RHCE课程-RH253Linux服务器架设笔记九-tcp_wrapper

最新推荐文章于 2024-10-09 15:50:47 发布
最新推荐文章于 2024-10-09 15:50:47 发布
阅读量118 收藏
点赞数
文章标签: 网络 操作系统 开发工具
原文链接:https://yq.aliyun.com/articles/400973
版权
我们开始tcp_wrapper内容
tcp_wrapper的原理 
Telnet、SSH、FTP、POP和SMTP等很多网络服务都会用到TCP Wrapper,它被设计为一个介于外来服务请求和系统服务回应的中间处理软件。
基本处理过程
当系统接收到一个外来服务请求的时候 ,先由TCP Wrapper处理这个请求
TCP Wrapper根据这个请求所请求的服务和针对这个服务所定制的存取控制规则来判断对方是否有使用这个服务的权限,如果有,TCP Wrapper 将该请求按照配置文件定义的规则转交给相应的守护进程去处理同时记录这个请求动作,然后自己就等待下一个请求的处理。
如果外部还有防火墙,当然要先通过防火墙
tcp_wrapper是基于主机与服务的
使用简单的配置文件来设置访问限制 
/etc/hosts.allow 
/etc/hosts.deny
配置一旦被改变,立刻生效
tcp_wrapper的配置 
访问控制判断顺序: 
访问是否被明确许可 
否则,访问是否被明确禁止 
如果都没有,默认许可
通常tcp_wrapper没有配置,就是第三条,如果都没有,默认许可的
配置文件 
许可用:/etc/hosts.allow 
禁止用:/etc/hosts.deny
基本语法 
后台进程列表:客户端列表      [:参数(allow,deny)]
/etc/hosts.allow 
vsftpd:192.168.0. 
/etc/hosts.deny 
vsftpd:ALL
格式是 
后台进程:  client描述 
这里的后台进程需要解释下
后台进程列表应该是: 
服务的可执行工具名( in.telnetd  NO telnetd) 
允许指定多项服务 
允许使用ALL来匹配所有服务 
允许可执行工具名后添加IP或主机名,如果本机有多个网络界面
客户端描述可以包含: 
IP 地址(192.168.0.254 )  
域名或主机名(.example.com, www.wenhua.org  )  
子网掩码(192.168.0.0/255.255.255.0 或192.168.0. )  
网络名(@mydomain )
client描述的高级语法 
客户端描述通配符 
ALL:所有 
LOCAL:所有主机名中不包含.的主机 
UNKNOWN:无法被解析的主机 
KNOWN:可以双向解析的主机 
PARANOID:正向解析成功但无法反向解析的主机
EXCEPT 
可用于服务列表与客户端列表, 可以层层套用
/etc/hosts.deny  
ALL:ALL EXCEPT 192.168.0.0/255.255.255.0 EXCEPT server1.example.com
现在我们测试下
image
现在可以访问
vim /etc/hosts.deny
image
现在他要求我输入ID验证,但是我的匿名可以访问的,我正确输入ID以后,还是不可以访问
image
在允许里面明确允许
vim /etc/hosts.allow
image
又可以访问了
image
tcp_wrapper很简单,要服务的模块支持tcp_wrapper ,才可以使用tcp_wrapper
大家看吧,vsftpd的配置文件最后,明确配置tcp_wrappers=yes
vim /etc/vsftpd/vsftpd.conf
image
查看一个服务是否支持tcp_wrapper可以用一下命令
看某个服务的执行文件是否调用tcp——wrapper
ldd `which vsftpd` | grep wrap
image
如果这个命令有结果,也表明支持tcp_wrapper
strings `which vsftpd` | grep host
image
基于xinetd的服务都支持tcp_wrapper
如下sendmail就支持tcp_wrapper而postfix就不支持哈~
image
OK,tcp-wrpper,基础就这些,有兴趣的可以深入研究
################Michael分割线####################










