传输层的安全控制工具------TCP_Wrappers

最新推荐文章于 2024-04-27 03:57:39 发布
最新推荐文章于 2024-04-27 03:57:39 发布
阅读量760 收藏 2
点赞数 5
分类专栏: Linux 文章标签: TCP_Wrappers 传输层的安全工具 访问控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhangPengFeiToWinner/article/details/88240762
版权

1.简单了解什么是TCP_Wrappers:
TCP_Wrappers是Linux中的一个安全机制[即TCP_Wrappers防火墙],在一定程度上限制某种服务的访问权限,达到了保护系统的目的,TCP_Wrappers是一个工作在第四层(传输层)的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的程序就可以受TCP_Wrappers的安全控制。TCP_Wrappers的主要功能就是控制谁可以访问谁不可以访问,对指定程序实现访问控制,常见的程序有telnet、ssh、sendmail、ftp 、pop3 和 stunnel。
根据这个安全控制工具的名字,我们就可以发现TCP_Wrappers 是不提供基于UDP连接的访问控制,针对UDP连接的访问控制我们可以通过使用内置或第三方的防火墙来实现。
如果需要查看某应用程序是否支持TCP_Wrappers,我们可以通过下列命令查看:

[root@localhost ~]# strings /usr/sbin/sshd|grep hosts_access
hosts_access

2.TCP_Wrappers的工作原理:
在这里插入图片描述
TCP_Wrappers有一个TCP的守护进程叫作tcpd。我们以ssh远程登录为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。如上图所示,当我们发起一个ssh的连接请求时,tcpd进程会截获我们的连接请求,它通过先与/etc/hosts.allow文件进行匹配看是否允许,允许则直接将请求转给ssh进程,由ssh进程响应连接,匹配失败再与/etc/hosts.deny拒绝文件进行匹配,匹配成功拒绝请求,匹配失败即没做任何设置,默认允许。
3.使用TCP_Wrappers:
TCP_Wrappers主要是依靠两个配置文件/etc/hosts.allow和/etc/hosts.deny来实现接受和拒绝具有TCP_Wrappers控制权限的程序,详细信息具体可以查看man手册(man 5 hosts_access, man 5 hosts_options),这里我们就做简单的演示和使用。
初始状态下,/etc/hosts.allow和/etc/hosts.deny两个配置文件中什么都没有添加,此时没有任何限制,任何ip都可以连接。下面我们来了解一下,如何通过这两个配置文件实现访问控制,配置文件格式遵循如下规则:

daemon_list@host: client_list [:options :option…]
daemon_list:程序的列表,可以是单个也可以是多个,多个时以逗号为分隔符;
@host:是我们的限制的自己网卡访问接口,设置允许或禁止他人从自己的哪个网口进入(可以不写,不写就代表所有);
client_list:客户列表,用来记录客户端访问者的ip地址,如果需要控制的用户较多,可以使用空格或逗号分割,其格式如下:
基于IP地址或一个ip网段:192.168.10.1 192.168.10.
基于主机名: www.panghu.com .panghu.com //较少用
基于网络/掩码:192.168.10.0/255.255.255.0
内置ACL: ALL、LOCAL、KNOWN、UNKNOWN、PARANOID
ALL------所有主机;
LOCAL------本地主机;
KNOWN------主机名可解析成ip地址;
UNKNOWN------主机名无法解析成IP地址;
PARANOID------正向解析与反向解析不对应的主机;
EXCEPT------反向操作;

TCP_Wrappers的缺点:只能针对服务程序和主机地址进行访问控制策略的设置,而不能指定网络解析和其他属性进行设置。
TCP_Wrappers的特点:配置改变,立即生效。
TCP_Wrappers的访问控制判断顺序:先允许后拒绝,允许绝对优先
3.下面我们以ssh远程登录为例,进行一下案例的实现(在这里我是通过两台虚拟机进行实验的,192.168.10.206为服务器端,192.168.10.211为客户机端):
案例一:不做任何配置的情况下,利用客户端ssh登录服务端。
在这里插入图片描述
案例二:编辑配置文件/etc/hosts.deny拒绝客户端ssh登录对配置文件/etc/hosts.allow不做任何操作。
服务端:

