安全相关(ssh、Tcp wrappers、iptables)

最新推荐文章于 2023-03-19 17:17:08 发布
最新推荐文章于 2023-03-19 17:17:08 发布
阅读量785 收藏
点赞数
分类专栏: linux 文章标签: tcp 安全相关 ssh filter input output
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ppwnbo/article/details/5402842
版权

安全相关(ssh、Tcp wrappers、iptables)

实验目的:熟练掌握磁盘相关的操作,能熟练操作格式化、挂载和LVM、RAID。
实验环境:Red Hat Enterprise Linux Server 5.3
实验步骤:
一、ssh 登录
二、Tcp wrappers
三、Iptables
一、ssh 登录
1.ssh-keygen 生成密钥
[root@mail ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
6c:e1:72:40:25:31:59:77:27:cc:e4:68:3e:0d:69:76 root@mail.boss.com
2.在要登录的主机上建立
Vim authorized_keys 内容为下面的内容
[root@mail .ssh]# cat id_rsa.pub
ssh-rsa
AAAAB3NzaC1yc2EAAAABIwAAAQEA3QplcdhmVcztcb3GaM1r26X0MkPabnvkKH4lYiaCf+/2/sF
LtQc0kqa5Pdg3JVpo1IswFSuqlkK82WwKHvlteTg0RPCy7XxJgt8hiDdR0/GA6gnak2z4aSbIPdAfxi
dmE9bUKy15iug5cU9gyDCS+daH9ALKH7B+J6F4bwmFmkFQdE+cSg9eZ7bc65UNf51uSHMfxa1
yO8yl5vzZU3bVdmzdgMFV2eymhJNj3liDWJ/jLcsSNTdeXZKpVq8zuOlxzzjSu7c1VW4qmT8DMzZ
tlmNot8lu+Tx/HJFKuoIDgwpueicBAzATLVh2OPeHijszNI9CAy75BXt/GfqSwUCkNw==
root@mail.boss.com
3.scp root@192.168.0.1:/etc/fstab /tmp 从远程电脑拷贝文件
scp /etc/fstab root@192.168.0.1:/tmp 把本地文件拷贝到远程电脑
scp root@192.168.0.1:/etc/fstab root@192.168.0.2:/tmp 从一台电脑拷贝到另一个电脑
Sftp root@192.168.0.1
4. vi /etc/ssh/ssh_config 使用远程计算机的图形化界面程序
修改forwardX11 yes
5.ssh -f root@192.168.0.1 -L 8080:192.168.0.1:3128 sleep 500
隧道连接,绕开防火墙。
6. vi /etc/services 确定哪个端口没有被使用
vi /etc/ssh/sshd_config 改服务的端口
二、Tcp wrappers
基于进程的设置
Ldd /usr/bin/sshd
Vi /etc/hosts.allow sshd : 192.168.0.0/255.255.255.0 以allow为准
Vi /etc/hosts.deny sshd : ALL
数据链路层
arp -s, 192.168.0.2 00:B0:C4:01:19:B6 绑定mac 地址
arping 192.168.0.1
网络层
route -n 查看路由
route add default gw 192.168.0.1 设置路由
传输层
netstat -anpu
netstat -anpt
三、Iptables
一些实例
Iptables -t filter -A INPUT -j DROP ( ACCEPT )
Iptables -vnL 查看iptables 的信息
Iptables -t filter -F 删除filter表中的所有内容
Iptables -t filter -A INPUT -s 192.168.0.2 -j DROP
Iptables -t filter -A INPUT -s 192.168.0.0/24 -j DROP
Iptables -t filter -A OUTPUT -d 192.168.0.0/24 -j DROP
Iptables -t filter -A INTPUT -p tcp —dport 80 -j DROP
Iptables -t filter -A OUTPUT -p tcp —sport 80 -j DROP
Iptables -t filter -A INTPUT -p icmp —icmp-type 8 -j DROP
8 号类型是去的0 号类型是回的
1.表选项
表选项选项说明
-t filter filter表(不加-t 指定时的默认表)
-t nat nat 表
-t mangle mangle 表
2.命令选项
命令选项选项说明
-P <链名> 定义默认策略
-L <链名> 查看iptables的规则列表
-A <链名> 在规则列表的最后追加一条规则
-I <链名> 在指定的位置插入一条规则
-D <链名> 从规则列表中删除一条规则
-R <链名> 替换规则别表中的一条规则
-F <链名> 删除表中的所有规则
-Z 将表中的数据包计数器和流量统计归零
3.匹配选项
匹配选项选项说明
-p 指定数据包匹配的协议:如tcp,udp,icmp 等
-s 指定数据包匹配的源地址
--sport 指定数据包匹配的源端口号,可以使用”起始端口号:结束端口号“格式
-d 指定数据包匹配的目标地址
--dport 指定数据包匹配的目的端口号,可以使用”起始端口号:结束端口号“格式
-i 指定数据包从哪个网络接口进入
