tcp_wrapper过滤

1.1 wrap简介

wrap工作在内核空间和应用程序中间的库层次中。在内核接受到数据包准备传送到用户空间时都会经过库层次,对于部分(只是部分)应用程序会在经过库层次时会被wrap库文件阻挡下来检查一番,如果允许通过则交给应用程序。

1.2 查看是否支持wrapper

wrap只会检查tcp数据包,所以称为tcpwrapper。但还不是检查所有类型的tcp数据包,例如httpd就不支持。是否支持,可以通过查看应用程序是否依赖于libwrap.so库文件。(路径/lib64/libwrap.so)

[[email protected] ~]# ldd $(which sshd) | grep wrap
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f110efb7000)
[[email protected] ~]# ldd  $(which vsftpd) | grep wrap
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f1e73185000)
[[email protected] ~]# ldd  $(which httpd) | grep wrap

说明sshd和vsftpd都支持wrap机制,而apache的httpd不支持。

当然上面grep不出结果只能说明不支持这样的动态链接的方式,有些应用程序可能静态编译进程序中了,如旧版本的rpc应用程序portmap。

是否将wrap功能静态编译到应用程序中,可以通过以下方式查看。

strings $(which portmap) | grep hosts

如果筛选出的结果中有hosts_access或者/etc/hosts.allow和/etc/hosts.deny这两个文件,则说明是支持的。后两个文件正是wrap访问控制的文件。

要注意的是,如果超级守护进程xinetd被wrap控制了,则其下的瞬时守护进程都受wrap控制。

1.3 配置文件格式

hosts.allow和hosts.deny两个文件的语法格式是一样的,如下:

daemon_list:   client_list  [:options]

【"daemon_list:"的表示方法】:程序名必须是which查出来同名的名称,例如此处的in.telnetd

sshd:
sshd,vsftpd,in.telnetd:
ALL
[email protected]:

最后一项[email protected]指定连接IP地址,针对多个IP的情况。如本机有192.168.100.8和172.16.100.1两个地址,但是只想控制从其中一个ip连接的vsftpd服务,可以写"[email protected]:"。

【"client_list"的表示方法】

单IP:192.168.100.8
网段:两种写法:"172.16."和10.0.0.0/255.0.0.0
主机名或域匹配:fqdn或".a.com"
宏:ALL、KNOWN、UNKNOWN、PARANOID、EXCEPT

ALL表示所有主机;LOCAL表示和主机在同一网段的主机;(UN)KNOWN表示DNS是否可以解析成功的;PARANOID表示正解反解不匹配的;EXCEPT表示“除了”。

它们的语法可以man hosts_access。

tcpwrapper的检查顺序:hosts.allow --> hosts.deny --> 允许(默认规则)

例如sshd仅允许172.16网段主机访问。

hosts.allow:
sshd: 172.16.
hosts.deny:
sshd: ALL

telnet服务不允许172.16网段访问但允许172.16.100.200访问。有几种表达方式:

表达方式一:

hosts.allow:
in.telnetd: 172.16.100.200
hosts.deny:
in.telnetd: 172.16.

表达方式二:

hosts.deny:
    in.telnetd: 172.16. EXCEPT 172.16.100.200

此法不能写入hosts.allow:"in.telnetd: 172.16.100.200 EXCEPT 172.16."

表达方式三:

hosts.allow:
    in.telnetd: ALL EXCEPT 172.16. EXCEPT 172.16.100.200
hosts.deny:
    in.telnetd: ALL

EXCEPT的最形象描述是“在其前面的范围内挖一个洞,在洞范围内的都不匹配”。所以hosts.allow中,ALL内有一个172.16的洞是不被allow的,在172.16中又有小洞172.16.100.200是被排除在172.16洞外的,所以172.16.100.200是被allow的。

注意:被EXCEPT匹配到的表示不经过此条规则的检查,而不是反意。例如在allows中指明一个EXCEPT,当有except中的主机被匹配到,表示的不是该主机被拒绝。而是跳过allow检测进入deny的检测。

【:options的表达方式】

:ALLOW
:DENY
:spawn

ALLOW和DENY可以分别写入deny文件和allow文件,表示在allow文件中拒绝在deny文件中接受。如allow文件中:

in.telnetd: 172.16. :DENY

spawn表示启动某程序的意思(/etc/inittab中的respawn表示重启指定程序)。例如启动一个echo程序。

in.telnetd: 172.16 :spawn echo "we are good $(date) >> /var/log/telnetd.log"

回到系列文章大纲:http://www.cnblogs.com/f-ck-need-u/p/7048359.html

转载请注明出处:http://www.cnblogs.com/f-ck-need-u/p/7347987.html

注:若您觉得这篇文章还不错请点击下右下角的推荐,有了您的支持才能激发作者更大的写作热情,非常感谢!

