TCP_Wrappers.pdfVIP

TCP_Wrappers 2013/06/30 整理笔记和实验（张龙） ====================================================================== Linux 系统访问控制流程： 客户端------iptables--------TCP_Wrappers------Service 本身的访问控制 iptables：基于源 IP、目的 IP、源端口、目的端口来进行控制 TCP_Wrappers：对服务的本身进行控制，是应用层的访问控制程序。 Service：对行为进行控制（它会结合文件和目录权限做更细致的控制） TCP Wrappers TCP Wrapper 是一个应用层的访问控制程序。为服务器的 TCP 服务提供一层安全检测机制， tcpd 检查收到的网络连接请求并将其与配置文件做比较来决定 是否允许其通过。若连接被允许，将运行真实的服务程序（如: in.telnetd 等），若不允许， 将丢弃此请求连 接的数据包。 TCP Wrappers 的守护进程是 tcpd，一般 tcpd 是默认安装的。 并不是所有服务都支持 TCP_Wrappers 要确定一个网络服务是否支持 TCP_Wrappers 执行以 下命令测试： ldd binary-name | grep libwrap # binary-name 替换为网络服务执行程序 例如： # ldd /usr/sbin/sshd | grep libwrap libwrap.so.0 = /lib/libwrap.so.0 (0 # ldd `which vsftpd` | grep libwrap libwrap.so.0 = /lib/libwrap.so.0 (0 如果服务调用了 libwrap.so 这个动态链接库文件，那就是支持 TCP_Wrappers 。 linux 下大部份网络服务都支持 TCP_Wrappers，包括 xinetd 超级守护进程，也就是说由 xinetd 管理的所有服务都是支持 TCP_Wrappers 的。 访问控制配置文件和访问控制规则 TCP_wrappers 使用 /etc/hosts.allow 和 /etc/hosts.deny 两个配置文件实现访问控制。 /etc/hosts.allow 是一个许可表 /etc/hosts.deny 是一个拒绝表 注意：其实，/etc/hosts.allow 是可以定义拒绝的访问的，/etc/hosts.deny 也可以做相反的工 作，但不推荐这样操作，为什么要将简单的问题复杂化呢？ 访问控制规则如下： 1. tcpd 查找 /etc/hosts.allow 和 /etc/hosts.deny，若没有这两个配置文件，或两个配置文件 的内容均 为空，则允许所有的访问 2. tcpd 若发现这两个文件，首先读取 /etc/hosts.allow ，然后再读取 /etc/hosts.deny，一旦 tcpd 在 查询中发现主机与服务相匹配就会终止 I. 若在 /etc/hosts.allow 中发现主机与服务相匹配，则允许访问并终止规则查询 II. 若在 /etc/hosts.deny 中发现主机与服务相匹配，则禁止访问并终止规则查询 3. 若在两个文件中均未查找到匹配的项目，则允许访问 TCP_Wrappers 工作流程图： 注意：从上面的流程图，很容易看出来，如果一个 client 即存在于 hosts.allow 里面，也存 在于 hosts.deny 里面，那是允许访问的。 访问控制配置文件的基本语法 ------------------------------------------------------------------------------------------------------ /etc/hosts.allow 和 /etc/hosts.deny 的基本语法： “#”开头的行为注释行 可以在行中使用 “\”作为续行符 其他的规则行均使用如下的语法 daemon_list : client_list [ : shell_command ] daemon_list — 用逗号间隔的服务列表 ALL 表示所有的服务 daemon@host 限定某网络接口的服务，用于多宿主机 client_list — 用逗号间隔的主机表 ALL 表示所有的主机 使用 IP 地址，如 5 使用主机