利用TCP Wrappers构建sshd访问控制列表

最新推荐文章于 2021-02-25 10:04:26 发布
最新推荐文章于 2021-02-25 10:04:26 发布
阅读量174 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjgaocp/article/details/100582864
版权

TCP wrappers是一个基于主机的网络访问控制列表系统,他的核心是名为libwrap的库,所有调用这个库的程序都可以利用libwrap提供的网络访问控制能力。

 

在Linux系统中我们可以使用ldd命令来判断一个程序是否调用了libwrap的库。

我们可以看到Openssh的服务端程序sshd调用了libwrap,那我们就可以使用TCP Wrappers来控制允许或禁止哪些主机访问sshd

 

远程IP请求连接的时候,TCP Wrappers检查策略先看/etc/hosts.allow是否允许如果允许则直接放行,如果没有,则再看/etc/hosts.deny中是否禁止,如果禁止那么禁止连接,否则允许连接。

 

我们可以使用如下配置来仅仅允许指定的10.125.192.1访问sshd

vim /etc/hosts.allow

sshd:10.125.192.1:allow
sshd:ALL:deny   #明确禁止不在白名单内的ip访问

/etc/hosts.allow 的配置语法

服务名:来源IP/网段(多个IP/网段以英文,分割):动作(allow允许,deny禁止)

 

使用TCP Wrappers时,不需要重启程序,修改etc/hosts.allow和etc/hosts.deny并保存后,对于所有新建立的TCP连接立即生效,对已建的立连接无效。

 

