TCP_Wrappers访问控制
一、TCP_Wrappers简介
对有状态连接的特定服务进行安全检测并实现访问控制,它以库文件形式实现,某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译的,判断服务程序是否能够由tcp_wrapper进行访问控制的方法:
ldd /PATH/TO/PROGRAM|grep libwrap.so
strings PATH/TO/PROGRAM|grep libwrap.so
例sshd:
- [root@newhostname 1372]# which sshd
- /usr/sbin/sshd
- [root@newhostname 1372]# ldd /usr/sbin/sshd | grep libwrap
- libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f5659d39000)
- [root@newhostname 1372]# strings /usr/sbin/sshd | grep libwrap
- libwrap.so.0
- libwrap refuse returns
它通过/etc/hosts.allow, /etc/hosts.deny这两个配置文件来对来访支持tcp_warppers模块的服务的ip进行访问限制。
这两个配置文件的读取顺序优先allow,如果allow文件加载,将不再读取deny。
二、配置文件内的基本语法:
1、语法:服务组:host
2、客户端Client_list格式
以逗号或空格分隔的客户端列表
基于IP地址:192.168.10.1 192.168.1.
基于主机名:www.magedu.com .magedu.com 较少用
基于网络/掩码:192.168.0.0/255.255.255.0
基于net/prefixlen: 192.168.1.0/24(CentOS7)
基于网络组(NIS 域):@mynetwork
内置ACL:ALL,LOCAL,KNOWN,UNKNOWN,PARANOID
例:
- 编辑/etc/host.allow下编辑
- in.telnetd,sshd:172.18.10.10 表示in.telnet和sshd两个服务允许172.18.10.10
- 编辑/etc/host.deny下编辑
- in.telentd:ALL 表示拒绝所有主机对in.telnetd的连接
- 如果上述文件同时存在,则表达的是只允许172.18.10.10访问intelnetd,其它主机不可访问,所有网段都可以访问sshd(如果没有在白名单的,默认为允许;白名单和黑名单同时有的,权限取白名单的)
3、特殊用法 spawn、EXCEPT、twist
expect 除非的意思:
例:
- vsftpd: 172.16. EXCEPT 172.16.100.0/24 EXCEPT 172.16.100.1
- 如果这个配置在allow内,则表示允许所有主机访问,但抛出172.16.100.1在内的172.16.100.0网段的主机除外
- 如果这个配置在deny内, 则表示拒允许172.16.100.0网段内除了172.16.100.1 这个地址以外的地址访问,其他地址都拒绝访问
spawn 启动一个外部程序完成执行的操作:
例:
- sshd: ALL :spawn echo "$(date +%%F) login attempt from %c to %s,%d" >>/var/log/sshd.log
- 每当有主机来访就会有一条记录输出到/var/log/sshd.log文件内,注意spawn前面的:经常丢了
- %c 客户端信息
- %s 服务器端信息
- %d 服务名
- %p 守护进程的PID
- %% 表示%
twist实际动作是拒绝访问,使用指定的操作替换当前服务,标准I/O和ERROR发送到客户端,默认至/dev/null
例:
- 在host.allow内添加如下:
- vsftpd: 172.16. :twist /bin/echo "connectionprohibited" 该项目会将成功访问的动作替换成 /bin/echo "connectionprohibited" ,twist 就是替换的意思。
测试工具:
tcpdmatch [-d] daemon[@host] client
-d 测试当前目录下的hosts.allow和hosts.deny
例:
- tcpdmatch -d (测试当前目录下的配置文件,不一定是etc) sshd 192.168.27.5
0000000000000000000
TCP_Wrappers访问控制的更多相关文章
- vsftpd配置参数详细整理
vsftpd配置参数详细整理 -|白王斧三又干一 vsftpd配置参数详细整理 -|白王斧三又干一 发表于 2005-10-23 20:30:00 1.vsftpd配置参数详细整理#接受 ...
