配置 TCP Wrappers 访问控制策略(实例:实现对 SSH 等服务再保护)

于 2024-08-20 16:52:43 发布
阅读量224 收藏 1
点赞数 8
文章标签: tcp/ip ssh 网络 linux 服务器 运维 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44421043/article/details/141362629
版权

文章目录

TCP Wrappers 访问控制

TCP Wrappers 是一种安全机制,通过包裹TCP服务程序(如SSH、FTP等),在连接请求到达服务程序前进行安全检查。

大多数 Linux 发行版,TCP Wrappers 是默认提供的功能。

可以使用 rpm -q tcp wrappers 检查软件包是否安装。

TCP Wrappers 保护机制的实现方式

  1. 使用 tcpd 程序: 直接对其他服务程序进行保护,需运行 tcpd 程序。
  2. 调用 libwrap.so.* 链接库: 不需要运行 tcpd 程序,广泛应用于网络服务程序,效率更高。

  • 验证是否使用TCP Wrappers:

    使用 ldd 命令查看服务程序是否调用了 libwrap.so.* 链接库。

    ldd $(which ssh vsftpd)

TCP Wrappers 的访问策略

TCP Wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。

TCP Wrappers 通过 /etc/hosts.allow/etc/hosts.deny 文件分别设置允许和拒绝的访问策略。

文件内容格式

<服务程序列表>:<客户端地址列表>

服务程序列表:

  • ALL:代表所有服务。
  • 单个服务程序:如 vsftpd
  • 多个服务程序:如 vsftpd,sshd

客户端地址列表:

  • ALL:代表所有客户端地址。
  • LOCAL:代表本机地址。
  • 可使用通配符 `` 和 ?
  • 支持网段地址和区域地址,如 192.168.80..benet.com

策略基本原则

  1. 首先检查 /etc/hosts.allow 文件: 如果找到匹配策略,则允许访问。
  2. 然后检查 /etc/hosts.deny 文件: 如果找到匹配策略,则拒绝访问。
  3. 未匹配到任何策略: 则允许访问。
  • 策略设定:
    • 允许所有,拒绝个别: 只需在 /etc/hosts.deny 文件中添加拒绝策略。
    • 允许个别,拒绝所有:/etc/hosts.allow 中添加允许策略,并在 /etc/hosts.deny 中设置 ALL:ALL 的拒绝策略。

实例

限制SSH服务仅允许从特定IP地址访问。

  • 设置允许策略:

    vi /etc/hosts.allow
sshd:12.0.0.1,192.168.80.*

  • 设置拒绝策略:

