04-iptables_tcp wrapper
概念
tcp wrapper是可以简单的理解为一种配置更见简单的网络连接控制,程序员在编写程序的时候只要调用了tcp wrapper的库文件,就可以使用它提供的网络连接控制功能;因此,tcp wrapper可以理解为一层公共的接口。
libwrap.so文件是tcp wrapper的库文件,供其它程序调用
[root@husa ~]# ls /usr/lib64 | grep wrap
libwrap.so.0
libwrap.so.0.7.6
[root@husa ~]# ls /lib64 | grep wrap
libwrap.so.0
libwrap.so.0.7.6
要使用tcp wrapper,必须首先确保程序使用了上述库文件
如何判断一个程序是否使用了libwrap.so库文件?
动态编译
直接使用ldd命令
[root@husa ~]# ldd /usr/sbin/sshd
linux-vdso.so.1 => (0x00007fff5adfe000)
libfipscheck.so.1 => /lib64/libfipscheck.so.1 (0x00007f03e0a2c000)
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f03e0821000)
libaudit.so.1 => /lib64/libaudit.so.1 (0x00007f03e05f9000)
从上面的结果可以发现sshd程序可以通过tcp wrapper控制
静态编译
由于静态编译不能通过ldd命令查询,所以需要使用 strings
命令
strings命令查看应用程序文件,其结果中是否出现了hosts.allow和hosts.deny文件
# ] strings progname | grep hosts.allow
配置
原理
基于libwrap完成访问控制原理
首先检查/etc/hosts.allow文件中有没有显示授权当前请求者的访问
如果授权了,则直接授权客户端能够访问
如果没有,就接着去检查/etc/hosts.deny文件中有没有显示拒绝当前请求者的访问
如果拒绝了,就直接拒绝当前请求者的访问
如果没有拒绝,就授权请求者访问
配置文件
/etc/hosts.allow
/etc/hosts.deny
格式
daemon_list : client_list [ : shell_command ]
daemon_list:
1 单个应用程序的文件名称而不是服务名称
2 用逗号分割多个应用程序文件名列表
3 ALL表示所有受tcp wrapper控制的程序
client_list:
1 IP
2 hosts_name
3 netAddr
必须使用完整格式的掩码、不能使用前缀格式的掩码(172.16.0.0/255.255.0.0 OK) (172.16.0.0/16 Error)
或者使用简短格式的掩码,比如 172.16. 表示 172.16.0.0/255.255.0.0
ALL表示所有主机,即KNOWN(已知的)、UNKNOWN(未知的)、PARANOID(正解和反解不匹配的主机)
EXCEPT:
表示除了的意思
options:
deny:拒绝,主要用于hosts.allow文件;
allow:允许,主要用于hosts.deny文件;
spawn:启动指定的应用程序;
vsftpd: ALL :spawn /bin/echo $(date) login attempt from %c to %s, %d >> /var/log/vsftpd.deny.log
%c: client ip
%s: daemon@serve_ ip
%d: daemon name
帮助文档
man 5 hosts_options
man 5 hosts_access
man tcpd
例子
1 vsftpd仅开放给172.16.0.0/255.255.0.0中的主机访问;
vim /etc/hosts.allow
vsftpd:172.16.
# 表示172.16网段可以访问vsftpd
vim /etc/hosts.deny
vsftpd:ALL
# 表示所有主机禁止访问vsftpd
2 sshd仅开放给172.16.0.0/255.255.0.0中的主机访问,但是不包含172.16.100.6;
vim /etc/hosts.allow
sshd:172.16 EXCEPT 172.16.100.6
#表示除了172.16.100.6
vim /etc/hosts.deny
sshd:ALL
3 解释
vim /etc/hosts.allow
sshd:172.16. EXCEPT 172.16.100.6 :deny
表示hosts.allow中的172.16网段中除了172.16.100.6都被拒绝,而172.16.100.6到底被允许没有还要查看/etc/hosts.deny文件中有没有显式拒绝,没有显示拒绝就允许访问