目录
1、TCP Wrappers简介
TCP_Wrappers是Linux中的一个安全机制【TCP Wrappers防火墙】也可以成为访问控制,一定程度上达到了保护系统的目的,相当于我们手机的黑名单和白名单,对访问我们服务器的用户进行设置和管理。
TCP_Wrappers是一个工作在第4层(传输层)的安全工具,对有状态及特定服务进行安全检测并实现访问控制,凡是包含有libwrao.so库文件的程序就可以受tcp wrappers的管理。它的主要功能就是控制谁可以访问。
TCP_Wrappers(tcp封套,以作为应用服务与网络之间的一道特殊防线提供额外的安全保障,TCP_Wrappers将TCP服务程序“包裹”起来,代为监听TCP服务的程序,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得允许后才能访问真正的服务程序。常见的程序有:rpcbind、vsftpd、sshd、telnet
2、TCP_Wrappers的特点
1):它工作在第四层(传输层),可以根据设定的策略对客户端访问的服务程序对限制。
2):它对有状态连接的特定服务进行安全检查,以库文件的形式实现访问控制。
3):某一进程是否接受TCP_Wrappers的控制,取决于它在编译的时候是否对libwrap库进行了编译。
3、TCP原理流程图
大多数Linux发行版,TCP_Wrappers是默认提供的功能。在CentOS7.5中使用的软件是使用tcp_wrappers-libs-7.6-77.el7.x86_64,该软件包提供了执行程序tcpd和共享链接库文件libwrap.so.*对应TCP_Wrappers保护机制的两种方式。
1):直接使用tcpd程序对其服务程序进行保护,需要允许tcpd。
2):有其他网络服务程序调用libwrap.so链接库,不需要允许tcpd程序。如果要查看每个程序是否受TCP_Wrappers管理可以使用ldd命令查看每个程序的共享库,ldd /usr/sbin/sshd | grep libwrap
4、TCP_Wrappers访问策略
相关控制文件:/etc/hosts.allow(允许文件)、 /etc/hosts.deny(拒绝文件)
1):策略的配置格式
<服务程序列表>:<客户端地址列表>
服务程序列表
ALL:代表所有服务。
单个服务程序:如;vsftpd
多个服务程序组成的列表:如;vsftpd、ssh、http多个程序使用都好分割。
客户端地址列表
ALL:代表所有地址。
LOCAL:代表本机地址。
单个IP地址:如;192.168.8.5
网段地址:如192.168.4.0/255.255.255.0
以“ . ”开始的域名:如“bdqn.com”匹配bdqn.com域中所有主机。
以“ . ”结尾的网络地址:如“192.168.4.”匹配整个192.168.4.0/24网段
嵌入通配符“ * ”“ ? “:前者代表任意长度字符,后者仅代表一个字符,如“10.0.8.2*“匹配以10.0.8.2开头的所有ip地址。不可与以” . “开启或结束的模式混用。
多个客户端地址组成的列表:如“192.168.1.,192.168.16.,.bdqn.com
5、TCP_Wrappers配置实例
例:只希望从ip地址为61.63.65.67的主机或者位于192.168.2.0/24网段的主机访问呢sshd服务,其他地址被拒绝。
[root@localhost ~]# vim /etc/hosts.allow
sshd:61.63.65.67,192.168.2.*
[root@localhost ~]# vim /etc/hosts.deny
sshd:ALL
从其他主机上ssh远程这台服务器测试是否会拒绝连接。
这里服务器地址是192.168.8.5,测试机器地址为192.168.8.254
直接提示连接重置也就是连接不上。