生也有涯,知也无涯。这篇文章主要讲述TCP_Wrappers 基于TCP的安全控制相关的知识,希望能为你提供帮助。
TCP_Wrappers简介TCP_Wrappers全称:Transmission Control Protocol(TCP)Wrappers
是一个基于主机的网络访问控制表系统,用于过滤对类Unix系统(如Linux或BSD)的网络访问。
其能将主机或子网IP地址、名称及ident查询回复作为筛选标记,实现访问控制。
Tcp_Wrappers主要特点? 工作在第四层(传输层)的TCP协议
? 对有状态连接的特定服务进行安全检测并实现访问控制
? 以库文件形式实现
? 某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译的
判断程序是否支持tcp_wrapper程序如果调用了libwrap.so库,表示支持。
ldd 程序路径|grep libwrap.so
strings 程序路径|grep libwrap.so#ldd /usr/sbin/sshd|grep libwrap.so
libwrap.so.0 =>
/lib64/libwrap.so.0 (0x00007f9851678000)#ldd /usr/sbin/vsftpd |grep libwrap.so
libwrap.so.0 =>
/lib64/libwrap.so.0 (0x00007f802ef50000)#strings `which sshd`|grep libwrap.so
libwrap.so.0
TCP_Wrappers的使用TCP Wrappers是通过/etc/hosts.allow和/etc/hosts.deny这两个配置文件来实现一个类似防火墙的机制。
配置文件
【TCP_Wrappers 基于TCP的安全控制】帮助参考:man 5 hosts_access,man 5 hosts_options
配置文件 | 规则定义 |
---|---|
/etc/hosts.allow | 允许访问规则 |
/etc/hosts.deny | 拒绝访问规则 |
语法
daemon_list : client_list [ : shell_command ]daemon_list
单个应用程序的二进制文件名,而不是服务名,如果有多个,用逗号或空格分隔。如sshd,vsftpd 或 sshd vsftpd
可以绑定服务地址,如,[email
protected]:ALL
ALL表示所有接受tcp_wrapper控制的服务程序
支持通配符client_list
客户端列表
? 基于单个IP地址:192.168.10.1
? 基于网段IP地址:192.168.1. 注意,192.168.1.0这个写法是错误的。
? 基于主机名:www.hunk.tech .hunk.tech较少用
? 基于网络/掩码:192.168.0.0/255.255.255.0
? 基于net/prefixlen: 192.168.1.0/24(仅CentOS7)
? 基于网络组(NIS 域):@mynetwork
? 内置ACL:
ALL 所有(进程或者主机)
LOCAL 名称中不带点的主机
KNOWN 可以解析的主机名
UNKNOWN 无法解析的主机名
PARANOID 正、反向查询不匹配或无法解析
支持通配符shell_command
执行指令
如:sshd:all:spawn echo "`date +%%F-%%T` from %a pid=%p to %s" >
>
/app/sshd.logEXCEPT是排除的意思,一行规则里可以有多个,后面的是对前面的结果集进行排除。
vsftpd:172.16. EXCEPT 172.16.100.0/24 EXCEPT 172.16.100.1
匹配整个172.16网段,但是把172.16.100的网段排除,在排除172.16.100网段中又把172.16.100.1的IP给排除。spawn 启动一个外部程序完成执行的操作,可以支持内置变量。内置变量请man ,找%的选项
%a (%A) 客户端IP
%c客户端信息,可以是IP或主机名(如果能解析)
%p服务器进程信息 (PID)
%s连接的服务端的信息
%%当规则中包含%时,使用双%转义twist 特殊扩展
以指定的命令执行,执行后立即结束该连接。需在spawn之后使用。
示例
使用的2台测试主机网络IP配置如下:
本文中简称 | 主机 | IP 1 | IP 2 |
---|---|---|---|
6A | 6-web-1.hunk.tech | 192.168.7.201 | 192.168.5.102 |
7B | 7-web-2.hunk.tech | 192.168.7.202 | 192.168.5.103 |
#ssh 192.168.7.202
Last login: Thu Feb8 11:04:58 2018 from 192.168.7.201
拒绝某个IP访问:
7B:
vim /etc/hosts.deny
sshd:192.168.7.2016A:
#ssh 192.168.7.202
ssh_exchange_identification: Connection closed by remote host配置规则保存后,立即生效7B:日志会明确记录
#tail -n1 /var/log/secure
Feb8 11:18:29 7-web-2 sshd[1811]: refused connect from 192.168.7.201 (192.168.7.201)
那如果一个client_list同时存在于2个文件呢
7B:
tail -n1 /etc/hosts.deny >
>
/etc/hosts.allow 6A:
#ssh 192.168.7.202
Last login: Thu Feb8 11:05:33 2018 from 192.168.7.201
看到了吧,是可以允许访问的,这就涉及到了执行处理机制了。
文章图片
因此,上面的结果就是允许访问了。因为在hosts.allow已经匹配了。
仅允许内网IP访问
假设192.168.7.202是7B的肉网卡地址,那么规则应该为:
#vim /etc/hosts.deny
[email
protected]:ALL#ssh -b 192.168.7.201 192.168.7.202>
-b 是使用源地址为X.X.X.X访问
bind: 192.168.7.201: Cannot assign requested address
ssh: connect to host 192.168.7.202 port 22: Cannot assign requested address
把每个ssh登录日志记录到文件
#vim /etc/hosts.allow
sshd:all:spawn echo "`date +%%F-%%T` from %a pid=%p to %s" >
>
/app/sshd.log#cat /app/sshd.log
2018-02-08-15:59:53 from 192.168.7.202 pid=2565 to [email
protected]#ps aux |grep 2565
root25650.02.3 1456965328 ?Ss15:590:00 sshd: [email
protected]/2
应用实例
编写脚本/root/bin/checkip.sh,每5分钟检查一次,如果发现通过ssh登录失败次数超过10次,自动将此远程IP放入Tcp_Wrapper的黑名单中予以禁止防问
#!/bin/bash
#定义 休眠时间
sleeptime=300#定义 通过ssh登录失败次数
num=10#定义 黑名单文件
file=/etc/hosts.deny#无限循环
while true;
do
#将失败登录的记录逐行读入变量
lastb | grep ssh|awk -F "[ ]+" ‘{print $3}‘|uniq -c | while read conn ip;
do
#判断失败次数
if[ "$conn" -ge "$num" ];
then
#判断记录的IP是否存在
egrep -q ^sshd.*$ip $file
#如果不存在记录,将追加记录至指定黑名单文件
[ $? -ne 0 ] &
&
echo "sshd:$ip" >
>
$file
fi
done
sleep $sleeptime
done
使用watch -n1 cat /etc/hosts.deny来观察动态文件
文章图片
总结:TCP_Wrappers
适用于需求简单的应用场景,并且受到监控软件的是否支持libwrap.so库局限。
推荐阅读
- MappedByteBuffer 存储long
- Android WebView 文明踩坑之路
- Android+ESP8266+路由器实现远程控制(基于花生壳域名方式访问)
- 2Django实战第2天(app设计)
- 360儿童卫士哪里买?怎样买?360儿童卫士购买办法
- 360儿童卫士手环购买图文详细教程 360儿童卫士手环怎样买流程
- 附360儿童卫士2申请官网 360儿童卫士2手环申请图文详细教程
- 英伟达mocha平板设置怎样?NVIDIA平板mocha设置
- 小米盒子增强版啥时候发售?小米盒子增强版发售时间