RHS333-1安全基础Tcpwrap和Xinetd

最新推荐文章于 2021-02-02 18:17:07 发布
最新推荐文章于 2021-02-02 18:17:07 发布
阅读量101 收藏
点赞数
文章标签: 操作系统
原文链接:https://yq.aliyun.com/articles/461510
版权

 Tcpwrap

  • 语法:Daemon list:client list :[option]
选项option:
特点:可0个或多个选项
%<letter>:特定选项
hosts.allow和hosts.deny可同时使用,allow优先
 
  • 策略的方向选择:daemon list: client list : ALLOW|DENY 
 [root@station1 ~]#vi /etc/hosts.allow
 sshd: ALL :DENY     
 #拒绝所有客户端访问sshd服务
 [root@station1 ~]#vi /etc/hosts.deny
 sshd: ALL :ALLOW   
 #运行所有客户端方法sshd服务器
 
  •  Logs日志服务:daemon list: client list : severity [fac.]pri  
        日志策略默认是authpriv.info
        [root@station1 ~]#vi /etc/hosts.deny
        sshd: ALL : severity  notice   
 
  • Spawn执行其他命令:daemon list : client list : spawn command
       在子程序中执行命令、默认I/O被连接到/dev/null
 [root@station1 ~]#vi /etc/hosts.deny
 sshd: 192.168.32.32 : spawn /bin/echo `date` %c %d >>/var/log/tcpwarp.log    
#32访问sshd服务时,发送信息到tcpwarp.log中
 
  • Twist执行其他命令:daemon list : client list : twist command
访问的服务被命令替换、执行结果发生给对方
[root@station1 ~]#vi /etc/hosts.deny
vsftpd: 192.168.32.32 : twist /bin/echo "421 Connection prohibited." 
#该信息显示在客户端的屏幕上
 
  • Banners显示提示信息:daemon list: client list : banners directory
文件"directory/daemon name" 在客户访问服务前发生给客户、支持%<letter>、只支持TCP-based服务
[root@station1 ~]#vi /etc/hosts.deny
vsftpd: 192.168.32.32 : banners /var/banners  #指定banners目录
[root@station1 ~]#mkdir /var/banners      
[root@station1 ~]#vi /var/banners/vsftpd  #文件名必须与hosts.deny中服务名相同
Hello,welcome to This ftp station。       #此信息显示给对方
 
Xinetd
  • /etc/xinetd.conf:全局配置文件
  • /etc/xinetd.d:各种服务配置文件存放目录,服务配置以配置单独文件和主配置文件相结合
[root@station1 ~]#vi /etc/xinetd.d/telnet
service telnet
{
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root    
        server          = /usr/sbin/in.telnetd
        log_on_failure  += USERID    #+-:在全局配置文件上增加、减少、替换相关参数,子配置文件与全局配置文件相冲突时子配置文件为主
        disable         = yes       #yes停止服务,no开启服务
}
 
 
注:但xinetd.d下两个服务使用同一port时,以服务名称的字母排序优先级决定谁使用port
   chconfig telnet on:当前环境下启动telnet服务,xinetd中包含的服务用chkconfig都是在环境中启动服务
 
  • 访问控制: 
 Allow with only_from = host_pattern  #允许访问范围
 Deny with no_access = host_pattern  #禁止访问访问
eg:
 only_from = 192.168.32.0/24  #只能用24,用255.255.255.0不会生效
 no_access = 192.168.32.31  #当noly from和no_access同时存在是以范围小的优先级高
 
  • 时间控制:access_times = <time range> 
小时:0-23  分钟:0-59
eg:access_times = 9:00-21:00
 
  • interface限制:bind和interface定义相同(主要针对多网卡服务器)
[root@station1 ~]#vi /etc/xinetd.d/telnet
service telnet    
{
disable     = no
flags       = REUSE
socket_type = stream
wait        = no
user        = root
server      = /usr/sbin/in.telnetd
bind        = 192.168.0.7   #接口eth0的IP,客户访问0.7时受此限制
}
service telnet
{
disable      = no
flags        = REUSE
socket_type  = stream
wait         = no
user         = root
server       = /usr/sbin/in.telnetd
access_times = 8:00-17:00
bind         = 192.168.1.7  #接口eth1的IP,客户访问1.7时受此限制
}
#最后结果:客户telnet 192.168.0.7时,无任何限制;客户telnet192.168.1.7时,只能在8:00-17:00期间访问telnet服务
 
  • Usage限制:用于访问Dos攻击手段
cps:限制流量 cps =  <connectionspersec> <waitperiod>
eg:cps = 10 5  #同时间有10个请求则暂停5秒服务
per_source :限制同一IP的最大连接数 per_source = <#connections|UNLIMITED>
eg:per_source = 15  #同一IP最大可有15个连接 
 
  • flag:标记应用 flags=SENSOR INTERCEPT 
SENSOR:对已经连接的服务做限制
   deny_time = <FOREVER|NEVER|#minutes>  #永远|从不|多少分钟
   eg:deny_time = 2   
#拒绝连接2分钟,2分钟内不允许连接,2分钟内所有xinetd.d内服务均不允许访问
INTERCEPT:所有链接服务的时候,没有数据包都有接受检查
 
