文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Linux中如何使用TCP封装器加强网络服务安全

2023-06-27 11:51

关注

小编给大家分享一下Linux中如何使用TCP封装器加强网络服务安全,希望大家阅读完这篇文章之后都有所收获,下面让我们一起去探讨吧!

我们将会讲述什么是 TCP 封装器TCP wrappers以及如何在一台 Linux 服务器上配置他们来限制网络服务的权限。在开始之前,我们必须澄清 TCP 封装器并不能消除对于正确配置防火墙的需要。

就这一点而言,你可以把这个工具看作是一个基于主机的访问控制列表,而且并不能作为你的系统的终极安全措施。通过使用一个防火墙和 TCP 封装器,而不是只偏爱其中的一个,你将会确保你的服务不会被出现单点故障。

Linux中如何使用TCP封装器加强网络服务安全

正确理解 hosts.allow 和 hosts.deny 文件

当一个网络请求到达你的主机的时候,TCP 封装器会使用 hosts.allowhosts.deny (按照这样的顺序)来决定客户端是否应该被允许使用一个提供的服务。.

在默认情况下,这些文件内容是空的,或者被注释掉,或者根本不存在。所以,任何请求都会被允许通过 TCP 过滤器而且你的系统被置于依靠防火墙来提供所有的保护。因为这并不是我们想要的。由于在一开始我们就介绍过的原因,清确保下面两个文件都存在:

# ls -l /etc/hosts.allow /etc/hosts.deny

两个文件的编写语法规则是一样的:

 :  [:  :  : ...]

在文件中,

  1. services 指当前规则对应的服务,是一个逗号分割的列表。

  2. clients

    指被规则影响的主机名或者 IP 地址,逗号分割的。下面的通配符也可以接受:

    1. ALL 表示所有事物,应用于clientsservices
    2. LOCAL 表示匹配在正式域名中没有完全限定主机名(FQDN)的机器,例如 localhost
    3. KNOWN 表示主机名,主机地址,或者用户是已知的(即可以通过 DNS 或其它服务解析到)。
    4. UNKNOWNKNOWN 相反。
    5. PARANOID 如果进行反向 DNS 查找彼此返回了不同的地址,那么连接就会被断开(首先根据 IP 去解析主机名,然后根据主机名去获得 IP 地址)。
  3. 最后,一个冒号分割的动作列表表示了当一个规则被触发的时候会采取什么操作。

你应该记住 /etc/hosts.allow 文件中允许一个服务接入的规则要优先于 /etc/hosts.deny 中的规则。另外还有,如果两个规则应用于同一个服务,只有第一个规则会被纳入考虑。

不幸的是,不是所有的网络服务都支持 TCP 过滤器,为了查看一个给定的服务是否支持他们,可以执行以下命令:

# ldd /path/to/binary | grep libwrap

如果以上命令执行以后得到了以下结果,那么它就可以支持 TCP 过滤器,sshdvsftpd 作为例子,输出如下所示。

Linux中如何使用TCP封装器加强网络服务安全

查找 TCP 过滤器支持的服务

如何使用 TCP 过滤器来限制服务的权限

当你编辑 /etc/hosts.allow/etc/hosts.deny 的时候,确保你在最后一个非空行后面通过回车键来添加一个新的行。

为了使得 SSH 和 FTP 服务只允许 localhost192.168.0.102 并且拒绝所有其他用户,在 /etc/hosts.deny 添加如下内容:

sshd,vsftpd : ALLALL : ALL

而且在 /etc/hosts.allow 文件中添加如下内容:

sshd,vsftpd : 192.168.0.102,LOCAL

这些更改会立刻生效并且不需要重新启动。

在下图中你会看到,在最后一行中删掉 LOCAL 后,FTP 服务器会对于 localhost 不可用。在我们添加了通配符以后,服务又变得可用了。Linux中如何使用TCP封装器加强网络服务安全

确认 FTP 权限

为了允许所有服务对于主机名中含有 example.com 都可用,在 hosts.allow 中添加如下一行:

ALL : .example.com

而为了禁止 10.0.1.0/24 的机器访问 vsftpd 服务,在 hosts.deny 文件中添加如下一行:

vsftpd : 10.0.1.

在最后的两个例子中,注意到客户端列表每行开头和结尾的。这是用来表示 “所有名字或者 IP 中含有那个字符串的主机或客户端”

看完了这篇文章,相信你对“Linux中如何使用TCP封装器加强网络服务安全”有了一定的了解,如果想了解更多相关知识,欢迎关注编程网行业资讯频道,感谢各位的阅读!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-人工智能
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