日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
在Linux下使用TCP封裝器來加強(qiáng)網(wǎng)絡(luò)服務(wù)安全

在這篇文章中,我們將會講述什么是 TCP 封裝器(TCP wrappers)以及如何在一臺 linux 服務(wù)器上配置他們來限制網(wǎng)絡(luò)服務(wù)的權(quán)限。在開始之前,我們必須澄清 TCP 封裝器并不能消除對于正確配置防火墻的需要。

淮安區(qū)網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)!從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作,到程序開發(fā),運(yùn)營維護(hù)。創(chuàng)新互聯(lián)2013年開創(chuàng)至今到現(xiàn)在10年的時(shí)間,我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn),來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)

就這一點(diǎn)而言,你可以把這個(gè)工具看作是一個(gè)基于主機(jī)的訪問控制列表,而且并不能作為你的系統(tǒng)的終極安全措施。通過使用一個(gè)防火墻和 TCP 封裝器,而不是只偏愛其中的一個(gè),你將會確保你的服務(wù)不會被出現(xiàn)單點(diǎn)故障。

正確理解 hosts.allow 和 hosts.deny 文件

當(dāng)一個(gè)網(wǎng)絡(luò)請求到達(dá)你的主機(jī)的時(shí)候,TCP 封裝器會使用 hosts.allowhosts.deny (按照這樣的順序)來決定客戶端是否應(yīng)該被允許使用一個(gè)提供的服務(wù)。.

在默認(rèn)情況下,這些文件內(nèi)容是空的,或者被注釋掉,或者根本不存在。所以,任何請求都會被允許通過 TCP 過濾器而且你的系統(tǒng)被置于依靠防火墻來提供所有的保護(hù)。因?yàn)檫@并不是我們想要的。由于在一開始我們就介紹過的原因,清確保下面兩個(gè)文件都存在:

# ls -l /etc/hosts.allow /etc/hosts.deny

兩個(gè)文件的編寫語法規(guī)則是一樣的:

 :  [:  :  : ...]

在文件中,

  1. services 指當(dāng)前規(guī)則對應(yīng)的服務(wù),是一個(gè)逗號分割的列表。
  2. clients 指被規(guī)則影響的主機(jī)名或者 IP 地址,逗號分割的。下面的通配符也可以接受:
    1. ALL 表示所有事物,應(yīng)用于clientsservices。
    2. LOCAL 表示匹配在正式域名中沒有完全限定主機(jī)名(FQDN)的機(jī)器,例如 localhost。
    3. KNOWN 表示主機(jī)名,主機(jī)地址,或者用戶是已知的(即可以通過 DNS 或其它服務(wù)解析到)。
    4. UNKNOWNKNOWN 相反。
    5. PARANOID 如果進(jìn)行反向 DNS 查找彼此返回了不同的地址,那么連接就會被斷開(首先根據(jù) IP 去解析主機(jī)名,然后根據(jù)主機(jī)名去獲得 IP 地址)。
  3. 最后,一個(gè)冒號分割的動(dòng)作列表表示了當(dāng)一個(gè)規(guī)則被觸發(fā)的時(shí)候會采取什么操作。

你應(yīng)該記住 /etc/hosts.allow 文件中允許一個(gè)服務(wù)接入的規(guī)則要優(yōu)先于 /etc/hosts.deny 中的規(guī)則。另外還有,如果兩個(gè)規(guī)則應(yīng)用于同一個(gè)服務(wù),只有第一個(gè)規(guī)則會被納入考慮。

不幸的是,不是所有的網(wǎng)絡(luò)服務(wù)都支持 TCP 過濾器,為了查看一個(gè)給定的服務(wù)是否支持他們,可以執(zhí)行以下命令:

# ldd /path/to/binary | grep libwrap

如果以上命令執(zhí)行以后得到了以下結(jié)果,那么它就可以支持 TCP 過濾器,sshdvsftpd 作為例子,輸出如下所示。

查找 TCP 過濾器支持的服務(wù)

如何使用 TCP 過濾器來限制服務(wù)的權(quán)限

當(dāng)你編輯 /etc/hosts.allow/etc/hosts.deny 的時(shí)候,確保你在最后一個(gè)非空行后面通過回車鍵來添加一個(gè)新的行。

為了使得 SSH 和 FTP 服務(wù)只允許 localhost192.168.0.102 并且拒絕所有其他用戶,在 /etc/hosts.deny 添加如下內(nèi)容:

sshd,vsftpd : ALL
ALL : ALL

而且在 /etc/hosts.allow 文件中添加如下內(nèi)容:

sshd,vsftpd : 192.168.0.102,LOCAL

這些更改會立刻生效并且不需要重新啟動(dòng)。

在下圖中你會看到,在最后一行中刪掉 LOCAL 后,F(xiàn)TP 服務(wù)器會對于 localhost 不可用。在我們添加了通配符以后,服務(wù)又變得可用了。

確認(rèn) FTP 權(quán)限

為了允許所有服務(wù)對于主機(jī)名中含有 example.com 都可用,在 hosts.allow 中添加如下一行:

ALL : .example.com

而為了禁止 10.0.1.0/24 的機(jī)器訪問 vsftpd 服務(wù),在 hosts.deny 文件中添加如下一行:

vsftpd : 10.0.1.

在最后的兩個(gè)例子中,注意到客戶端列表每行開頭和結(jié)尾的點(diǎn)。這是用來表示 “所有名字或者 IP 中含有那個(gè)字符串的主機(jī)或客戶端”

這篇文章對你有用嗎?你有什么問題或者評論嗎?請你盡情在下面留言交流。

作者:Gabriel Cánepa 譯者:LinuxBars 校對:wxy


分享名稱:在Linux下使用TCP封裝器來加強(qiáng)網(wǎng)絡(luò)服務(wù)安全
標(biāo)題鏈接:http://www.dlmjj.cn/article/djpdssj.html