-o 指定数据包从哪个网络接口输出
4.动作选项
动作选项选项说明
ACCEPT 接受数据包
DROP 丢弃数据包
REDIRECT 将数据包重新向本机或另一台主机的某个端口,通常用来实现通明代理或对
外开放内网某些服务
SNAT 源地址转换,即改变数据包的源地址
DNAT 目标地址转换,即改变数据包的目的地址
MASQUERADE ip 伪装,就是常说的NAT 技术,它只能用于ADSL 等拨号上网的ip 伪装,
也就是主机的ip 是动态分配的,如果是固定的就要使用SNAT 了。
LOG 日志功能,将符合规则的数据包的相关信息记录在日志中,便于分析和排错
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT —to 192.168.100.254
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
Service iptables save
1. 定义默认策略
Iptables -P INPUT DROP
Iptables -P FORWARD DROP
Iptables -P OUTPUT
2.查看iptables的规则
Iptables -vnL
3.追加、插入、删除和替换规则
追加
[root@mail ~]# iptables -t filter -A INPUT -s 192.168.0.13 -j DROP
[root@mail ~]# iptables -t filter -A INPUT -s 192.168.0.13 -j ACCEPT
[root@mail ~]# iptables -t filter -nL INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 192.168.0.13 0.0.0.0/0 (两条规则相矛盾,以前条规则为主)
ACCEPT all -- 192.168.0.13 0.0.0.0/0
插入
[root@mail ~]# iptables -t filter -I INPUT 2 -s 192.168.0.1 -p tcp --dport 80 -j DROP
[root@mail ~]# iptables -t filter -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 192.168.0.13 anywhere
DROP tcp -- 192.168.0.1 anywhere tcp dpt:http
DROP all -- 192.168.0.13 anywhere
ACCEPT all -- 192.168.0.13 anywhere
删除
[root@mail ~]# iptables -t filter -D INPUT 3
[root@mail ~]# iptables -t filter -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 192.168.0.13 anywhere
DROP tcp -- 192.168.0.1 anywhere tcp dpt:http
ACCEPT all -- 192.168.0.13 anywhere
替换
[root@mail ~]# iptables -t filter -R INPUT 2 -s 192.168.0.0/24 -p tcp --dport 80 -j DROP
[root@mail ~]# iptables -t filter -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 192.168.0.13 anywhere
DROP tcp -- 192.168.0.0/24 anywhere tcp dpt:http
ACCEPT all -- 192.168.0.13 anywhere
删除
Iptables -F 删除filter表中的所有规则
Iptables -Z 将filter 表中的计数器和流量计数器清零
Iptables -t nat -F 删除nat 表中的所有规则

ppwnbo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux网络服务——远程访问及控制(SSH远程管理+TCP Wrappers)
CN_PanHao的博客
07-13 914
文章目录SSH远程管理OpenSSH服务器SSH远程登录配置文件中一些重要的参数scp命令-远程安全复制sftp命令-安全ftp上传下载TCP Wrappers SSH远程管理 SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行加密处理,其中包括用户登录时输入的用户口令。比以往的Telnet(远程登录)、RSH(远程执行命令)等传统的方式相比,SSH协议提供了更好的安全性 OpenSSH服务器 OpenSSHSSH
netfilteriptables & ufw与iptables关系
宾宾宝宝的博客
11-22 1358
本篇主要来介绍一下 什么是netfilteriptables 以及两者的关系 什么是ufw ,以及ufw与iptables的关系 先给出一段英文文献供同学们阅读学习 Traffic into or out of a computer is filtered through “ports,” which are relatively arbitrary (任意的)designations(名称) appended to(附加到) traffic packets destined for(注定要) use
iptables命令详解及tcp wrappers
weixin_34258838的博客
03-22 370
一:前言防火墙用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 对于TCP/IP的...