    vi /etc/hosts.deny
sshd:ALL

此配置仅允许 12.0.0.1192.168.80.0/24 网段的主机访问 sshd 服务,其他地址将被拒绝。

shyuu_
关注
  • 8
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos中TCPWrappers访问控制实现
01-10
TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略。 1、策略配置
Linux 基本设置技巧:如何使用tcpwrappers控制文件
08-15
Linux系统中的tcpwrappers是一种强大的安全工具,它允许管理员通过设置`hosts.allow`和`hosts.deny`两个访问控制文件来控制哪些网络服务可以接受来自特定客户端的连接。这两个文件基于简单的规则集,用于增强系统...
tcp_wrappers_7.6-ipv6.4.tar.gz_Talk Talk_tcp_wrappers-7.6_tcp_wr
09-21
With this package you can monitor and filter incoming requests for the SYSTAT, FINGER, FTP, TELNET, RLOGIN, RSH, EXEC, TFTP, TALK, and other network services.
sshtcp_wrappers
08-30
云计算
TCP/IP 协议及其协议号
细雨青峦的博客
08-12 808
tcp/ip 协议号 十进制 十六进制
strip 、objdump、objcopy 差异与区别
weixin_43269452的博客
08-15 456
1、获取一个二进制文件,file 看一下基本信息。2、看下文件中调试信息。
tcpdump快速入门及实践手册
geriletuma
08-16 967
Linux系统下,tcpdump快速入门及实践说明。简单说明了tcpdump基本语法,过滤器及其参数,常用抓包命令介绍,典型抓包案例讲解等。
Windows和Linux系统查看设备IP的方法
chen_znn的博客
08-16 355
本文记录了在Windows和Linux系统查看设备IP的方法
出省了为什么ip地址没变?怎么修改自己的ip地址变外省的
hgdlip的博客
08-14 710
在数字时代,IP地址作为网络世界中每台设备的唯一标识,其重要性不言而喻。然而,许多人在跨省份旅行或工作时,可能会发现尽管自己已经身处新的地域,但IP地址却并未随之改变。这一现象不仅令人困惑,那么,为什么会出现这种情况?我们又该如何修改自己的IP地址以反映当前的外省位置呢?本文将为您详细解答这些问题。
Java TCP练习(2)
Aishangyuwen的博客
08-16 158
Java TCP练习(2)
tcpdump的使用
zhenshanren的博客
08-17 264
tcpdump是linux上的抓包工具,类似windows系统的wireshark,是最广泛使用的抓包工具。
品牌出海新策略:携手TikTok达人,合作孵化IP实现双赢
wmdage的博客
08-19 527
在当今数字化时代,TikTok达人的IP孵化作为一种创新的合作模式,正逐渐成为品牌出海的新兴策略,通过与有潜力的TikTok达人合作,共同孵化新的IP,品牌不仅能够突破传统营销的局限,还能实现与达人共同成长的双赢局面。
每日一问:深入探讨TCP与UDP的区别
upgrador的博客
08-16 1216
网络通信中,TCP(传输控制协议)和UDP(用户数据报协议)是最常用的传输层协议。本文将详细探讨这两者的基本概念、功能差异及其在实际应用中的使用场景。通过实例和代码演示,我们将进一步理解这两种协议的不同之处,并探讨它们各自的优劣势。
Java TCP练习
Aishangyuwen的博客
08-15 612
Java TCP练习
UDP/TCP --- Socket编程
最新发布
m0_74830524的博客
08-19 700
本篇将使用 Linux 中的系统调用来实现模拟 TCP 和 UDP 的通信过程,其中只对 UDP 和 TCP 进行了简单的介绍,本篇主要实现的是代码,至于 UDP 和 TCP 的详细讲解将会在之后的文章中给出。 本篇给出的 tcp 和 udp 的代码中的 echo 都是测试连接是否成功的代码,之后的代码都是在 echo 代码的基础上修改实现了不同功能的代码。
TCP网络套接字
m0_74910646的博客
08-09 1284
这里还有一个小细节,子进程会继承父进程的文件描述符表,我们知道每一个客户端会对应一个sockfd,而文件描述符表本质就是一个数组,也是有数量大小的,当客户端的数量比较多了的话文件描述符表可能就会被占满,其次父进程不关心业务执行什么,也就是父进程不关心sockfd,所以每当创建一个子进程建议父进程将sockfd关掉,也建议子进程将listenfd也关掉方式误操作,这样不论有多少个客户端,其对应的文件描述符永远是4。这样,当套接字进行通信时,就可以使用这个指定的地址作为通信的源地址。
什么是IP?
2401_86544677的博客
08-19 749
IP指网际互连协议,Internet Protocol的缩写,是TCP/IP体系中的网络层协议。设计IP的目的是提高网络的可扩展性:一是解决互联网问题,实现大规模、异构网络的互联互通;二是分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。根据端到端的设计原则,IP只为主机提供一种无连接、不可靠的、尽力而为的数据包传输服务
Linux中查看正在监听的IP和端口
qq_52660422的博客
08-13 355
最近和其他终端设备联调时,需要去查看正在监听的IP和端口,以下在 Linux 系统中,可以使用以下命令查看正在监听的端口和 IP 地址。这个取决于当前Linux系统内已有的工具,如果不清楚,可以都试一下。
03 网络编程 TCP传输控制协议
qq_59111928的博客
08-16 890
TCP全称 Transmition Control Protocol,即:传输控制协议。是面向连接的协议。通常,TCP 通信还会被冠以 可靠传输协议 的头衔。但请注意,这里的可靠并非指发出去的数据对方一定能收到(这是不可能的),而仅指TCP能使发送方可靠地知道对方是否收到了数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值