標籤:att 配置 發送 www hover telnet 拒絕 網路 讀取
一、TCP_Wrappers簡介
對有狀態串連的特定服務進行安全檢測並實現存取控制,它以庫檔案形式實現,某進程是否接受libwrap的控製取決於發起此進程的程式在編譯時間是否針對libwrap進行編譯的,判斷服務程式是否能夠由tcp_wrapper進行存取控制的方法:
ldd /PATH/TO/PROGRAM|grep libwrap.so
strings PATH/TO/PROGRAM|grep libwrap.so
例sshd:
- [[email protected] 1372]# which sshd
- /usr/sbin/sshd
- [[email protected] 1372]# ldd /usr/sbin/sshd | grep libwrap
- libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f5659d39000)
- [[email protected] 1372]# strings /usr/sbin/sshd | grep libwrap
- libwrap.so.0
- libwrap refuse returns
它通過/etc/hosts.allow, /etc/hosts.deny這兩個設定檔來對來訪支援tcp_warppers模組的服務的ip進行訪問限制。
這兩個設定檔的讀取順序優先allow,如果allow檔案載入,將不再讀取deny。
二、設定檔內的基本文法:
1、文法:服務組:host
2、用戶端Client_list格式
以逗號或空格分隔的用戶端列表
基於IP地址:192.168.10.1 192.168.1.
基於主機名稱:www.magedu.com .magedu.com 較少用
基於網路/掩碼:192.168.0.0/255.255.255.0
基於net/prefixlen: 192.168.1.0/24(CentOS7)
基於網路組(NIS 域):@mynetwork
內建ACL:ALL,LOCAL,KNOWN,UNKNOWN,PARANOID
例:
- 編輯/etc/host.allow下編輯
- in.telnetd,sshd:172.18.10.10 表示in.telnet和sshd兩個服務允許172.18.10.10
- 編輯/etc/host.deny下編輯
- in.telentd:ALL 表示拒絕所有主機對in.telnetd的串連
- 如果上述檔案同時存在,則表達的是只允許172.18.10.10訪問intelnetd,其它主機不可訪問,所有網段都可以訪問sshd(如果沒有在白名單的,預設為允許;白名單和黑名單同時有的,許可權取白名單的)
3、特殊用法 spawn、EXCEPT、twist
expect 除非的意思:
例:
- vsftpd: 172.16. EXCEPT 172.16.100.0/24 EXCEPT 172.16.100.1
- 如果這個配置在allow內,則表示允許所有主機訪問,但拋出172.16.100.1在內的172.16.100.0網段的主機除外
- 如果這個配置在deny內, 則表示拒允許172.16.100.0網段內除了172.16.100.1 這個地址以外的地址訪問,其他地址都拒絕訪問
spawn 啟動一個外部程式完成執行的操作:
例:
- sshd: ALL :spawn echo "$(date +%%F) login attempt from %c to %s,%d" >>/var/log/sshd.log
- 每當有主機來訪就會有一條記錄輸出到/var/log/sshd.log檔案內,注意spawn前面的:經常丟了
- %c 用戶端資訊
- %s 伺服器端資訊
- %d 服務名
- %p 守護進程的PID
- %% 表示%
twist實際動作是拒絕訪問,使用指定的操作替換當前服務,標準I/O和ERROR發送到用戶端,預設至/dev/null
例:
- 在host.allow內添加如下:
- vsftpd: 172.16. :twist /bin/echo "connectionprohibited" 該項目會將成功訪問的動作替換成 /bin/echo "connectionprohibited" ,twist 就是替換的意思。
測試載入器:
tcpdmatch [-d] daemon[@host] client
-d 測試目前的目錄下的hosts.allow和hosts.deny
例:
- tcpdmatch -d (測試目前的目錄下的設定檔,不一定是etc) sshd 192.168.27.5
0000000000000000000
TCP_Wrappers存取控制