TCP Wrapper简易防火墙

TCP Wrappers

TCP Wrappers 简介

TCP_Wrappers是一个工作在第四层(传输层)的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwrap.so库文件的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有:rpcbind、vsftpd、sshd、telnet。

判断方式:

  1. 查看对应服务命令所在位置which sshd

  2. 查看指定命令执行时是否调用libwrap.so文件

    ldd /usr/sbin/sshd | grep libwrap.so
    

TCP Wrappers 工作原理

以ssh为例,每当有ssh连接请求时,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制列表中的设置,则会中断连接请求,拒绝提供ssh服务。

tcp wrappers 工作过程.png

  1. 优先查看hosts.allow,匹配即停止
  2. 允许个别,拒绝所有:hosts.allow文件添加允许策略,hosts.deny文件添加all
  3. 拒绝个别,允许所有:hosts.allow文件为空,hosts.deny文件添加单个拒绝的策略

TCP Wrappers 的使用

TCP_Wrappers的使用主要依靠两个配置文件/etc/hosts.allow,/etc/hosts.deny,以此实现访问控制,默认情况下,/etc/hosts.allow,/etc/hosts.deny什么都没有添加,此时没有限制

配置文件编写规则

service_list@host:client_list

service_list:是程序(服务)的列表,可以是多个、多个时使用,隔开

@host:设置允许或禁止他人从自己的哪个网口进入。这一项不写,就代表全部。

client_list:是访问者的地址,如果需要控制的用户比较多,可以使用空格或,隔开

ALL:所有的服务或IP

ALL EXCEPT:除去指定服务或IP后的所有服务或IP

实验

# 通过ALL EXCEPT配置除了192.168.64.5这台服务器,任何服务器执行所有服务时被允许或拒绝

 ALL : ALL EXCEPT 192.168.64.5

# 在规则中使用通配符,匹配192.168.64.x网段中所有主机访问当前服务器和域名满足以test.com结尾即可访问当前服务器

sshd : 192.168.64.*,*.test.com

TCP_Wrapper动作的进阶使用

 # spawn:先执行后续命令,执行完后远程服务器会等待5秒重置连接的时间

 # twist:先执行后续命令,执行完后立刻断开与远程服务器的连接


 # 设置拒绝远程服务器登录后,给root用户发送安全提示邮件

 vi etc/hosts.deny

 sshd : ALL: spawn (echo "Security notice from host $(/bin/hostname)" | bin/mail -s "reject %d-%h ssh" root)

 #sshd : ALL : twist (echo "Security notice from host $(/bin/hostname)" | bin/mail -

 

HTML 1424 字节 88 单词 55 行

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿瑾~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值