- FTP配置参数
格式 vsftpd.conf 的格式非常简单,每行要么是一个注释,要么是一个指令.注释行以#开始并被忽略掉.指令行格式如下: 配置项=参数值 很重要的一点是,这个格式里不存在任何空格. 默认的,每一个 ...
- Liunx 环境下vsftpd的三种实现方法(超详细参数)
以下文章介绍Liunx 环境下vsftpd的三种实现方法 ftp://vsftpd.beasts.org/users/cevans/vsftpd-2.0.3.tar.gz,目前已经到2.0.3版本.假 ...
- ftp文件共享服务详解
ftp 文件共享服务,文件的上传下载 跨平台,tcp协议 21号(命令端口) 20号(数据端口,主动模式) 默认情况 ftp服务运行被动模式 vsftpd:软件 非常安全的rpm -qi vsftp ...
- 如何在CentOS 7上使用vsftpd(FTP)的配置文件介绍
vsftpd.conf - vsftpd的配置文件. 描述 vsftpd.conf可用于控制vsftpd行为的各个方面. 默认情况下,vsftpd在/etc/vsftpd.conf位置查找此文件. 但 ...
- Linux系统配置VSFTP软件详解
Linux系统配置VSFTP软件详解 出处 http://www.sudu.cn/service/detail.php?id=11656 vsftpd.conf 是vsftpd的配置文件,用来控制vs ...
- 【转】vsftpd用户登入不进去问题
实在是登陆不上... 我已经加了一个新的用户UID和GID都设置到1000以后 /etc/vsftpd.conf也加了local_enable=yes 以standalone模式运行. 重启服务器后, ...
- TCP_Wrappers 简介
TCP_Wrappers 简介 TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序 ...
- AIDE,sudo,TCP_Wrappers,PAM认证等系统安全访问机制
AIDE 高级入侵检测环境:是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了. AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件.AIDE数 ...
随机推荐
- airflow原理
官网: http://airflow.apache.org/installation.html 原理: https://www.cnblogs.com/cord/p/9450910.html 原理介绍 ...
- Docker的网络模式和跨主机通信
文章转载自:http://www.a-site.cn/article/169899.html Docker的四种网络模式Bridge模式 当Docker进程启动时,会在主机上创建一个名为docke ...
- SQLServer启动和关闭bat脚本
原文:SQLServer启动和关闭bat脚本 安装完毕SQL SERVER 2005后,会默认自动启动SQL Server等几个服务,这几个服务比较占用系统资源.当不运行SQL Server时,最 ...
- PC端判断屏幕宽度到达手机宽度的时候,直接跳转手机页面
<script> // //判断屏幕宽度到达手机宽度的时候,直接跳转手机页面 // window.addEventListener("resize", function ...
- Codeforces 1237F. Balanced Domino Placements
传送门 很妙的题 首先先考虑一个简化的问题,现在有一行格子让你填 你要么填一格 要么填两格 有的格子不让你填 问你填了 $a$ 个一格和填了 $b$ 个两格有多少种方案 那么显然先只考虑放两格的方案, ...
- mysql+canal+kafka+elasticsearch构建数据查询平台
1. 实验环境 CPU:4 内存:8G ip:192.168.0.187 开启iptables防火墙 关闭selinux java >=1.5 使用yum方式安装的java,提前配置好JAVA_ ...
- ModbusTCP报文详解【二】
[1]功能码05H [2]功能码06H [3]功能码0FH [4]功能码10H
- Qt 中使用Java代码获取安卓设备的MAC地址(安卓9.0)
public String GetDeviceMAC() { String strMacAddr = null; try { // 获得IpD地址 InetAddress ip = getLocalI ...
- EF入门-CRUD操作
一.EF数据查询假设我们已经定义好了context:private AccountContext db = new AccountContext(); 1.[基本查询] 查询所有var users = ...
- CSS3总结七:变换(transform)
2D视图模型解析 3D视图模型解析 平移 旋转 伸缩 扭曲 z轴方向平移与perspective的神秘关系 matrix()终极变幻的方法 一.2D视图 2D视图就是默认平面上的每个点都与视线垂直,图 ...