Chinaunix首页 | 论坛 | 博客
  • 博客访问: 248666
  • 博文数量: 55
  • 博客积分: 2160
  • 博客等级: 大尉
  • 技术积分: 598
  • 用 户 组: 普通用户
  • 注册时间: 2010-03-08 14:36
文章分类

全部博文(55)

文章存档

2013年(1)

2012年(5)

2010年(49)

我的朋友

分类: LINUX

2010-03-08 15:04:02

tcp_wrapperslinux中一个安全机制,在某些条件下,一定程度上限制某种服务的访问权限,达到了保护系统的目的。接下来我们来简单介绍一下tcp-wrapers

 

《一》:首先检查某种服务是否受tcp_wrappers 管理

       ldd `which sshd` grep | libwrap

       如果有这个链接,说面某个服务接受tcp_wrappers管理

《二》:tcp_wrappers相关的文件有

       /etc/hosts.allow

       /etc/hosts.deny

 

《三》:工作原理

1):当有请求从远程到达本机的时候

首先检查/etc/hosts.allow 如果在其中能够匹配的到,那么就默认允许访问

跳过 /etc/hosts.deny这个文件

 

2):当在/etc/hosts.allow中没有匹配到的时候,就匹配/etc/hosts.deny 文件

  如果能在/etc/hosts/deny中匹配的到

  那么就拒绝这个访问

 

      3):如果在这两个文件中,都没有匹配到

            那么,默认是允许访问的

《四》:这两个文件格式     

        服务列表 :地址列表 :选项

 

A.       服务列表格式:如果有多个服务,那么就用逗号隔开

 

B.        地址列表格式

1):标准IP地址:例如:192.168.0.254192.168.0.56如果多于一个用,隔开

2):主机名称:例如:

                      .example.con匹配整个域

3):利用掩码:192.168.0.0/255.255.255.0指定整个网段

4):网络名称:例如 @mynetwork

C.        选项

主要有allow deny 这两个选项

 

D.       其它的特定格式

ALL :指代所有主机

LOCAL :指代本地主机

KNOWN :能够解析的

UNKNOWN :不能解析的

PARANOID

 

 

《五》:扩展选项:

spawn : 执行某个命令

 

vsftpd : spawn echo “login attempt from %c”to %s” | mail –s warning root

 

twist : 中断命令的执行:

 

vsftpd : twist echo “login attempt from %c to %s ” | mail –s waring root

 

 

 

《六》:一个例子

 

/etc/hosts.allow文件中指定下面的内容

vsftpd: 192.168.0.

in.telnetd, protmap: 192.168.0.8

 

/etc/hosts.deny中指定一下文件

ALL:   .cracker.org  EXCEPT trusted.cracker.org

vsftpd,protmap: ALL

sshd: 192.168.0. EXCEPT 192.168.0.4

阅读(873) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~