194
在 Linux 下使用 TCP 封裝器來加強網絡服務安全
在這篇文章中,我們將會講述什麼是 TCP 封裝器TCP wrappers以及如何在一台 Linux 服務器上配置他們來限製網絡服務的權限。在開始之前,我們必須澄清 TCP 封裝器並不能消除對於正確配置防火牆的需要。
就這一點而言,你可以把這個工具看作是一個基於主機的訪問控製列表,而且並不能作為你的係統的終極安全措施。通過使用一個防火牆和 TCP 封裝器,而不是隻偏愛其中的一個,你將會確保你的服務不會被出現單點故障。
正確理解 hosts.allow 和 hosts.deny 文件
當一個網絡請求到達你的主機的時候,TCP 封裝器會使用 hosts.allow 和 hosts.deny(按照這樣的順序)來決定客戶端是否應該被允許使用一個提供的服務。.
在默認情況下,這些文件內容是空的,或者被注釋掉,或者根本不存在。所以,任何請求都會被允許通過 TCP 過濾器而且你的係統被置於依靠防火牆來提供所有的保護。因為這並不是我們想要的。由於在一開始我們就介紹過的原因,清確保下麵兩個文件都存在:
# ls -l /etc/hosts.allow /etc/hosts.deny
兩個文件的編寫語法規則是一樣的:
<services> : <clients> [: <option1> : <option2> : ...]
在文件中,
-
services指當前規則對應的服務,是一個逗號分割的列表。 -
clients指被規則影響的主機名或者 IP 地址,逗號分割的。下麵的通配符也可以接受:-
ALL表示所有事物,應用於clients和services。 -
LOCAL表示匹配在正式域名中沒有完全限定主機名(FQDN)的機器,例如localhost。 -
KNOWN表示主機名,主機地址,或者用戶是已知的(即可以通過 DNS 或其它服務解析到)。 -
UNKNOWN和KNOWN相反。 -
PARANOID如果進行反向 DNS 查找彼此返回了不同的地址,那麼連接就會被斷開(首先根據 IP 去解析主機名,然後根據主機名去獲得 IP 地址)。
-
- 最後,一個冒號分割的動作列表表示了當一個規則被觸發的時候會采取什麼操作。
你應該記住 /etc/hosts.allow 文件中允許一個服務接入的規則要優先於/etc/hosts.deny 中的規則。另外還有,如果兩個規則應用於同一個服務,隻有第一個規則會被納入考慮。
不幸的是,不是所有的網絡服務都支持 TCP 過濾器,為了查看一個給定的服務是否支持他們,可以執行以下命令:
# ldd /path/to/binary | grep libwrap
如果以上命令執行以後得到了以下結果,那麼它就可以支持 TCP 過濾器,sshd 和vsftpd 作為例子,輸出如下所示。
查找 TCP 過濾器支持的服務
如何使用 TCP 過濾器來限製服務的權限
當你編輯 /etc/hosts.allow 和 /etc/hosts.deny 的時候,確保你在最後一個非空行後麵通過回車鍵來添加一個新的行。
為了使得 SSH 和 FTP 服務隻允許 localhost 和 192.168.0.102 並且拒絕所有其他用戶,在 /etc/hosts.deny 添加如下內容:
sshd,vsftpd : ALLALL : ALL
而且在 /etc/hosts.allow 文件中添加如下內容:
sshd,vsftpd : 192.168.0.102,LOCAL
這些更改會立刻生效並且不需要重新啟動。
在下圖中你會看到,在最後一行中刪掉 LOCAL 後,FTP 服務器會對於 localhost 不可用。在我們添加了通配符以後,服務又變得可用了。
確認 FTP 權限
為了允許所有服務對於主機名中含有 example.com 都可用,在 hosts.allow 中添加如下一行:
ALL : .example.com
而為了禁止 10.0.1.0/24 的機器訪問 vsftpd 服務,在 hosts.deny 文件中添加如下一行:
vsftpd : 10.0.1.
在最後的兩個例子中,注意到客戶端列表每行開頭和結尾的點。這是用來表示 “所有名字或者 IP 中含有那個字符串的主機或客戶端”
原文發布時間為:2017-11-11
本文來自雲棲社區合作夥伴“Linux中國”
最後更新:2017-06-06 07:35:02