终于搞定阿里云ftp的问题
热门推荐
iRudder的专栏
11-09 3万+
感谢原文作者!!! 1--卸载 查看当前服务器中的vsftpd rpm -qa|grep vsftpd  例如结果为:vsftpd-2.2.2-13.el6_6.1.x86_64 执行卸载 rpm -e vsftpd-2.2.2-13.el6_6.1.x86_64 返回:卸载时自动备份vsftp的用户列表文件 warning: /etc/vsftpd/vsftpd.conf
vsftpd服务器(文件传输服务器)安装及使用二
qq_53022792的博客
04-07 2059
vsftpd服务器(文件传输服务器)安装及使用二配置文件解说使用二、配置匿名用户登录vsftpd1、配置匿名用户登录vsftpd操作过程2、匿名访问可能遇到的问题三、配置本地用户访问vsftpd1、配置本地用户访问vsftpd操作过程四、配置虚拟用户登录vsftpd一、yum命令安装过程二、rpm包安装过程测试是否能链接上vsftpd:控制防火墙命令控制vsftpd命令控制开机是否启动命令启动并进行测试测试连接出现的问题(持续更新) 配置文件解说 配置文件默认位置:/etc/vsftpd/vsftpd.c
构建基于虚拟用户,本地用户的vsftpd服务器
R_witch的博客
09-06 447
构建基于虚拟用户的vsftpd服务器 ——白·月 [root@localhost ~]#vim /etc/sysconfig/network-scripts/ifcfg-ens33 TYPE=Ethernet BOOTPROTO=static DEFROUTE=...
Linux中的访问控制——TCP_Wrappers
还不是太晚的博客
06-28 2386
TCP Wrappers简介 TCP_Wrappers是Linux中的一个安全机制【TCP Wrappers防火墙】也可以成为访问控制,一定程度上达到了保护系统的目的,相当于我们手机的黑名单和白名单,对访问我们服务器的用户进行设置和管理。 TCP_Wrappers是一个工作在第4层(传输层)的安全工具,对有状态及特定服务进行安全检测并实现访问控制,凡是包含有libwrao.so库文件的程序就可以受tcp wrappers的管理。它的主要功能就是控制谁可以访问。 TCP_Wrappers(tcp封套,以作为应
系统安全之万里长城——Iptables与Firewalld
Aogsk -- Hello Welcome
05-28 410
防火墙管理工具 防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。 防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在内网和公网之间流动了。 防火墙 在Linux系统中,Iptables与Firewalld是非常常用的防火墙管理工具。两者之
iptables详解
09-04
2. **TCPWrappers**:通过配置文件来限制对特定服务的访问。 3. **Xinetd**:提供一种集中管理和控制多种网络服务的方式。 4. **PAM (Pluggable Authentication Modules)**:为系统和服务提供灵活的身份验证机制。 5...
Linux如何启用tcp_wrappers防火墙
weixin_33724046的博客
01-12 826
Tcp_Wrappers 是一个用来分析 TCP/IP 封包的软件,类似的 IP 封包软件还有 iptables。Linux 默认都安装了 Tcp_Wrappers。作为一个安全的系统,Linux 本身有两层安全防火墙,通过 IP过滤机制的iptables实现第一层防护。iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意***,保护整个系统正常运行,免遭...
