP_Wrappers的特点 1)它工作在第四层数据链路层,可以对服务...
TCP Wrappers防火墙介绍与封锁IP地址的方法
01-20
Tcp_Wrappers是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables,linux默认都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,iptables防火墙...
Linux如何启用tcp_wrappers防火墙
weixin_33724046的博客
01-12 852
Tcp_Wrappers 是一个用来分析 TCP/IP 封包的软件,类似的 IP 封包软件还有 iptables。Linux 默认都安装了 Tcp_Wrappers。作为一个安全的系统,Linux 本身有两层安全防火墙,通过 IP过滤机制的iptables实现第一层防护。iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意***,保护整个系统正常运行,免遭...
Linux中的访问控制——TCP_Wrappers
还不是太晚的博客
06-28 2542
TCP Wrappers简介 TCP_Wrappers是Linux中的一个安全机制【TCP Wrappers防火墙】也可以成为访问控制,一定程度上达到了保护系统的目的,相当于我们手机的黑名单和白名单,对访问我们服务器的用户进行设置和管理。 TCP_Wrappers是一个工作在第4层(传输层)的安全工具,对有状态及特定服务进行安全检测并实现访问控制,凡是包含有libwrao.so库文件的程序就可以受tcp wrappers的管理。它的主要功能就是控制谁可以访问。 TCP_Wrappers(tcp封套,以作为应
一个简单防火墙程序
01-06
一个简单的个人防火墙程序,该程序可以进行简单的网络安全防护。
TCP Wrappers简单介绍
繁星若渺的博客
10-29 227
■ 保护机制的实现方式 ● 方式1: 通过tcpd程序对其他服务程序进行包装 ● 方式2: 由其他服务程序调用libwrap.so. *链接库 ■ 访问控制策略的配置文件 ● /etc/hosts. allow (白名单) ● /etc/hosts.deny (黑名单) ■ 设置访问控制策略 ● 策略格式: 服务程序列表: 客户端地址列表 ● 服务程序列表 ◆ 多个服务以逗号分隔,ALL表示所有服务 ● 客户端地址列表 ◆ 多个地址以逗号分隔,ALL表示所有地址 ◆ 允许使用通配符?和* ..
TCP Wrappers
jingde528的博客
11-30 1718
TCP Wrappers简介 TCP_Wrappers是一个工作在笫四层(传轮层)的的安全工具. 对有状态连接 (TCP) 的特定服务进行安全检测井实现访问控制. 界定方式是凡是调用 libwrap. so库文件的的程片就可以受TCP_Wrappers的安全控制。 它的主要功能就是控制谁可以访问, 常见的程序有rpcbind、 vsftpd、 sshd. telnet 。 判断方式(以sshd为例): 1.查看对应服务命令所在位置 which sshd 或 whereis sshd 2.查石指定命令执..
TCP_Wrappers 简介
weixin_30462049的博客
09-28 303
TCP_Wrappers 简介 TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd,telnet。 工作原理 TCP_Wra...
Linux网络服务-基础-TCP Wrappers
小二温华
03-26 230
TCP Wrappers简介 TCP_Wrappers是一个工作在第四层(传输层)的安全工具,对具有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwrap.so库文件的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd、telnet。 判断程序是否受其安全控制方式: 查看对应服务命令...
Linux TCPwrappers
Ora_G的博客
07-11 248
文章目录Tcpwrappers概述操作实验访问控制策略配置文件对白名单进行编辑对黑名单进行编辑其他 Tcpwrappers概述 Tcpwrappers: Transmission Control Protocol (TCP) Wrappers 为由 inetd 生成的服务提供了增强的安全性。TCP Wrappers 是一种对使用 /etc/inetd.sec 的替换方法。TCP Wrappers 提供防止主机名和主机地址欺骗的保护。欺骗是一种伪装成有效用户或主机以获得对系统进行未经授权的访问的方法。 TCP
如何添加 tcp_wrappers 镜像源
最新发布
09-25
TCP Wrappers,也称为hosts.allow和hosts.deny,是一种网络安全工具,它限制了特定IP地址对服务的访问。如果你想要将TCP Wrappers镜像源添加到你的系统上,特别是在Docker环境中,通常不需要直接添加镜像源,因为TCP Wrappers本身不是作为容器镜像发布的。然而,如果你想在运行的Docker容器中使用TCP Wrappers,你可以这样做: 1. **安装基础依赖**: 对于Linux主机,你首先需要安装`tcpd`包,它是TCP Wrappers的主要实现。对于Debian系列的系统如Ubuntu,可以使用以下命令: ``` sudo apt-get update sudo apt-get install tcpd ``` 或者使用其他包管理器替换apt-get。 2. **配置hosts.allow或hosts.deny文件**: TCP Wrappers的配置文件通常位于`/etc/tcpd/`目录下,比如`/etc/tcpd/allow`(允许列表)和`/etc/tcpd/deny`(禁止列表)。根据你的安全策略编辑这些文件。 3. **在Docker容器内使用**: 如果你想在容器内部使用TCP Wrappers,你需要确保它们的路径对容器可见,并且容器有足够的权限去读取和修改这些文件。你可以在Dockerfile中通过VOLUME挂载host目录到容器中: ```dockerfile RUN mkdir -p /etc/tcpd VOLUME /etc/tcpd ``` 4. **启动容器时挂载配置**: 当你构建并启动容器时,使用`-v`选项来指定主机上的TCP Wrappers目录: ``` docker run -it --rm -v /path/on/host:/etc/tcpd my-container ``` 请注意,这种方法适用于你在容器内手动控制并应用TCP Wrappers规则的情况。如果你需要自动化或者更复杂的网络策略,你可能会考虑使用更专业的防火墙工具或Docker的安全特性。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值