黑帽联盟

 找回密码
 会员注册
查看: 1983|回复: 0
打印 上一主题 下一主题

[基础服务] linux下用TCP封装器加强网络服务安全

[复制链接]

895

主题

38

听众

3322

积分

管理员

Rank: 9Rank: 9Rank: 9

  • TA的每日心情

    前天 13:01
  • 签到天数: 1643 天

    [LV.Master]伴坛终老

    在这篇文章中,我们将会讲述什么是 TCP 封装器TCP wrappers以及如何在一台 Linux 服务器上配置他们来限制网络服务的权限。在开始之前,我们必须澄清 TCP 封装器并不能消除对于正确配置防火墙的需要。


    就这一点而言,你可以把这个工具看作是一个基于主机的访问控制列表,而且并不能作为你的系统的终极安全措施。通过使用一个防火墙和 TCP 封装器,而不是只偏爱其中的一个,你将会确保你的服务不会被出现单点故障。


    正确理解 hosts.allow 和 hosts.deny 文件

    当一个网络请求到达你的主机的时候,TCP 封装器会使用 hosts.allow 和 hosts.deny (按照这样的顺序)来决定客户端是否应该被允许使用一个提供的服务。.


    在默认情况下,这些文件内容是空的,或者被注释掉,或者根本不存在。所以,任何请求都会被允许通过 TCP 过滤器而且你的系统被置于依靠防火墙来提供所有的保护。因为这并不是我们想要的。由于在一开始我们就介绍过的原因,清确保下面两个文件都存在:

    • # ls -l /etc/hosts.allow /etc/hosts.deny

    两个文件的编写语法规则是一样的:

    • <services> : <clients> [: <option1> : <option2> : ...]

    在文件中,

    • services 指当前规则对应的服务,是一个逗号分割的列表。
    • clients 指被规则影响的主机名或者 IP 地址,逗号分割的。下面的通配符也可以接受:
      • ALL 表示所有事物,应用于clients和services。
      • LOCAL 表示匹配在正式域名中没有完全限定主机名(FQDN)的机器,例如 localhost。
      • KNOWN 表示主机名,主机地址,或者用户是已知的(即可以通过 DNS 或其它服务解析到)。
      • UNKNOWN 和 KNOWN 相反。
      • PARANOID 如果进行反向 DNS 查找彼此返回了不同的地址,那么连接就会被断开(首先根据 IP 去解析主机名,然后根据主机名去获得 IP 地址)。
    • 最后,一个冒号分割的动作列表表示了当一个规则被触发的时候会采取什么操作。

    你应该记住 /etc/hosts.allow 文件中允许一个服务接入的规则要优先于 /etc/hosts.deny 中的规则。另外还有,如果两个规则应用于同一个服务,只有第一个规则会被纳入考虑。


    不幸的是,不是所有的网络服务都支持 TCP 过滤器,为了查看一个给定的服务是否支持他们,可以执行以下命令:

    • # ldd /path/to/binary | grep libwrap

    如果以上命令执行以后得到了以下结果,那么它就可以支持 TCP 过滤器,sshd 和 vsftpd 作为例子,输出如下所示。

    1.png

    查找 TCP 过滤器支持的服务


    如何使用 TCP 过滤器来限制服务的权限

    当你编辑 /etc/hosts.allow 和 /etc/hosts.deny 的时候,确保你在最后一个非空行后面通过回车键来添加一个新的行。


    为了使得 SSH 和 FTP 服务只允许 localhost 和 192.168.0.102 并且拒绝所有其他用户,在/etc/hosts.deny 添加如下内容:

    • sshd,vsftpd : ALL
    • ALL : ALL

    而且在 /etc/hosts.allow 文件中添加如下内容:

    • sshd,vsftpd : 192.168.0.102,LOCAL

    这些更改会立刻生效并且不需要重新启动。

    在下图中你会看到,在最后一行中删掉 LOCAL 后,FTP 服务器会对于 localhost 不可用。在我们添加了通配符以后,服务又变得可用了。

    2.png

    确认 FTP 权限


    为了允许所有服务对于主机名中含有 example.com 都可用,在 hosts.allow 中添加如下一行:

    • ALL : .example.com

    而为了禁止 10.0.1.0/24 的机器访问 vsftpd 服务,在 hosts.deny 文件中添加如下一行:

    • vsftpd : 10.0.1.


    在最后的两个例子中,注意到客户端列表每行开头和结尾的点。这是用来表示 “所有名字或者 IP 中含有那个字符串的主机或客户端”


    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    勿忘初心,方得始终!
    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部