AnolisOS部署vsftp
宗辉.AimS
10-08 571
4.1.1 FTP用户创建 useradd -s /sbin/nologin -g easytong dev_ftpuser passwd dev_ftpuser输入密码比如310012 4.1.2 FTP工作目录创建 mkdir -p /opt/ftp 设置所属用户和用户组 chown -R easytong:easytong /opt/ftp 由于只要读权限,我们设置组权限为只读 chmod -R 755 /opt/ftp 4.1.3 安装并配置vsftp rpm -qa vsftpd
vsftpd 与TCP_wrapper 结合限制用户的ip地址登录
ppby2002的专栏
06-15 5863
/etc/hosts.allow 定义允许的地址:/etc/hosts.deny 定义拒绝的来源地址.如下:/etc/hosts.allow[root@BJFS-PIM root.adminssh]# cat /etc/hosts.allow## hosts.allow This file describes the names of the hosts
Linux_vsftpd服务安装及配置(三种登陆方式)
dongfang3085的博客
09-16 1459
FTP服务部署 ftp传输的机制: FTP通过21端口与Client端进行指令传输,通过20端口进行数据传输,根据工作模式的不同VSFTP分为主动模式和被动模式2种,大多是情况VSFTP是工作在被动模式下 主动模式: 1.Client端以一个大于1024的随机端口向FTP服务器的21号端口发出建立连接请求 2.Server端收到请求后,会以20端口主动去链接Clie...
CentOS8服务篇10:FTP服务器配置与管理
最新发布
weixin_41687096的博客
03-19 1709
CentOS8服务篇10:FTP服务器配置与管理。
vsftpd配置只允许某个IP段进行访问
太阳上的雨天
12-13 5186
项目开发中,经常要与服务器进行文件上传下载交互,ftp速度快,但是是明文传输,不够安全。如果采用ssh加密传输,速度就下降了不少。我们可以只允许本公司的IP访问ftp,别的IP不允许访问,进行如下配置。 修改/etc/vsftpd/vsftpd.conf文件 #开启tcp_wrappers,这样就可以在/etc/hosts.allow和/etc/host.deny中设置允许和拒绝访问的IP了 ...
TCP_Wrappers
poplar_xu的专栏
02-15 789
TCP_Wrappers好了,接着下来我们要来说一说,除了 xinetd 之外,还有另一个可以抵挡利用某些服务进入Linux 主机的方法,那就是常常使用的 /etc/hosts.allow 与 /etc/hosts.deny啰!这个方式是我们常常在使用的方法,这里先提几个比较简单的设定方式!注:TCP_Wrappers 也可以当成一个最内层的防火墙了,因为是最内层,所以当然要设
TCP Wrappers防火墙介绍与封锁IP地址的方法
hunanchenxingyu的专栏
07-29 1469
Tcp_Wrappers是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables,linux默认都安装了此软件,作为一个安全的系统   Tcp_Wrappers是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables,linux默认都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,ipt
Linux之Vsftpd虚拟用户、扩展应用tcp_wrapper实验总结
weixin_34410662的博客
11-08 333
Linux之Vsftpd虚拟用户实验总结一、vsftpd简介 vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux, BSD, Solaris, HP-UX 以及 IRIX 上面。它支持很多其他的 FTP 服务器不支持的特征:非常高的安全性需求、带宽限制、良好的可伸缩性、创建虚拟用户的可能性、IPv6支持、中等偏上的性能、分配虚拟...
ftp搭建流程
weixin_45735801的博客
06-07 331
FTP搭建流程
Linux漏洞检测与远程访问控制详解:SSHTCP Wrappers实践
本资源主要聚焦于Linux系统的漏洞检测与远程访问...这些知识点涵盖了Linux系统中网络安全的基础,包括SSH服务配置、TCP Wrappers策略、漏洞扫描工具和网络协议理解等,对于提升Linux运维技能和面试表现具有实际帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值