您的当前位置:首页 --> CentOS入门 |
在Linux下使用TCP封装器来加强网络服务安全 |
浏览次数:1679 关键词 ( 网络服务 Linux TCP ) |
导读
在这篇文章中,我们将会讲述什么是 TCP 封装器(TCP wrappers)以及如何在一台 Linux 服务器上配置他们来限制网络服务的权限。在开始之前,我们必须澄清 TCP 封装器并不能消除对于正确配置防火墙的需要。
就这一点而言,你可以把这个工具看作是一个基于主机的访问控制列表,而且并不能作为你的系统的终极安全措施。通过使用一个防火墙和 TCP 封装器,而不是只偏爱其中的一个,你将会确保你的服务不会被出现单点故障。 正确理解 hosts.allow 和 hosts.deny 文件
当一个网络请求到达你的主机的时候,TCP 封装器会使用 hosts.allow 和 hosts.deny (按照这样的顺序)来决定客户端是否应该被允许使用一个提供的服务。. # ls -l /etc/hosts.allow /etc/hosts.deny 两个文件的编写语法规则是一样的: <services> : <clients> [: <option1> : <option2> : ...]
在文件中, 1).ALL 表示所有事物,应用于clients和services。 2).LOCAL 表示匹配在正式域名中没有完全限定主机名(FQDN)的机器,例如 localhost。 3).KNOWN 表示主机名,主机地址,或者用户是已知的(即可以通过 DNS 或其它服务解析到)。 4).UNKNOWN 和 KNOWN 相反。 5).PARANOID 如果进行反向 DNS 查找彼此返回了不同的地址,那么连接就会被断开(首先根据 IP 去解析主机名,然后根据主机名去获得 IP 地址)。 3. 最后,一个冒号分割的动作列表表示了当一个规则被触发的时候会采取什么操作。 你应该记住 /etc/hosts.allow 文件中允许一个服务接入的规则要优先于 /etc/hosts.deny 中的规则。另外还有,如果两个规则应用于同一个服务,只有第一个规则会被纳入考虑。不幸的是,不是所有的网络服务都支持 TCP 过滤器,为了查看一个给定的服务是否支持他们,可以执行以下命令: # ldd /path/to/binary | grep libwrap
如果以上命令执行以后得到了以下结果,那么它就可以支持 TCP 过滤器,sshd 和 vsftpd 作为例子,输出如下所示。
当你编辑 /etc/hosts.allow 和 /etc/hosts.deny 的时候,确保你在最后一个非空行后面通过回车键来添加一个新的行。 sshd,vsftpd : ALL ALL : ALL 而且在 /etc/hosts.allow 文件中添加如下内容: sshd,vsftpd : 192.168.0.102,LOCAL
这些更改会立刻生效并且不需要重新启动。 ALL : .example.com 而为了禁止 10.0.1.0/24 的机器访问 vsftpd 服务,在 hosts.deny 文件中添加如下一行: vsftpd : 10.0.1. 在最后的两个例子中,注意到客户端列表每行开头和结尾的点。这是用来表示 “所有名字或者 IP 中含有那个字符串的主机或客户端”
|
下一条 centos系统中网络配置相关 上一条 详解Linux bash变量 |
数千企业与站长的选择,7*24小时稳定运行
了解更多套餐详细