bjgaocp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Centos中TCPWrappers访问控制实现
01-10
TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略。 1、策略的配置
远程访问及控制(SShd、TCP Wrappers)
Liu_handsome_brother的博客
09-16 5795
配置OpenSSH服务端 1、服务监听选项 2、用户登陆控制 客户端地址绑定 3、登陆验证方式 使用ssh客户端 1、命令程序ssh、scp ssh远程登陆 scp远程复制 构建密钥对验证的ssh体系 1、客户端创建密钥对 2、公钥导入服务器 TCP Wrappers的访问策略 1、策略的配置格式 <...
sshd中tcp-wrappers的调用
一块积木
05-10 3747
今天配置sshd的时候,发现openssh-server不同过xinetd依然可以得到tcp-wrappers的知识,好奇之下就察看了 sshd和tcp-wrapper的代码,做成笔记写在下面。这些笔记对想使用tcp-wrappers的程序员来说有一定的参考价值。一些基础知识什么是sshssh secure shell,是用户在进行传输的时候使用的一种保密协议。本来这是为telne
Linux的SSH远程管理
不知道是谁的博客
02-25 188
文章目录一.SSH远程管理(一)配置OpenSSH服务端配置OpenSSH服务端sshd 服务支持两种验证方式:(二)使用SSH客户端程序1.ssh远程登录2.scp远程复制3.sftp 安全FTP(三)密钥对验证得SSH体系①在客户端创建密钥对②将公钥文件上传至服务器方法2.在服务器中导入公钥文本③在客户端使用密钥对验证④在客户端设置ssh代理功能,实现免交互登录二.TCP Wrappers访问控制(一)TCP Wrappers概述(二)访问策略 一.SSH远程管理 SSH(Secure Shell)
TCP_Wrappers实现访问控制
qq_39526788的博客
09-17 912
作者:Wieste Venema,IBM。 TCP_Wrappers可以对有状态连接的特定服务进行安全检测并实现访问控制,类似起到防火墙的功能,然而并不是所有的应用都是使用TCP_Wrappers的,所以管理是有限制的, TCP_Wrappers是工作在第四层(传输层)的TCP协议,某进程是否接受libwrap的控制取决于发起此进程的程序在编,译时是否针对libwrap进行编译的,判断服务程序是
解决openssh-server : Depends: libwrap0( = 7.6-4~)
u010264539的专栏
03-10 3806
安装Ubuntu openssh-server的时候遇到这样的问题:root@ubuntu:~# apt-get install openssh-server Reading package lists... Done Building dependency tree Reading state information... Done Some packages could not be insta
Linux 基本设置技巧:如何使用tcpwrappers控制文件
08-15
绍linux基本设置技巧:如何使用tcpwrappers控制文件。
TCPwrapper访问控制工具
01-09
TCPwrapper访问控制工具 什么是TCPwrapper TCPwrapper是一种访问控制工具是操作系统自带的,类似于防火墙(iptables)可以用作访问控制。 针对系统进程来做限制的 TCPwrapper有两个配置文件(文件中写入ip或网段) 1./...
Linux Centos7 —sshd远程登录,密钥对登录,TCPWrappers访问控制
bccudcrmcz67736的博客
09-16 561
本章环境:VM虚拟机,一台服务器作为服务端,一台服务器作为客户端 本章目的:了解sshd远程登录管理,密钥对验证,Tcp wappers访问控制 一.sshd远程登录 1.查看sshd服务 [root@localhost ~]# netstat -ntap | grep 22 tcp 0 0 192.168.122.1:53 0.0.0.0:* ...
linux Rootkit检查
bjgaocp的博客
10-11 2112
Rootkit是linux系统下常见一种木马后门程序,通过替换系统文件来达到隐藏和入侵的目的,攻击能力极强 Rootkit分类和原理: 隐藏进程 隐藏文件 隐藏网络端口 后门功能 键盘记录 Rootkit主要分一下两种 1 用户态:一般通过覆盖系统二进制和库文件来实现 2 内核态: 通常通过可加载内核模块将恶意代码直接加载进内核中 利用Chkrootkit检测Rootkit...
用户特权管理
bjgaocp的博客
09-23 996
限定可以使用su的用户 Linux系统中的普通用户可以通过su和sudo命令拥有超级用户权限。 在默认情况下,任何普通用户只要知道超级用户root的密码,都可以通过su - root变成root权限,那么这样就存在一些安全隐患。 我们可以设置仅有属于某个组的用户可以通过su变成root,例如我们限制只有wheel组的用户可以su成root。 例: 创建两个普通用户,test1,test2...
统计系统uid为0的用户数
bjgaocp的博客
12-07 900
awk -F: '{if($3==0){a++} else{i++}} END{print "管理员个数: "a ;print "系统用户: "i}' /etc/passwd
系统弱密码检查John
bjgaocp的博客
09-20 857
使用 John the ripper 检查弱密码 John the ripper是一个快速的密码破解工具,他用于在已知密文的情况下尝试破解出明文 安装 tar xf john-1.8.0.tar.gz cd john-1.8.0/src/ make clean linux-x86-64 使用方法 cd ../run 把系统中passwd和shadow文件整合在mypasswo...
DenyHosts
bjgaocp的博客
09-09 707
对于没有固定来源IP地址但有需要进行防护的场景来说,DenyHosts来防止暴力破解是一种非常有效的措施。 DenyHost是使用Python开发的,它通过监控系统日志文件(/var/log/secure),来分析是否存在对OpenSSH的暴力破解行为,如果发现暴力破解,则其从系统安全日志分析出来源IP地址,然后通过在/etc/hosts.deny文件中加入相应的条目来使TCP Warap...
对敏感备份数据加密
bjgaocp的博客
09-25 593
不管是数据库备份还是文件备份,其中都有可能会有敏感数据,所以对备份加密是对敏感数据保护的最后防线。 使用GnuPG加密 gpg -c test.txt 提示要求输入2次密码,即生成加密后的文件test.txt.gpg 加密后的文件是无法直接读取其中数据的 解密 gpg -d test.txt.gpg >test.txt 使用OpenSSL加密 使用 ...
踢掉一个远程登录用户
bjgaocp的博客
07-07 584
查看当天有几个账号登录了终端 w 或 who 或 踢掉方法 1 是用fuser命令 Centos7中没有fuser命令,需要安装 查询fuser命令基于哪个软件包 yum provides fuser 安装psmisc yum -y install psmisc fuser -k /dev/pts/2 方法2 pkill -kill -t pts/2 方法3 kill -9 23074 ...
sshd安全优化
bjgaocp的博客
02-25 512
vim /etc/ssh/sshd_config 1 修改sshd服务端口(强烈建议修改) 17 #Port 22 改为 Port xxxx(指定一个端口) 2修改监听协议,只监听某个或某些网络协议 18 #AddressFamily any 改为 AddressFamily inet 3 只监听指定IP地址 19 #ListenAddress 0.0.0.0 ...
SUID和SGID可执行文件
bjgaocp的博客
09-24 383
suid执行程序时使普通用户拥有程序所有者的权限,但suid只能对二进制程序添加 chmod u+s /etc/passwd guid自动继承父目录的属组 chmod g+s /etc/passwd 检查系统中所有的SUID和SGID find / -perm -u=s -type f find / -perm -g=s -type f 使用sxid监控...
恢复已删除文件
bjgaocp的博客
09-24 284
使用软件:extundelete wget https://sourceforge.net/projects/extundelete/files/extundelete/0.2.4/extundelete-0.2.4.tar.bz2/download -O extundelete-0.2.4.tar.bz2 安装依赖 yum -y install e2fsprogs-libs e2fsprogs ...
TCP Wrappers是做什么的
最新发布
06-08
TCP Wrappers是一个在Unix/Linux系统中提供网络访问控制功能的软件包。它通过对TCP/IP网络服务的访问进行监控和控制,实现了对网络安全的管理。TCP Wrappers的主要功能包括: 1. 记录来自网络上的连接请求和服务...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值