linux安全之TCP Wrappers

  之前有篇文章讲述了linux服务器的安装增强(http://blog.csdn.net/cracker_zhou/article/details/50392594)。在大牛看来这或许不够专业但是我会不断的好好学习,向大牛看起。让csdn的每篇blog见证我的成长。今天主要要讲的是/etc/hosts.deny文件。

1.TCP Wrappers
  TCP Wrappers使用访问控制列表 (ACL) 提供防止主机名和主机地址欺骗的保护,依赖/etc/hosts.allow和/etc/hosts.deny文件作为简单访问控制语言的基础,可用于任何包含了libwrap.so的daemon程序使用。简单的说就是如果某个服务包含了libwrap.so就可以使用hosts.allow和hosts.deny里面的规则来控制哪些主机能(或者不能)访问某些服务。
  当某个包含TCP wrappers的服务接收到来自客户端的请求时,将首先经历以下两个步骤:
  ①.根据顺序依次检查ip地址是否在hosts.allow的白名单中,如果存在且设置的放行规则是allow,则通过TCP Wrappers保护,真正进行相关服务的连接操作。
  ②.如果在hosts.allow中没有相关规则则检查hosts.deny文件。如果在hosts.deny的规则中,则直接拒绝对该服务的连接请求。
  需要特殊说明的是:
  ①.hosts.allow和hosts.deny文件中的规则是非常讲究顺序的。同样的hosts.allow和hosts.deny中规则,以由上到下,由hosts.allow到hosts.deny的顺序依次匹配,当在两个文件中都没有匹配到控制规则或者这两个文件不存在时,默认规则是允许。
  ②.TCP wrapped不会缓存hosts.allow和hosts.deny中的规则,所以针对hosts.allow和hosts.deny中规则的更改是立即生效的。
  
2. hosts.allow和hosts.deny的语法
  hosts.allow和hosts.deny规则的语法是一样的,均由 服务名称:ip地址:allow/deny 组成,且每行只写一条规则。
  #以#打头的规则是注释,
  sshd:192.168.0.1:allow
  vsftpd:192.168.0.0/24:deny
  ALL:192.168.0.0/255.255.254.0
  第一行是注释,第二行表示允许接受来自192.168.0.1的ssh连接请求,第三行表示不允许192.168.0.1-192.168.0.254这个ip段的ftp请求。第三行规则省略了默认规则,所以如果该规则写在hosts.allow文件中,则表示允许192.168.0.0/255.255.254.0中所有ip地址对所有服务的访问。如果写在hosts.deny中,则表示拒绝192.168.0.0/255.255.254.0中所有ip地址对所有服务的访问。

3.通过tcp wrappers增强sshd的安全性
根据ldd命令可以检查当前编译的sshd是否支持tcp wrapper: ldd `which sshd` | grep libwrap
从openssh6.7开始,官方移除了对tcp wrappers的支持。所以如果各位看官如果需要使用tcp wrappers增强对sshd的安全性,那么可以要么使用openssh6.6及以下版本,或者使用国外大牛补丁重新编译。这里提供一份自动编译脚本:http://download.csdn.net/detail/cracker_zhou/9458110(免积分)如果各位看官需要自己编译openssh6.6及以下版本,记得编译时加上--with-tcp-wrappers 选项。

4.计划任务获取在线hosts.deny
  在这里推荐一个由东大提供的在线hosts.deny,更新速度很快。
  http://antivirus.neu.edu.cn/ssh/lists/neu_sshbl_hosts.deny
  写一个小脚本,自动获取该hosts.deny并覆盖到系统的/etc/hosts.deny,更改root用户的crontab,每隔1个小时更新一次hosts.deny文件。

 至此,TCP Wrappers及其应用就讲完了,有问题欢迎在下面留言。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值