TCP Wrappers 簡介
TCP_Wrappers 是一個作業在第四層(傳輸層)的安全工具,對有狀態連接(TCP)的特定服務進行安全檢測并實作訪問控制,界定方式凡是呼叫 libwrap.so 庫檔案的程式就可以受 TCP_Wrappers 的安全控制,它的主要功能就是控制誰可以訪問,常見的程式有 rpcbind、vsftpd、sshd、telnet,
判斷方式:
查看對應服務命令所在位置
[root@test1 ~]# which sshd
/usr/sbin/sshd
查看指定命令執行時是否呼叫 libwrap.so 檔案
[root@test1 ~]# ldd /usr/sbin/sshd | grep libwrap.so
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fbdd494d000)
TCP Wrappers 作業原理
以 ssh 為例,每當 ssh 的連接請求時,先讀取系統管理員所設定的訪問控制檔案,符合要求,則會把這次連接原封不動的轉給 ssh 行程,由 ssh 完成后續作業,如果這次連接發起的 IP 不符合訪問控制檔案中的設定,則會中斷連接請求,拒絕 ssh 服務,
- 優先查看 hosts.allow 檔案,匹配訪問控制策略
- 允許個別拒絕所有:hosts.allow 檔案添加單個允許的策略,hosts.deny 檔案添加 all
- 拒絕個別允許所有:hosts.deny 檔案添加單個拒絕的策略,hosts.allow 檔案為空
TCP Wrappers 的使用
TCP_Wrappers 的使用主要依靠兩個組態檔 /etc/hosts/allow,/etc/hosts/deny;以此實作訪問控制,默認情況下,這兩個檔案什么都沒有添加,所以沒有限制,
組態檔撰寫規則:
service_list@host:client_list
- service_list:是服務(程式)的串列,可以是多個,使用 “ , ” 隔開
- @host:設定允許或禁止他人從自己的哪個網口進入,這一項不寫就代表全部
- client_list:是訪問者的地址,如果需要控制的用戶較多,可以使用空格或 “ , ” 隔開
格式如下:
- 基于IP地址:192.168.117.130 192.168.117.131
- 基于主機名:www.baidu.com www.aliyun.com
- 基于網路/掩碼:192.168.0.0/255.255.255.0
- 內置 ACL:ALL(所有主機)、LOCAL(本地主機)
實驗案例
準備好兩臺 Linux 作業系統的主機,配置好相關網路引數,實作可以正常通信,
| 主機名 | IP | root密碼 |
|---|---|---|
| test~1 (客戶端) | 192.168.117.130 | 123 |
| test~2 (服務端) | 192.168.117.131 | 123 |
1、拒絕 192.168.117.130 使用 ssh 遠程連接本機
#test2 添加拒絕策略
[root@test2 ~]# vim /etc/hosts.deny
sshd:192.168.117.130
#test1 ssh 遠程連接 test2 失敗
[root@test1 ~]# ssh root@192.168.117.131
catssh_exchange_identification: read: Connection reset by peer
2、拒絕某一網段使用 ssh 遠程連接本地
#test2 添加拒絕策略
[root@test2 ~]# vim /etc/hosts.deny
sshd:192.168.117.
#test1 ssh 遠程連接 test2 失敗
[root@test1 ~]# ssh root@192.168.117.131
ssh_exchange_identification: read: Connection reset by peer
3、只允許192.168.117.130 使用 ssh 遠程連接本機
#test2 添加允許策略
[root@test2 ~]# vim /etc/hosts.allow
sshd:192.168.117.130
#test1 ssh 遠程連接 test2 成功
[root@test1 ~]# ssh root@192.168.117.131
root@192.168.117.131's password:
# test2 root 密碼:123
Last login: Mon Oct 12 22:04:30 2020 from 192.168.117.130
[root@test2 ~]#
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/171601.html
標籤:其他
上一篇:網路安全-靶機dvwa之sql注入Low到High詳解(含代碼分析)
下一篇:學習利器之一—思維導圖