TCP Wrappers

Tcp_Wrappers是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables,linux默认都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意攻击,保护整个系统正常运行,免遭攻击和破坏。如果通过了第一层防护,那么下一层防护就是tcp_wrappers了,通过Tcp_Wrappers可以实现对系统中提供的某些服务的开放与关闭、允许和禁止,从而更有效地保证系统安全运行。

  Tcp_Wrappers的使用很简单,仅仅两个配置文件:/etc/hosts.allow和/etc/hosts.deny

1. 查看系统是否安装了Tcp_Wrappers

[[email protected] ~]#rpm -q tcp_wrappers

tcp_wrappers-7.6-40.7.el5

或者

  [[email protected] ~]#rpm -qa | grep tcp

如果有上面的类似输出,表示系统已经安装了tcp_wrappers模块。如果没有显示,可能是没有安装,可以从linux系统安装盘找到对应RPM包进行安装。

2. tcp_wrappers设定的规则

tcp_wrappers防火墙的实现是通过/etc/hosts.allow和/etc/hosts.deny两个文件来完成的。

工作原理:

(1)当有请求从远程到达本机的时候

首先检查/etc/hosts.allow

如有匹配的,就默认允许访问,跳过 /etc/hosts.deny这个文件

没有匹配的,就去匹配/etc/hosts.deny 文件,如果有匹配的,那么就拒绝这个访问

(2)如果在这两个文件中,都没有匹配到,默认是允许访问的

文件格式是:

服务列表 : 主机列表 : 选项

1.服务列表是要支持的服务的名,例如:telnet、vsftpd等等。

2.主机列表设定受控制的机器。这可以是机器名、主机IP,也可以使用通配符(*或?)或ALL及EXCEPT。

3.选项是我们所要控制的动作。在服务与client都符合之后,那么真正所要进行的动作,就是选项在作。

1)ALLOW 接受连接请求。2)DENY 拒绝连接请求。

举例:只允许118.126.3.222中vsftp登录

(这里要注意的是关于vsftp的配置文件vsftpd.conf中的

tcp_wrappers=YES

这样vsftp才允许通过tcp_wrappers的机制对vsftp服务器进行访问控制。)

输入vim /etc/hosts.allow

编辑 vsftpd:118.126.3.222:allow

表示允许118.126.3.222vsftp连接

输入vim /etc/hosts.deny

编辑 vsftpd:all

表示拒绝所有vsftp连接

一般情况下,linux会首先判断/etc/hosts.allow这个文件,如果远程登录的计算机满足文件/etc/hosts.allow设定的话,就不会去使用/etc/hosts.deny文件了,相反,如果不满足hosts.allow文件设定的规则的话,就会去使用hosts.deny文件了,如果满足hosts.deny的规则,此主机就被限制为不可访问linux服务器,如果也不满足hosts.deny的设定,此主机默认是可以访问 linux服务器的.

TCP Wrappers 封锁IP地址的方法

时间: 2024-10-15 09:42:25

TCP Wrappers的相关文章

TCP WRAPPERS、denyhosts软件的安装和配置、PAM身份认证模块应用

一.TCP WRAPPERS 1.TCP WRAPPERS的作用是什么? 保护服务器的一些服务,可以限制客户端访问这些服务. TCP WRAPPERS支持那些服务?判断一个服务是否支持TCP WRAPPERS的保护有那些方法? 查看该服务是否加载libwrap,查看该服务是不是基于xinetd服务. ssh ,vsftpd,telnet,http(不支持wrap模块)ipop3 2.检查服务是否支持被TCP WRAPPERS保护 3.防护规则存放在 /etc/hosts.allow /etc/h

使用TCP Wrappers增强SSHD安全性

简介: TCP Wrappers是一个基于主机的ACL系统,他被用来过滤对Linux系统提供的网络服务的访问.他通过libwrap向daemon进程提供过滤功能. TCP Wrappers的工作流程: 1.读取/etc/hosts.allow文件,如果能匹配到策略,则允许:否则进行下一步: 2.读取/etc/hosts.deny 文件,如果能匹配到策略,则拒绝:否则允许. 实例:只允许192.168.0.100/24访问. # cat /etc/hosts.allow sshd:192.168.

另一种访问控制机制TCP Wrappers

TCP  Wrappers 在之前的文章中我们介绍过iptables,iptables也是一种访问控制机制.由于iptables中的参数过多,对于初学者要想完全掌握iptables有一定的难度.因此,在这里我们介绍另一种简单的访问控制机制,就是TCP Wrappers. TCP Wrappers的工作原理主要是分析TCP的报头信息,并与/etc/hosts.allow和/etc/hosts.deny中的规则进行匹配,从而决定哪些主机可以访问系统服务或资源. TCP Wrappers虽然能对TCP

linux TCP Wrappers

1. TCP Wrapper简介 (维基百科)TCP Wrapper is a host-based Networking ACL system, used to filter network access to Internet Protocolservers on (Unix-like) operating systems such as Linux or BSD. It allows host or subnetwork IP addresses,names and/or ident qu

防火墙基础知识--TCP Wrappers和IPtables两种机制

认识防火墙 概念 作用 Linux上防火墙类别 封包过滤机制Netfilter 程序管控机制TCP Wrappers 一般网络布线 使用能力限制 TCP Wrappers程序管控 概念: 简单来说,TCP wrappers就是透过/etc/hosts.allow和/etc/hosts.deny这两个文件来管理,但并非所有软件都可以. 支持的服务 super daemon (xinetd)管理的服务 chkconfig --list 显示内容下的xinetd based services: 支持l

密钥对验证及TCP Wrappers访问控制

一.秘钥对验证 加密认证算法:RSA .DSA两个都可使用 1.在客户机上生成密钥对 在客户机上执行"ssh-keygen  -t  rsa" 生成非对称加密秘钥对 2.将公钥文件上传到服务器 在客户机家目录的.ssh/目录下,将id_rsa.pub公钥文件上传给服务机 3.在服务器上创建秘钥目录并修改上传的秘钥文件名 上传完成后,要在服务机端的家目录下创建一个 .ssh/ 的目录,把id_rsa.pub改名为authorized_keys并剪切到家目录下的.ssh/目录里面.   4

SSH服务与tcp wrappers实验

实验环境: 一台linux(ssh client) 一台linux(ssh server) 实验步骤: 1.配置IP,测试连通性 2.在客户端创建用户yuzly1,登录创建的用户,用公钥生成工具生成公钥,#注意记得输入私钥密语,不设置默认为空 3.查看生成的公钥 4.在服务端创建一个账户,然后登录创建的账户yuzly2,然后在该账户宿主目录下创建.ssh目录(如果是在root账户下创建/home/yuzly2/,ssh目录,需要修改目录所有者以及所属组为yuzly2),并把.ssh所属组的权限中

Linux 中 TCP Wrappers 访问控制

TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制.对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略. 两个策略文件的作用相反,但配置记录的格式一样: <服务程序列表>:<客户端地址列表>服务程序列表和客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔. 1.服务程序列表: ALL:代表所有服务. 单个服务程序:如"dhcpd" 多个服务程

TCP Wrappers(简单防火墙)---限制IP登录ssh

1.TCP Wrappers 简介 TCP_ Wrappers是- 一个工作在第四层(传输层)的的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwrap. so库文件的的程序就可以受TCP_ Wrappers的安全控制.它的主要功能就是控制谁可以访问,常见的程序有rpcbindl vsftpd.sshd, telnet. 判断方式:. 1. 查看对应服务命令所在位置. which sshd . 2.查看指定 命令执行时是否调用libwrap. so