时间: 2024-10-25 05:10:56

tcp_wrapper过滤的相关文章

tcp_wrapper应用简介

一.tcp_wrapper简介 1.什么是tcp_wrapper tcp wrapper是Wietse Venema开发的一个开源软件.它是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables.Linux默认安装了tcp_wrapper.作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护.iptables防火墙通过直观的监视系统的运行状况,阻挡网络中的一些恶意攻击,保护整个系统正常运行免遭攻击和破坏.如果通过了第一层防护,那

iptables/netfilter、?tcp_wrapper

iptables/netfilter: Firewall:防火墙,隔离工具:工作于主机或网络边缘,对于进出本主机或本网络的报文根据事先定义的检查规则作匹配检测,对于能够被规则匹配到的报文作出相应处理的组件:主机防火墙网络防火墙 软件防火墙(软件逻辑):硬件防火墙(硬件和软件逻辑):NetScreen,CheckPoint,... iptables(netfilter)netfilter:kernelhooks function(钩子函数):iptables:clirules untility h

基于Spark MLlib平台的协同过滤算法---电影推荐系统

基于Spark MLlib平台的协同过滤算法---电影推荐系统 又好一阵子没有写文章了,阿弥陀佛...最近项目中要做理财推荐,所以,回过头来回顾一下协同过滤算法在推荐系统中的应用. 说到推荐系统,大家可能立马会想到协同过滤算法.本文基于Spark MLlib平台实现一个向用户推荐电影的简单应用.其中,主要包括三部分内容: 协同过滤算法概述 基于模型的协同过滤应用---电影推荐 实时推荐架构分析     一.协同过滤算法概述 本人对算法的研究,目前还不是很深入,这里简单的介绍下其工作原理. 通常,

Falsy Bouncer(过滤数组假值)

Falsy Bouncer 过滤数组假值 (真假美猴王) 删除数组中的所有假值. 在JavaScript中,假值有false.null.0."".undefined 和 NaN. function bouncer(arr) { // 请把你的代码写在这里 return arr.filter(function(a){ return !!a; }); } bouncer([false, null, 0, NaN, undefined, ""]); 本来也不会,参考了别人

MySQL 5.5主从关于‘复制过滤’的深入探究

关于MySQL主从复制的过滤,例如通过binlog-ignore-db.replicate-do-db.replicate-wild-do-table等.如果不好好研究过这些过滤选项就用的话,是有可能造成主从数据不一致问题的.本文将参考MySQL-5.5官方文档并结合实验,和各位一起探讨下这里的各个设置. 以下内容参考5.5官方文档 binlog_format的设置会导致一些复制执行上的差异. 格式有三种(STATEMENT,ROW,MIXED,5.5默认为STATEMENT) 当使用MIXED

ztree复选框,过滤节点的机制

//过滤节点的机制 直接return node表示不做任何过滤 //return node.checked==true;表达选择框的节点 function filter(node) {return node;} ///动态设置zTree的所有节点有checkboxfunction DynamicUpdateNodeCheck() { var zTree = $.fn.zTree.getZTreeObj("treeDemo"); //根据过滤机制获得zTree的所有节点         

GitHub超详细图文攻略 - Git客户端下载安装 GitHub提交修改源码工作流程 Git分支 标签 过滤 Git版本工作流(转载)

最近听同事说他都在使用GitHub,GitHub是程序员的社区,在里面可以学到很多书上学不到的东西,所以最近在准备入手这方面的知识去尝试学习,正好碰到这么详细完整的文章,就转载了,希望对自己和大家有帮助. GitHub操作总结 : 总结看不明白就看下面的详细讲解. GitHub操作流程 : 第一次提交 : 方案一 : 本地创建项目根目录, 然后与远程GitHub关联, 之后的操作一样; -- 初始化Git仓库 :git init ; -- 提交改变到缓存 :git commit -m 'desc

Wireshark-BPF过滤规则

设置过滤规则就是让网络设备只是捕获我们感兴趣的网络数据包,如果没有设置过滤规则,即上面的 filter_app 是空字符串,那么网络设备就捕获所有类型的数据包,否则只是捕获过滤规则设置的数据包,此时过滤规则的逻辑值为真.此过滤规则是通用的,由著名的网络程序 tcpdump 推出,其他很多的网络程序都是基于此规则进行设计的.此过滤规则的内部解析机制上面介绍过,下面我们参考 tcpdump 的过滤规则形式着重介绍一下过滤规则的定义形式. 过滤规则由一个或多个原语组成.原语通常由一个标识(id, 名称

C# 过滤SQL 字符串中的 参数

/// <summary> /// 参数过滤 /// </summary> /// <param name="parameters"></param> /// <param name="sql"></param> /// <returns></returns> public static IEnumerable<PropertyInfo> FilterPara