在 Linux 下使用 TCP 封装器来加强网络服务安全
在这篇文章中,我们将会讲述什么是 TCP 封装器TCP wrappers以及如何在一台 Linux 服务器上配置他们来限制网络服务的权限。在开始之前,我们必须澄清 TCP 封装器并不能消除对于正确配置防火墙的需要。
就这一点而言,你可以把这个工具看作是一个基于主机的访问控制列表,而且并不能作为你的系统的终极安全措施。通过使用一个防火墙和 TCP 封装器,而不是只偏爱其中的一个,你将会确保你的服务不会被出现单点故障。
正确理解 hosts.allow 和 hosts.deny 文件当一个网络请求到达你的主机的时候,TCP 封装器会使用 hosts.allow 和 hosts.deny(按照这样的顺序)来决定客户端是否应该被允许使用一个提供的服务。.
在默认情况下,这些文件内容是空的,或者被注释掉,或者根本不存在。所以,任何请求都会被允许通过 TCP 过滤器而且你的系统被置于依靠防火墙来提供所有的保护。因为这并不是我们想要的。由于在一开始我们就介绍过的原因,清确保下面两个文件都存在:
# ls -l /etc/hosts.allow /etc/hosts.deny
两个文件的编写语法规则是一样的:
services : clients [: option1 : option2 : ...]
在文件中,
PARANOID 如果进行反向 DNS 查找彼此返回了不同的地址,那么连接就会被断开(首先根据 IP 去解析主机名,然后根据主机名去获得 IP 地址)。
你应该记住 /etc/hosts.allow 文件中允许一个服务接入的规则要优先于/etc/hosts.deny 中的规则。另外还有,如果两个规则应用于同一个服务,只有第一个规则会被纳入考虑。
不幸的是,不是所有的网络服务都支持 TCP 过滤器,为了查看一个给定的服务是否支持他们,可以执行以下命令:
# ldd /path/to/binary | grep libwrap
如果以上命令执行以后得到了以下结果,那么它就可以支持 TCP 过滤器,sshd 和vsftpd 作为例子,输出如下所示。
查找 TCP 过滤器支持的服务
如何使用 TCP 过滤器来限制服务的权限当你编辑 /etc/hosts.allow 和 /etc/hosts.deny 的时候,确保你在最后一个非空行后面通过回车键来添加一个新的行。
为了使得 SSH 和 FTP 服务只允许 localhost 和 192.168.0.102 并且拒绝所有其他用户,在 /etc/hosts.deny 添加如下内容:
sshd,vsftpd : ALL ALL : ALL
而且在 /etc/hosts.allow 文件中添加如下内容:
sshd,vsftpd : 192.168.0.102,LOCAL
这些更改会立刻生效并且不需要重新启动。
在下图中你会看到,在最后一行中删掉 LOCAL 后,FTP 服务器会对于 localhost 不可用。在我们添加了通配符以后,服务又变得可用了。
确认 FTP 权限
为了允许所有服务对于主机名中含有 example.com 都可用,在 hosts.allow 中添加如下一行:
ALL : .example.com
而为了禁止 10.0.1.0/24 的机器访问 vsftpd 服务,在 hosts.deny 文件中添加如下一行:
vsftpd : 10.0.1.
在最后的两个例子中,注意到客户端列表每行开头和结尾的点。这是用来表示 “所有名字或者 IP 中含有那个字符串的主机或客户端”
原文发布时间为:2017-11-11
本文来自云栖社区合作伙伴“Linux中国”
Linux网络原理及编程(6)——第十六节 TCP可靠性保证的原理 你在应用层上想要发送一个信息,但是我在底层可能是通过发送多次、甚至有触发了超时重传等等。而站在用户的角度呢,你不用去管它,我传输层不管怎么发,反正最终把你的数据发出去就可以了。也就是说,应用层的传输和底层传输层的并不是一对一、一一对应的关系。
相关文章
- Linux学习之分区自动挂载与fstab文件修复(九)
- 每天一个linux命令(24):Linux文件类型与扩展名
- 【学习总结】快速上手Linux玩转典型应用-第2章-linux简介
- Linux命令04:info
- Linux基础之查看linux发行版以及内核版本
- 【学习总结】快速上手Linux玩转典型应用-第6章-linux常用命令讲解
- Linux让四剑客更加强大的 cut命令、sort命令、uniq命令
- Linux 查看端口占用情况
- linux驱动开发重点关注内容--摘自《嵌入式Linux驱动模板精讲与项目实践》
- Linux命令: 在线使用linux命令环境
- 【Linux】linux经常使用基本命令
- Linux--根文件系统的挂载过程分析
- Linux zip/unzip命令
- L81.linux命令每日一练 -- 第11章 Linux系统管理命令 -- ethtool和mii-tool
- L74.linux命令每日一练 -- 第十章 Linux网络管理命令 -- nmap和tcpdump
- L71.linux命令每日一练 -- 第十章 Linux网络管理命令 -- wget和mailq
- L65.linux命令每日一练 -- 第十章 Linux网络管理命令 -- ifdown和route
- L61.linux命令每日一练 -- 第九章 Linux进程管理命令 -- renice和nohup
- L48.linux命令每日一练 -- 第七章 Linux用户管理及用户信息查询命令 -- last、lastb和lastlog
- L47.linux命令每日一练 -- 第七章 Linux用户管理及用户信息查询命令 -- users和whoami
- L44.linux命令每日一练 -- 第七章 Linux用户管理及用户信息查询命令 -- su和visudo
- L43.linux命令每日一练 -- 第七章 Linux用户管理及用户信息查询命令 -- chage和chpasswd
- L40.linux命令每日一练 -- 第七章 Linux用户管理及用户信息查询命令 -- useradd和usermod
- L32.linux命令每日一练 -- 第五章 Linux信息显示与搜索文件命令 -- dmesg和stat
- 【Linux】linux经常使用基本命令
- Linux【实操篇】—— 用户管理、linux系统root密码找回方式
- Linux系列 目录和文件管理