了解linux中安全機(jī)制的tcp_wrappers |
發(fā)布時間: 2012/8/10 15:20:07 |
tcp_wrappers是linux中一個安全機(jī)制,在某些條件下,一定程度上限制某種服務(wù)的訪問權(quán)限,達(dá)到了保護(hù)系統(tǒng)的目的。接下來我們來簡單介紹一下tcp-wrapers
《一》:首先檢查某種服務(wù)是否受tcp_wrappers 管理 ldd `which sshd` grep | libwrap 如果有這個鏈接,說面某個服務(wù)接受tcp_wrappers管理 《二》:與tcp_wrappers相關(guān)的文件有 /etc/hosts.allow /etc/hosts.deny 《三》:工作原理 (1):當(dāng)有請求從遠(yuǎn)程到達(dá)本機(jī)的時候 首先檢查/etc/hosts.allow 如果在其中能夠匹配的到,那么就默認(rèn)允許訪問 跳過 /etc/hosts.deny這個文件 (2):當(dāng)在/etc/hosts.allow中沒有匹配到的時候,就匹配/etc/hosts.deny 文件 如果能在/etc/hosts/deny中匹配的到 那么就拒絕這個訪問 (3):如果在這兩個文件中,都沒有匹配到 那么,默認(rèn)是允許訪問的 《四》:這兩個文件格式 服務(wù)列表 :地址列表 :選項(xiàng) A. 服務(wù)列表格式:如果有多個服務(wù),那么就用逗號隔開 B. 地址列表格式: (1):標(biāo)準(zhǔn)IP地址:例如:192.168.0.254,192.168.0.56如果多于一個用,隔開 (2):主機(jī)名稱:例如:www.baidu.com .example.con匹配整個域 (3):利用掩碼:192.168.0.0/255.255.255.0指定整個網(wǎng)段 (4):網(wǎng)絡(luò)名稱:例如 @mynetwork C. 選項(xiàng): 主要有allow 和 deny 這兩個選項(xiàng) D. 其它的特定格式 ALL :指代所有主機(jī) LOCAL :指代本地主機(jī) KNOWN :能夠解析的 UNKNOWN :不能解析的 PARANOID : 《五》:擴(kuò)展選項(xiàng): spawn : 執(zhí)行某個命令 vsftpd : spawn echo “login attempt from %c”to %s” | mail –s warning root twist : 中斷命令的執(zhí)行: vsftpd : twist echo “login attempt from %c to %s ” | mail –s waring root 《六》:一個例子 在/etc/hosts.allow文件中指定下面的內(nèi)容 vsftpd: 192.168.0. in.telnetd, protmap: 192.168.0.8 在/etc/hosts.deny中指定一下文件 ALL: .cracker.org EXCEPT trusted.cracker.org vsftpd,protmap: ALL sshd: 192.168.0. EXCEPT 192.168.0.4 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |