zoukankan      html  css  js  c++  java

  • TCP_Wrappers简介

    转载自:http://www.cnblogs.com/duzhaoqi/

    TCP_Wrappers

     

     

    简介

    TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd,telnet。

     

    工作原理

    TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。

     

    TCP_Wrappers的使用

    TCP_Wrappers的使用主要是依靠两个配置文件/etc/hosts.allow, /etc/hosts.deny,用于拒绝和接受具有TCP_Wrappers控制全的程序,详细信息具体可以查看man帮助,这里我们就做简单的演示和使用(man 5 hosts_access, man 5 hosts_options)

    要说明的是当我们启动一个受控制的软件的时候,比如ssh,

    不过在刚开始的时候,/etc/hosts.allow,/etc/hosts.deny什么都没有添加,此时没有限制,是都可以连接的,现在我们来说如何设置,禁止和允许连接,配置文件格式遵循如下规则:

    daemon_list@host: client_list [:options :option…]

    daemon_list: 是程序的列表,可以是多个,是多个时,使用隔开
    @host:可以没有,是我们的限制的网卡访问接口(自己的),设置允许或禁止他人从自己的那个网口进入。这一项不写,就代表全部。
    client_list:是访问者的地址,如果需要控制的用户较多,可以使用空格或,隔开,格式如下:

    • 基于IP地址: 192.168.10.1 192.168.1.
    • 基于主机名: www.magedu.com .magedu.com 较少用
    • 基于网络/掩码: 192.168.0.0/255.255.255.0
    • 基于net/prefixlen: 192.168.1.0/24(CentOS7)
    • 基于网络组(NIS 域): @mynetwork
    • 内置ACL: ALL, LOCAL, KNOWN, UNKNOWN,PARANOID
      ALL:所有主机
      LOCAL:本地主机
      KNOWN:主机名可解析成ip的
      UNKNOWN:主机名无法解析成IP的
      PARANOID:正向解析与反向解析不对应的主机

     

    我以三台虚拟机作为示例:
    centOS 7:192.168.111.120
    centOS 6:192.168.111.110
    centOS 5:192.168.111.130

    示例1
    现在,我的centOS 6想拒绝centOS 7 的ssh访问:
    我在hosts.deny中写:

    sshd@192.168.111.110:192.168.111.120

    然后我使用centOS 7 连接,就无法连接:

    [root@CT73 ~]$ssh 192.168.111.110
ssh_exchange_identification: read:Connection reset by peer

    示例2
    或者我们还可以这样写(hosts.deny):

    in.telnetd,sshd: ALL

    这就意味着我们使用ssh,或者telnetd访问这个机器都是无法访问的,然后,我们就在hosts.allow中添加如下一行:

    sshd:192.168.111.120

    出现了下面的效果:

    [root@CT73 ~]$ssh 192.168.111.110
root@192.168.111.110's password:
Last login: Thu Sep 28 14:51:57 2017 from 192.168.111.120
[root@CT691 ~]#

    我们就可以连接了,我们想要访问其他主机的资源,在连接过程中,对方的机器会按照顺序先检查/etc/hosts.allow,再检查/etc/hosts.deny。如果在allow中允许连接,就可以连接的上,即便是又在deny中添加了限制也没效果,但是在allow中没有添加你的机器,但是在deny中设置了你的主机无法连接,那你是无法连接上对方的主机的。

    示例3
    我们还可以禁止后允许某个网段进行连接,以禁止为例:

    in.telnetd,sshd@192.168.111.110:192.168.37.

    这样的话192.168.37.网段的所有机器都无法通过这连个程序访问到我的机器。

    示例4
    现在,我们使用一个关联词,EXCEPT,host.deny文件配置如下:

    in.telnetd,sshd: ALL

    hosts.allow文件配置如下:

    sshd:192.168.111. EXCEPT 192.168.111.120

    此时,centOS 7 能否访问centOS 6呢:

    [root@CT73 ~]$ssh 192.168.111.110
ssh_exchange_identification: read:Connection reset by peer

    实验证明,我们是无法连接的,这是由于,虽然我们在hosts.allow文件中设置了整个192.168.111.这个网段都可以访问,但是使用EXCEPT关键字将192.168.111.120排除, 所以我们还是不能连接。
    然后,我们重写一下hosts.allow文件:

    sshd:192.168.111. EXCEPT 192.168.111.

