TCP_Wrappers 基于TCP的安全控制 _安全控制

生也有涯，知也无涯。这篇文章主要讲述TCP_Wrappers 基于TCP的安全控制相关的知识，希望能为你提供帮助。
TCP_Wrappers简介TCP_Wrappers全称：Transmission Control Protocol(TCP)Wrappers
是一个基于主机的网络访问控制表系统，用于过滤对类Unix系统（如Linux或BSD）的网络访问。
其能将主机或子网IP地址、名称及ident查询回复作为筛选标记，实现访问控制。
Tcp_Wrappers主要特点? 工作在第四层（传输层）的TCP协议
? 对有状态连接的特定服务进行安全检测并实现访问控制
? 以库文件形式实现
? 某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译的
判断程序是否支持tcp_wrapper程序如果调用了libwrap.so库，表示支持。

ldd 程序路径|grep libwrap.so strings 程序路径|grep libwrap.so#ldd /usr/sbin/sshd|grep libwrap.so libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f9851678000)#ldd /usr/sbin/vsftpd |grep libwrap.so libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f802ef50000)#strings `which sshd`|grep libwrap.so libwrap.so.0

TCP_Wrappers的使用TCP Wrappers是通过/etc/hosts.allow和/etc/hosts.deny这两个配置文件来实现一个类似防火墙的机制。
配置文件
【TCP_Wrappers 基于TCP的安全控制】帮助参考：man 5 hosts_access，man 5 hosts_options

配置文件	规则定义
/etc/hosts.allow	允许访问规则
/etc/hosts.deny	拒绝访问规则

注意：说明文档中表示此文件也可以实现拒绝的规则，本着见名知义和管理清晰化的指引，这种写法不是讨论的重点。
语法

daemon_list : client_list [ : shell_command ]daemon_list 单个应用程序的二进制文件名，而不是服务名，如果有多个，用逗号或空格分隔。如sshd,vsftpd 或 sshd vsftpd 可以绑定服务地址,如，[email protected]:ALL ALL表示所有接受tcp_wrapper控制的服务程序支持通配符client_list 客户端列表 ? 基于单个IP地址：192.168.10.1 ? 基于网段IP地址：192.168.1. 注意，192.168.1.0这个写法是错误的。 ? 基于主机名：www.hunk.tech .hunk.tech较少用 ? 基于网络/掩码：192.168.0.0/255.255.255.0 ? 基于net/prefixlen: 192.168.1.0/24（仅CentOS7） ? 基于网络组（NIS 域）：@mynetwork ? 内置ACL： ALL 所有（进程或者主机） LOCAL 名称中不带点的主机 KNOWN 可以解析的主机名 UNKNOWN 无法解析的主机名 PARANOID 正、反向查询不匹配或无法解析支持通配符shell_command 执行指令如：sshd:all:spawn echo "`date +%%F-%%T` from %a pid=%p to %s" > > /app/sshd.logEXCEPT是排除的意思，一行规则里可以有多个，后面的是对前面的结果集进行排除。 vsftpd:172.16. EXCEPT 172.16.100.0/24 EXCEPT 172.16.100.1 匹配整个172.16网段，但是把172.16.100的网段排除，在排除172.16.100网段中又把172.16.100.1的IP给排除。spawn 启动一个外部程序完成执行的操作，可以支持内置变量。内置变量请man ,找%的选项 %a (%A) 客户端IP %c客户端信息，可以是IP或主机名(如果能解析) %p服务器进程信息 (PID) %s连接的服务端的信息 %%当规则中包含%时，使用双%转义twist 特殊扩展以指定的命令执行，执行后立即结束该连接。需在spawn之后使用。

示例
使用的2台测试主机网络IP配置如下：

本文中简称	主机	IP 1	IP 2
6A	6-web-1.hunk.tech	192.168.7.201	192.168.5.102
7B	7-web-2.hunk.tech	192.168.7.202	192.168.5.103

默认hosts.allow和hosts.deny 配置文件为空，表示全部允许。

#ssh 192.168.7.202 Last login: Thu Feb8 11:04:58 2018 from 192.168.7.201

拒绝某个IP访问：

7B: vim /etc/hosts.deny sshd:192.168.7.2016A: #ssh 192.168.7.202 ssh_exchange_identification: Connection closed by remote host配置规则保存后，立即生效7B：日志会明确记录 #tail -n1 /var/log/secure Feb8 11:18:29 7-web-2 sshd[1811]: refused connect from 192.168.7.201 (192.168.7.201)

那如果一个client_list同时存在于2个文件呢

7B： tail -n1 /etc/hosts.deny > > /etc/hosts.allow 6A： #ssh 192.168.7.202 Last login: Thu Feb8 11:05:33 2018 from 192.168.7.201

看到了吧，是可以允许访问的，这就涉及到了执行处理机制了。

文章图片

因此，上面的结果就是允许访问了。因为在hosts.allow已经匹配了。
仅允许内网IP访问

假设192.168.7.202是7B的肉网卡地址，那么规则应该为： #vim /etc/hosts.deny [email protected]:ALL#ssh -b 192.168.7.201 192.168.7.202> -b 是使用源地址为X.X.X.X访问 bind: 192.168.7.201: Cannot assign requested address ssh: connect to host 192.168.7.202 port 22: Cannot assign requested address

把每个ssh登录日志记录到文件

#vim /etc/hosts.allow sshd:all:spawn echo "`date +%%F-%%T` from %a pid=%p to %s" > > /app/sshd.log#cat /app/sshd.log 2018-02-08-15:59:53 from 192.168.7.202 pid=2565 to [email protected]#ps aux |grep 2565 root25650.02.3 1456965328 ?Ss15:590:00 sshd: [email protected]/2

应用实例
编写脚本/root/bin/checkip.sh，每5分钟检查一次，如果发现通过ssh登录失败次数超过10次，自动将此远程IP放入Tcp_Wrapper的黑名单中予以禁止防问

#!/bin/bash #定义休眠时间 sleeptime=300#定义通过ssh登录失败次数 num=10#定义黑名单文件 file=/etc/hosts.deny#无限循环 while true; do #将失败登录的记录逐行读入变量 lastb | grep ssh|awk -F "[ ]+" ‘{print $3}‘|uniq -c | while read conn ip; do #判断失败次数 if[ "$conn" -ge "$num" ]; then #判断记录的IP是否存在 egrep -q ^sshd.*$ip $file #如果不存在记录，将追加记录至指定黑名单文件 [ $? -ne 0 ] & & echo "sshd:$ip" > > $file fi done sleep $sleeptime done

使用watch -n1 cat /etc/hosts.deny来观察动态文件