  • 安全访问控制执行顺序:
iptables---tcpwrap--服务本身控制


本文转自netsword 51CTO博客,原文链接:http://blog.51cto.com/netsword/506955
weixin_33755557
关注
RHCA教程-RHS333官方最新英文原版
02-14
如果大家觉得好,我会继续上传更多好的资料,谢谢
RHCA教程:RHS333-4 Kerberos_NIS
weixin_33736832的博客
07-19 142
KerberOS为NIS提供账户认证 <!--[if !supportLists]-->一、 <!--[endif]-->环境 KDC:server1.example.com 192.168.32.31 NIS Server:station2.example.com 192.168.32.32 默认已经配置好,并有...
RHS333-3 BIND and DNS Security
weixin_34335458的博客
11-15 129
BIND and DNS Security 一、TSIG(Transaction Signature事务签名)配置 环境:主服务器:server1.example.com:192.168.32.31 辅助服务器:station2.example.com:192.168.32.32 客户端:station6.ex...
RHCA教程:RHS333-2加密算法
weixin_34080571的博客
04-16 172
一、对称算法:Hash算法 1、hash算法主要用于保证数据的完整性 2、相同的密码通过hash算法加密后,其hash值也不会一样 [root@station1 ~]# md5sum yum_forAS4.tar.gz 原文来自:http://www.linuxidc.com/Linux/2011-04/34690.htm 24d703...
RHS333-11 入侵检测
weixin_33919950的博客
11-13 226
Linux入侵检测 一、iptables实现日志记录网络流量 [root@station2 aide]# iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix="80" [root@station2 aide]# tail /var/log/messages Apr5 23:23:35...
python-rhsm-certificates-1.19.10-1.el7_4.x86_64.rpm
12-13
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
rhsm-icons-1.28.19-1.el8.noarch.rpm
01-21
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
subscription-manager-rhsm-1.24.45-1.el7.centos.x86_64.rpm
12-26
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
subscription-manager-rhsm-certificates-1.28.21-3.el8.ppc64le.rpm
12-08
离线安装包,亲测可用
subscription-manager-rhsm-certificates-1.28.19-1.el8.x86_64.rpm
12-26
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
RHCA教程-RHS333中文原版
02-14
在此说明一下,红帽官方没有出过任何中文版的教材,此教材是经过翻译过的,如果有翻译得不好请见谅,如果你觉得好的话我会继续努力上传更多更好的资料,谢谢
RHS333企业CA证书中心搭建
weixin_33985507的博客
06-14 62
测试环境:RHEL5.4 CA中心:station1 配置CA中心的思路: 1、openssl包的安装 2、配置/etc/pki/tls/openssl.cnf文件 3、生成CA中心的密钥 4、通过CA中心的密钥生成CA中心的公钥 蓝色字体:表示需要修改的选项; 黑色字体:需要在服务器中新建的目录 红色字体:注释 配置/etc/...
RHCA扫书行动--写在RHS333圆满结束
weixin_33912638的博客
06-17 95
历时2个月的RHS333,截止在今天,经过2个月的苦战结束咯。 感觉全书就一个重点,侧重在放在OSI参考模型,传输层以上的安全,关注数据自身的安全,而非花大量的精力考虑网络层上的安全。 本书还是值得所有SA朋友们细细的品味。不管怎么样距离RHCA的目标,有向前迈进了一大步。不管怎么样努力吧阿门!只要坚持一个信念,impossible就会变...
ssh的 TCP_Wrapper和PAM安全模块----->配置,ulimit命令
weixin_45697293的博客
02-02 634
一. TCP_Wrappers介绍 前提得支持libwrap.so库,不然没用 作者:Wieste Venema,IBM,Google 工作在第四层(传输层)的TCP协议 对有状态连接的特定服务进行安全检测并实现访问控制 以库文件形式实现 某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译的 判断服务程序是否能够由tcp_wrapper进行访问控制的方法: 查看软件是否支持TCP_wrappers ldd /PATH/TO/PROGRAM|grep libwrap
HikariCP连接池分析内部分享
qq_30400779的博客
09-25 1905
HikariCP连接池分享 希望可以带着大家了解HikariCP连接池,并对线上问题给出解决思路和方案。然后可以自己去看一下HikariCP,个人感觉HikariCP实现的比较精巧,代码很值得一读,我这里会给出整体的设计和一些主流程,可以减少大家深入HikariCP的时间。 为什么分享HikariCP连接池? 线上问题:获取连接池失败? 结果:整个服务在一段时间不可用 引出了这些问题,是我想到的一些问题,也是我的解决问题的思路 1、什么是连接池? 2、为什么用连接池? 3、为什么用HikariCP连接池?
使用tcpwrapper实现访问控制功能
weixin_34376562的博客
03-30 174
tcpwrapper:工作在第四层(传输层),能够对有状态连接的服务进行安全检测并实现访问控制的工具。部分功能上跟iptables重叠。 对于进出本主机访问某特定服务的连接基于规则进行检查的一个访问控制工具,这个访问控制工具以库文件形式实现;某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译的。 tcpwrapper并非对所有的...
删除rhs和rhsa文件特殊属性的方法与步骤
总结来说,处理rhs和rhsa文件的删除涉及理解文件属性及其含义,使用`attrib`命令进行属性调整,并遵循正确的操作顺序,以确保数据安全和系统的正常运行。在删除之前,务必谨慎评估操作的潜在影响,避免意外的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值