    然后,我们使用centOS 5和centOS 7连接:

    [root@CT511 ~]#ssh 192.168.111.110
ssh_exchange_identification:Connection closed by remote host
    [root@CT73 ~]#ssh 192.168.111.110
ssh_exchange_identification:Connection closed by remote host

    一些选项

    上面还有 [ :options :option… ]选项,我们我们看看他们是咋用的
    (更多使用方法查看 man 5 hosts_options)

    • deny 主要用在/etc/hosts.allow定义“拒绝”规则
      如: vsftpd: 172.16. :deny
    • allow 主要用在/etc/hosts.deny定义“允许” 规则
      如: vsftpd:172.16. :allow
    • spawn 启动一个外部程序完成执行的操作
    • twist 实际动作是拒绝访问,使用指定的操作替换当前服务,标准I/O和ERROR发送到客户端,默认至/dev/null

    示例1
    在hosts.allow拒绝连接:

    sshd:192.168.111.120:deny

    这样,虽然我们虽然在allow文件中添加可用规则,但是我们使用了:deny,生生的还是将该地址给拒绝了:

    [root@CT73 ~]$ssh 192.168.111.110
ssh_exchange_identification: read:Connection reset by peer

    实例2
    在hosts.deny拒绝连接:

    sshd:192.168.111.120:allow

    这样,虽然我们虽然在deny文件中添加不可用规则,但是我们使用了:allow,依旧允许该IP连接:

    [root@CT73 ~]$ssh 192.168.111.110
root@192.168.111.110's password:
Last login: Thu Sep 28 15:44:27 2017 from 192.168.111.130
[root@CT691 ~]#

    实例3
    我们可以使用spawn启用外部命令,那么我们就能使用外部命令写日志文件:
    在hosts.allow中:

    sshd,in.telnetd:192.168.111.:spawn echo "`date +'%%F %%T'` login from client: %c to %d">>/var/log/tcpwrap.log

    我们在使用centOS 7 访问后,看一下日志:

    [root@CT691 ~]#tail /var/log/tcpwrap.log
2017-09-2816:27:28 login from client:192.168.111.120 to sshd

    在/etc/hosts.allow中添加,允许登录,并记录日志
    在/etc/hosts.deny中添加,拒绝登录, 并记录日志
    %c 客户端信息
    %s 服务器端信息
    %d 服务名
    %p 守护进程的PID
    %% 代表%
    : 符号转译

    实例4
    我们可以使用twist拒绝用户访问,并返回一个信息:

    sshd,in.telnetd:192.168.111.:twist echo "Hello I am T_T !"

    然后我们进行连接,使用调试模式,因为默认ssh是看不到返回信息的,telnet可以:

     

    最后我们再说一个调试工具:
    tcpdmatch  [-d]  daemon[@host]  client
    -d 测试当前目录下的 hosts.allow和hosts.deny

    这样,在别人没有连接的时候,我们就可以知道我们设置的那些IP是否可以连接我们的主机:
    (hosts.deny)

    sshd:192.168.111.120
     
    [root@CT691 ~]#tcpdmatch -d ssh 192.168.111.120
client: address 192.168.111.120
server: process ssh
access: granted
  • 相关阅读:
    Nginx练习练习玩玩
    MySQL Lock--MySQL加锁规则
    MySQL Transaction--RR事务隔离级别下加锁测试
    MySQL Transaction--RC事务隔离级别下加锁测试
    MySQL Transaction--事务隔离级别基础
    MySQL Transaction--快照读和当前读
    MySQL Transaction--RC和RR区别
    MySQL Disk--NAND Flash原理
    MySQL Disk--SSD与RAID
    MySQL Disk--SSD磁盘性能抖动问题
  • 原文地址:https://www.cnblogs.com/smlie/p/11441704.html
Copyright © 2011-2022 走看看