[root@server ~]# vim /etc/hosts.deny
sshd:192.168.10.211

客户端测试:
在这里插入图片描述
ssh_exchange_identification: read: Connection reset by peer.代表TCP_Wrappers已拒绝请求。
案例三: 编辑配置文件/etc/hosts.deny拒绝客户端ssh登录再编辑配置文件/etc/hosts.allow允许客户端登录。
服务端:

[root@server ~]# vim /etc/hosts.allow
sshd:192.168.10.211

客户端测试:
在这里插入图片描述
案例四:服务端允许192.168.10.0网段的用户登录,但是拒绝192.168.10.211用户登录。
服务端配置:

[root@server ~]# vim /etc/hosts.allow
sshd:192.168.10. EXCEPT 192.168.10.211

这里就存在了两种情况,如果配置文件/etc/hosts.deny定义了拒绝192.168.10.211用户的话,那么拒绝该用户登录,但是若/etc/hosts.deny配置文件中,没有定义拒绝该主机的话,那么会允许该主机登录,因为192.168.10.0网段已经允许其中就包括192.168.10.211。
案例五:拒绝所有的ssh与telnet服务访问服务端。

[root@server ~]# vim /etc/hosts.deny
in.telnetd,sshd:ALL
Zhang To_Dream
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ui-wrappers:UI-wrappers
02-13
UI包装器UI框架的包装器集合。支持的框架添加了对以下框架的支持:项目状态该项目处于WIP (进行中)状态,几乎尚未编写任何内容。特征这是项目中包含的实际功能: browserSafeCheck() :验证是否从静态文件运行。...
tcp_wrappers-devel-7.6-77.el7.i686.rpm
12-26
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
tcp_wrappers-devel-7.6-77.el7.x86_64.rpm
11-30
离线安装包,亲测可用
RHCE之FTP与TCP_wrappers
Breay_oo的博客
12-27 604
什么是FTP FTP(File Transfer Protocol,文件传输协议) 是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分,其一为FTP服务器,其二为FTP客户端。其中FTP服务器用来存储文件,用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。在开发网站的时候,通常利用FTP协议把网页或程序传到Web服务器上。此外,由于FTP传输效率非常高,在网络上传输...
RabbitMQ快速实战与集群架构详解(1)
最新发布
2401_84166965的博客
04-27 951
另外,也可以增加HA-proxy来做前端的负载均衡,通过HA-proxy增加一个前端转发的虚拟节点,应用可以像使用一个单点服务一样使用一个RabbitMQ集群。通常镜像模式的集群已经足够满足大部分的生产场景了虽然他对系统资源消耗比较高,但是在生产环境中,系统的资源都是会做预留的,所以正常的使用是没有问题的。在RabbitMQ中,一个节点的服务其实也是作为一个集群来处理的,在web控制台的admin-> cluster中可以看到集群的名字,并且可以在页面上修改。同样,这些配置的策略也可以在Web控制台操作。
安装VSFTPD后, FTP连接报错:500 OOPS: tcp_wrappers is set to YES but no tcp wrapper support compiled in
zhangxj_study的博客
12-17 3272
解决方法 vim /etc/vsftpd/vsftpd.conf 找到 tcp_wrappers=YES 这一行, 注释掉它
如何实现ftp的安全 简易的防火墙tcp_wrappers 和ca认证
weixin_34324081的博客
12-19 167
实现安全的ftp访问 方法一:利用vsftp主配置文件中的tcp_wrappers(简易的防火墙)实现 方法二:利用CA认证实现安全的ftp访问 方法一的实现步骤: 1.主要修改的文件是/etc/hosts.allow/etc/hosts.deny [root@mail~]#ldd`whichvsftpd` 2.控制实现的效果是只...
Linux之Vsftpd虚拟用户、扩展应用tcp_wrapper实验总结
weixin_34410662的博客
11-08 322
Linux之Vsftpd虚拟用户实验总结一、vsftpd简介 vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux, BSD, Solaris, HP-UX 以及 IRIX 上面。它支持很多其他的 FTP 服务器不支持的特征:非常高的安全性需求、带宽限制、良好的可伸缩性、创建虚拟用户的可能性、IPv6支持、中等偏上的性能、分配虚拟...
