第一章Tcp-Wrapper
一、Tcp_wrapper
1、独立守护进程(standalone)
类似独立经营的专卖店。
2、xinetd(非独立守护进程,超级进程)
类似大商场里面的专卖店。xinetd如果接受wrapper访问控制,那么里面的所有子进程都接受wrapper的控制。
3、tcp-wrapper的配置文件
/etc/hosts.allow
/etc/hosts.deny
注意:进程访问会先通过/etc/hosts.allow,如果有匹配规则就放行,然后检查hosts.deny进行检查如果有匹配就拒绝,如果没有就放行进入下一个默认规则,tcp_wrapper的默认规则就是放行。
4、语法格式
daemon_list:client_list[:options]
Daemon_list
使用服务程序的可执行文件名,通常在/usr/bin,/bin/等目录下。
多个daemon之间用逗号隔开。
ALL表示所有服务。
daemon@host表示当主机有多个ip地址时,可以对不同的ip地址访问采用不同的访问策略。
Client-list
直接指定具体ip地址的主机
使用network/mask的形式指定主机范围,格式必须是10.0.0.0/255.0.0.0的格式
使用主机名或FQDN名
all,表示所有
local,表示和本地主机在同一网段的主机
konwn,表示FQDN可以被解析的
unknown,表示主机名不能被解析的。
paranoid,正向和反向解析不匹配的
except,不包括,除。。。。之外。
实例:
Telnet服务不允许172.16.0.0/16访问,但允许172.16.100.200访问,其他客户端不受控制。
方法1:
/etc/hosts.allow
In.telnetd:172.16.100.200
/etc/hosts.deny
In.telnetd:172.16.
方法2:
/etc/hosts.deny
In.telnetd:172.16.EXCEPT 172.16.100.200
方法3:
/etc/hosts.allow
In.telnetd: ALL EXCEPT 172.16. EXCEPT 172.16.100.200
options:
spawn:启动一个日志追加功能。
deny:
allow:
sshd:192.168.1.89 EXCEPT 192.168.1.: spawn echo 'somebody enter `who`'>>/var/log/tecwrapper.log
~
tcp_wrapper宏:
%c:客户端信息(user@host)
%s:服务器端信息(server@host)
%h:客户端主机名
%p:服务器端PID
通过以下命令获取详细信息:
[root@ms.dtedu.com~]$man 5 hosts_access
二、Xinetd
1、配置文件/etc/xinetd.conf
全局配置文件,对片段配置文件都生效。
可以将xinetd的日志文件单独定义到一个独立文件中,使用FILE /var/log/xinetd.log的形式。
服务配置段,通过service开头并定义。
# Define general logging characteristics.
log_type = SYSLOG daemon info使用FILE/var/log/xinetd.log的形式定义日志到独立的文件中。info表示日志记录级别。
log_on_failure = HOST记录登录失败时记录的信息为主机信息。
log_on_success = PID HOST DURATION EXIT记录登录成功的信息包括PID,主机名,登录时长,退出时间。
通过man xinetd.conf查看配置文件使用方法。
2、片段/etc/xinetd.d/*
# default: off
# description: The rsync server is a good addition to an ftp server, as it \
# allows crc checksumming etc.
service rsync要和文件名相同
{
disable = yes是否启用,yes是禁用
flags = IPv6
socket_type = stream套接字类型,常用的是tcp/udp/rpc三种。stream表示tcp,dgram表示udp。
wait = no是否等待进程完成,适用于tcp套接字。
user = root
server = /usr/bin/rsync
server_args = --daemon
log_on_failure += USERID在原有赋值的基础上,增加新的值。
log_type= FILE /var/log/rsync.log
}
~
~
扩展知识:
访问控制:
only_from = :允许哪些地址访问
ip:10.10.10.10
network= 10.10.10.0/24,10.10.10.0/255.255.255.0
hostname:www.dtedu.com
domain:www.dtedu.com
no_access = 拒绝哪些地址访问
access_time = 设置访问时间范围,hh:mm-hh:mm
bind = 设置主机监听的地址,当一台主机有多个ip地址时,可以设置提供服务的在那个地址上。
cps = 第一个参数设置每秒钟连接进来的最大数量,当超过最大连接数时会暂停提供服务,第二个参数定义暂停时间长度。
per_source = 用来设置一个单独ip地址最大并发连接请求。
instances = 用来定义当前服务最大提供能力,通常为连接数
service_args = 用来设置默认启动服务时,附加的参数
banner = 用来定义连接进来时提供的标语信息,可以指定一个文件。
知识点:系统日志记录是通过syslogd这个程序来完成的,它生成两个进程syslogd和klogd,这个是早期的进程,后来系统日志通过rsyslog进行管理,生成的进程只有rsyslogd一个了。
[root@ms.dtedu.com~]$service rsyslog status
rsyslogd (pid 1280) is running...