本文转自redking51CTO博客,原文链接:http://blog.51cto.com/redking/159482,如需转载请自行联系原作者

weixin_34250434
关注
RHCE课程笔记
06-15
RHCE课程-RH253Linux服务器架设笔记-tcp_wrapper 2009-05-20更新 8、GRUP加密和数据校验 9、PAM插装型认证模块(PAM) 10、IPTABLES防火墙及NAT RHCE课程-RH253Linux服务器架设笔记十-Iptables防火墙 2009-05-22...
TCP_Wrappers
poplar_xu的专栏
02-15 809
TCP_Wrappers好了,接着下来我们要来说一说,除了 xinetd 之外,还有另一个可以抵挡利用某些服务进入Linux 主机的方法,那就是常常使用的 /etc/hosts.allow 与 /etc/hosts.deny啰!这个方式是我们常常在使用的方法,这里先提几个比较简单的设定方式!注:TCP_Wrappers 也可以当成一个最内层的防火墙了,因为是最内层,所以当然要设
vsftpd 与TCP_wrapper 结合限制用户的ip地址登录
ppby2002的专栏
06-15 5882
/etc/hosts.allow 定义允许的地址:/etc/hosts.deny 定义拒绝的来源地址.如下:/etc/hosts.allow[root@BJFS-PIM root.adminssh]# cat /etc/hosts.allow## hosts.allow This file describes the names of the hosts
tcp_wrapper访问控制
漠效的博客
04-27 2332
前言 由于前一篇登陆安全的配置中涉及的Tcp_Wrapper仅演示了其中一个用法。下面就详细的总结一下tcp_wrapper的另外几种配置方法。 tcp_wrapper的介绍 tcp wrapper是Wietse Venema开发的一个开源软件。 它是一种类似于iptables防火墙的,基于tcp协议的访问控制工具,只能对基于tcp协议的部分服务作访问控制。 iptables是在网络层...
LinuxTCP wrapper的使用
热门推荐
Dean的Linux & Hadoop
08-24 1万+
tcpwrapper的目的是对那些访问控制功能较弱的服务提供访问控制功能要想了解访问控制就必须先知道服务监听的概念: 服务监听的两种方式: listen     :        socket                  监听在套接字上提供服务
RHCE253--架设Squid服务器.doc
07-06
RHCE253--架设Squid服务器 一、 Squid 代理服务技术概览 在了解 Squid 代理服务器之前,需要了解代理服务器的基本概念。代理服务器英文全称是 Proxy Server,其功能就是代理网络用户去取得网络信息。形象的说:它...
RHCE253--架设DNS服务器.doc
07-06
醉生梦死的博客
RHCE-Linux全套学习教程
09-02
RHCE是市场上第一个面向Linux的认证考试,它不是一个普通的认证测试,和其他操作系统认证考试相比,RHCE考试需要花费一整天的时间,第1节Linux学习建议第2节Linux学习建议第3节系统结构与终端控制台第4节RHEL5-Linux...
Tcp_Wrapper_简单的基于主机的访问控制工具
侯海云
09-15 3201
目录 目录 简介 特性 Tcp_Wrapper的实现 基本语法 范例 范例1 范例2 范例3 范例4 范例5 范例6简介tcp wrapper是Wietse Venema开发的一个开源软件。它是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables。Linux默认安装了tcp_wrapper。作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1337
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
项目管理-信息技术发展
GAVIN
10-04 656
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
Mac ToDesk 无法连接网络
Primer5
10-04 295
检查登录项,看到后台运行项目是关闭状态,允许后台运行之后返回查看立马显示网络连接正常。网络连接的是 Wi-Fi,打开浏览器能跟正常浏览内容,说明 Wi-Fi 是正常的。检查防火墙是没有阻止ToDesk 的任何连接,说明防火墙也是正常的。
使用socket编程来实现一个简单的C/S模型(TCP协议)
caiji0169的博客
10-02 1720
下图是基于TCP协议的客户端/服务器程序的一般流程:服务器调用socket()、bind()、listen()完成初始化后,调用accept()阻塞等待,处于监听端口的状态,客户端调用socket()初始化后,调用connect()发出SYN段并阻塞等待服务器应答,服务器应答一个SYN-ACK段,客户端收到后从connect()返回,同时应答一个ACK段,服务器收到后从accept()返回。数据传输的过程:建立连接后,TCP协议提供全双工的通信服务,但是一般的客户端/服务器程序的流程是由客户端主动发起请求,
网络风暴产生原因、危害、预防和解决方法
最新发布
luotuo28的博客
10-09 89
网络风暴是指由于某种原因引发的网络中数据流量急剧增加,导致网络性能严重下降甚至瘫痪的现象。
IPv4数据报的首部格式 -计算机网络
qq_25467441的博客
10-09 475
占8比特,最初以秒为单位,最大生存周期为255秒,路由器转发IP数据报时,将IP数据报首部中的该字段的值减去IP数据报在本路由器上所消耗的时间,若不为0就转发,否则就丢弃。由于IP层本身并不提供可靠传输服务,并且计算首部校验和是一项耗时的操作,因此在IPv6中,路由器不再计算首部检验和,从而更快转发IP数据报。占16比特,表示IP数据报的总长度(首部+数据载荷)最大取值为十进制的65535,以字节为单位。路由器转发IP数据报时,将IP数据报首部中的该字节的值减1,若不为0就转发,否则就丢弃。
HUAWEI_HCIA_实验指南_Lib1.5_配置通过STelnet登录系统
IT_zhangsan
10-09 512
由于Telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在很大的安全隐患,单纯提供Telnet服务容易招致主机IP地址欺骗、路由欺骗等恶意攻击。传统的Telnet和FTP等通过明文传送密码和数据的方式,已经慢慢不被接受。STelnet 是 Secure Telnet 的简称。在一个传统不安全的网络环境中,服务器通过对用户端的认证及双向的数据加密,为网络终端访问提供安全的Telnet服务。
UIP协议栈 TCP Server Client通信成功案例
m0_57249200的博客
10-09 250
UIP协议栈是属于极简版本的TCP/IP协议栈,比LWIP协议栈还精简,本文章只提供关键部分的参考历程还有很多东西,需要你自己去看文章去学习的,不过有个前提你得懂TCP/IP协议栈和计算机网络知识,比如学过LWIP啥的,要不然你看不懂的。
RHCE5 RH253Linux网络与安全管理详解
RHCE(Red Hat Certified Engineer...通过学习和掌握RH253课程,学员将能更好地配置、管理和维护Red Hat Enterprise Linux服务器,确保网络服务的高效运行和信息安全。这对于企业和个人而言是一项重要的职业发展技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值