tcp_wrappers_7.6-ipv6.4.tar.gz_Talk Talk_tcp_wrappers-7.6_tcp_wr
09-21
With this package you can monitor and filter incoming requests for the SYSTAT, FINGER, FTP, TELNET, RLOGIN, RSH, EXEC, TFTP, TALK, and other network services.
tcp_wrappers-libs-7.6-77.el7.x86_64.rpm
11-30
离线安装包,亲测可用
tcp_wrappers-7.6-77.el7.x86_64.rpm
11-30
离线安装包,亲测可用
CentOS8服务篇10:FTP服务器配置与管理
weixin_41687096的博客
03-19 1688
CentOS8服务篇10:FTP服务器配置与管理。
Linux网络服务SSH远程登录SCP远程复制SFTP安全FTP及TCPwrappers访问策略
不够优秀才会那么依赖其他人,不够成熟才会信任所有耀眼的外衣,不够强大才会浪费时光去迎合他们的玩闹!
02-26 332
目录标题SSH远程管理OpenSSH服务端介绍配置OpenSSH服务端ssh远程登录密钥对验证的SSH体系配置密钥对验证scp远程复制sftp 安全 FTPTCP Wrappers 访问控制TCP Wrappers 概述TCP Wrappers 访问策略TCP Wrappers 机制的基本原则 SSH远程管理 OpenSSH服务端介绍 SSH (Secure Shell) 协议 是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能 对通信数据进行了加密处理,其中包括用户登录时输入的用户
ftp服务的搭建与使用
qq_52099294的博客
10-17 1447
本文涉及ftp服务器的基本使用,可能会帮助到您,如果觉得对您有帮助,就点个赞吧
终于搞定阿里云ftp的问题
热门推荐
iRudder的专栏
11-09 3万+
感谢原文作者!!! 1--卸载 查看当前服务器中的vsftpd rpm -qa|grep vsftpd  例如结果为:vsftpd-2.2.2-13.el6_6.1.x86_64 执行卸载 rpm -e vsftpd-2.2.2-13.el6_6.1.x86_64 返回:卸载时自动备份vsftp的用户列表文件 warning: /etc/vsftpd/vsftpd.conf
Linux的FTP安装、使用和配置(FTP客户端管理工具
梦想起飞的地方.........
03-09 5896
ftp
ftp配置
weixin_53061108的博客
11-09 1956
•如果将chroot_local_user的值设置为YES时,那么位于列表文件/etc/vsftpd.chroot_list中的用户则不执行chroot,而其他未列在此文件中的本地用户则要执行chroot。•在/etc/vsftpd/chroot_list文件中列出被限制的用户的列表chroot_list_file=/etc/vsftpd/chroot_list。chown ftp.ftp /var/ftp/mypublic创建用来存放匿名用户上传文件的目录,并将该目录的所有者改为ftp。
linux学习之路:Tcp_wrappers
qq_33318382的博客
02-17 2309
TCP_Wrappers 学习 一:为什么要学习TCP_Wrappers tcp_Wrappers是一个简单的防火墙,它的全称是:Transmission Control Protocol(TCP)Wrappers。 它工作原理简单,方便易于上手,相当于我们手机的黑名单和白名单,对访问我们服务器的用户进行设置和管理。 1.1 TCP_Wrappers的特点 1)它工作在第四层数据链路层,可以对服务...
Linux中的访问控制——TCP_Wrappers
还不是太晚的博客
06-28 2155
TCP Wrappers简介 TCP_Wrappers是Linux中的一个安全机制【TCP Wrappers防火墙】也可以成为访问控制,一定程度上达到了保护系统的目的,相当于我们手机的黑名单和白名单,对访问我们服务器的用户进行设置和管理。 TCP_Wrappers是一个工作在第4层(传输层)的安全工具,对有状态及特定服务进行安全检测并实现访问控制,凡是包含有libwrao.so库文件的程序就可以受tcp wrappers的管理。它的主要功能就是控制谁可以访问。 TCP_Wrappers(tcp封套,以作为应
yum install tcp_wrappers
06-06
TCP Wrapper可以用来控制哪些主机或用户可以连接到你的服务器上的某些服务。它可以帮助你增强服务器的安全性。你可以在安装后在/etc/hosts.allow和/etc/hosts.deny文件中配置TCP Wrapper,来控制哪些主机或用户可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值