提供rpc服务的是portmap应用程序。
第二章authentication(认证)
验证一个客户端的用户名和密码是否能通过检验。那么这个验证的数据库必然在验证方。
一、用户名认证原理
在计算机中,能够识别的并非是我们输入的用户名,而是UID,GID,就像是主机名对应一个ip地址,一个服务对应一个端口一样。需要一种名称转换机制,这里就称为名称解析。这个解析需要一个数据库或表来完成,常见的有dns、/etc/hosts、mysql、nis、ldap。
在计算机系统中,我们常见的登录服务、ftp服务等都要涉及到用户身份验证,比如登录会调用一个login的程序,由这个程序来验证用户身份,当用户输入用户名时,要转换成UID,需要名称解析库那么有那么多的名称解析库用哪个呢?这里使用的是/etc/passwd,而如果另一个服务也要验证可能调用的就是另一个库了,这样纷杂的情况会给程序带来很大设计压力,所以就在app和名称解析之间有了一个中间件-nsswitch。
那么程序在进行用户名认证的时候使用了nssswitch,nsswitch要调用具体的数据库文件,就需要一个“解析的过程”,这个就由/usr/lib下的库文件来完成。
[root@ms.dtedu.com~]$ls /usr/lib64/ |grep nss
libnss3.so
libnssckbi.so
libnss_compat.so
libnssdbm3.chk
libnssdbm3.so
libnss_dns.so
libnss_files.so
libnss_hesiod.so
libnss_nisplus.so
libnss_nis.so
libnsspem.so
libnsssysinit.so
libnssutil3.so
nsswitch
配置文件位置:/etc/nsswitch.conf
配置讲解:
success:服务ok,名称解析ok
notfound:服务ok,名称解析fail
unavail:服务fail
tryagain:
默认是在首个库解析成功后就返回信息,否则没有找到就继续
passwd:nis [NOTFOUND=return] files
表示如果对passwd验证的时候,首先进行nis解析,如果nis没有解析出来就不再从files中解析了,只有当nis服务不可用的时候才从files中解析。
小工具:
getent,用来验证通过nsswitch进行配置后,当解析时是否从指定的库中进行解析的。比如:
验证nsswitch中的hosts是否是从/etc/hosts文件进行验证。
[root@ms.dtedu.com~]$getent hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain411
10.40.0.225 node5.dtedu.com node5
192.168.1.11 ms.dtedu.com ms
10.40.0.226 node6.dtedu.com node6
127.0.0.1 localhost localhost.localdomain localhost6 localhost6.localdomain6
只验证其中的一个信息:
[root@ms.dtedu.com~]$getent hosts node5.dtedu.com
10.40.0.225 node5.dtedu.com node5
认证和名称解析是两套完全独立的运行机制,认证过程的密码验证是通过对密码进行md5计算后生成校验码然后和系统内部shadow中保存的md5验证码进行对比来验证密码正确性的。
二、密码认证原理
1、密码的认证机制有多种手段,主要包括:
1、md5认证,就是前面说的通过/etc/shadow的验证方法。 pam_unix.so
2、直接查看密码的验证方式。
3、ldap验证pam_winbind.so
4、nis验证
5、kerberos验证
2、同样对于密码认证的多样性,造成了也需要一个专门的中间件,来管理程序使用不同的认证方式,这个中间件就是PAM,它本身是一个framwork(框架),并不做真正的认证,只是提供认证的方法(库文件,/lib64/security)。
[root@ms.dtedu.com~]$ll /lib64/security/
总用量 732
-rwxr-xr-x. 1 root root 18552 10月 15 2014 pam_access.so
-rwxr-xr-x. 1 root root 7504 12月 7 2011 pam_cap.so
-rwxr-xr-x. 1 root root 10272 10月 15 2014 pam_chroot.so
-rwxr-xr-x. 1 root root 27080 10月 15 2014 pam_console.so
-rwxr-xr-x. 1 root root 14432 10月 15 2014 pam_cracklib.so
3、配置文件/etc/pam.d/*
[root@ms.dtedu.com~]$ls /etc/pam.d/
chfn login runuser su
chsh newrole runuser-l sudo
config-util other smartcard-auth sudo-i
crond passwd smartcard-auth-ac su-l
cvs password-auth smtp system-auth
fingerprint-auth password-auth-ac smtp.postfix system-auth-ac
fingerprint-auth-ac remote sshd
hbmgmtd run_init ssh-keycat
4、PAM(可插入式认证模块)
基本格式:Typecontrolmodule-path[module-arguments]
4.1type类型:
auth:用来检查认证密码是否匹配
acct:验证用户账户是否有效,就是匹配但不有效比如锁定。
password:验证密码修改时是否符合密码安全属性要求,比如长短,时间
session:会话验证
4.2control类型:
required:一票否决权,就是说自己这一关一定要通过,通过后其他关要不要检查自己不做决定。required必须都通过
requisite:真正意义上的一票否决权,没有一票肯定权。
sufficient:表示自己这一关如果通过了,就可以直接晋级过关了。不用检查后面的了。一票通过权,如果没有通过并没有否决权。
optional:可选项,通过就继续检查其他选项,错误就忽略。
include:
5、模块的用途
pam_unix模块,常规的登录检查模块,参数有nullok、shadow、md5
参考文件:The Linux-PAM System Administrators' Guide
二、authorization(授权)
验证一个用户是否拥有访问一个服务器提供的某项服务的能力。