TCPWRAPPER

作者佚名技术来源 Linux系统浏览发布时间 2012-04-07

一、TCPWRAPPER(立即生效)在传输层,对于进出本主机访问某特定服务的连接,基于规则进行检查的一个访问控制工具,以库文件形式实现；某进程是否接受libwrap.so的控制,取决于发起此进程的程序在编译时是否针对libwrap.so进行编译的（某进程在编译时连接到tcpwrapper）.***************************1、一个二进制程序依赖哪些库如ldd `which sshd`

2、检查二进制程序是否接受tcpwrapper控制 1)ldd `which sshd` | grep libwrap 动态链接方式连接到libwrap
2)strings `which portmap` | grep hosts (编译时的属性信息.出现/etc/hosts.allow,/etc/hosts.deny即为,以静态链接方式连接到libwrap)

注：portmap为二进制程序提供rpc进程

3、语法规则：daemon_list: client_list [:options]
/etc/hosts.allow
如：sshd: 192.168.0.0/24 或 sshd: 192.168.0.
/etc/hosts.deny
如：sshd: ALL——————————————————自上而下匹配,若无匹配,默认规则放行

4、daemon_list：
二进制程序可执行文件名字,非程序名字,多个服务用", "隔开.ALL通配所有服务如：in.telnetd: 而非telnet:

5、client_list：
1)IP（192.168.1.2,192.168.1.） 2)network/netmask（不能用/24,只接受长格式/255.255.255.0） 3)hostname：www.a.com,.a.com （用的少） 4)netgroup:@notexample （NIS域）

6、【:options】 ---在allow中deny,在deny中allow如/etc/hosts.allowin.telnetd: 192.168.1. in.telnetd: ALL: DENY

7、宏定义：LOCAL,KNOWN,UNKOWN,PARANOIDALLEXCEPT(可被嵌套) 如：in.telnetd: ALL EXCEPT 192.168.0. EXCEPT 192.168.0.1

8、man 5 hosts_access
1)spawn shell命令--子命令中执行,不影响原命令如,sshd: 192.168.0.: spawn /bin/echo `date` %c %d >> /var/log/tcpwrap.log2)twist shell命令--影响原命令,改变动作如,sshd: 192.168.0.: twist /bin/echo "421 Connection prohibited."

9、日志记录：vim /etc/syslog.conf 可自己定义
severity定义级别（默认级别authpriv.info）severity [facility.]priority 如：sshd: ALL: severity local7.info

10、banners信息提示in.telnetd: ALL: banners /some/directoryvim /some/directory/in.telnetd
如：vim /var/tcpwrapper/in.telnetdvim /etc/hosts.allowin.telnetd: ALL: banners /var/tcpwrapper

二、实验1、1)xinetd（超级守护进程）特点：独立进程,启动后永驻内存直到进程结束,响应快,耗资源.管理非独立守护进程.接受tcpwrapper控制.service xinetd startchkconfig xinetd on2)非独立守护进程特点：响应慢,节省资源,由xinetd统一管理
2、Telnet,tcp,23,plaintext明文传输
软件包telnet-server,二进制程序in.telnetd

3、yum install xinetd /etc/xinetd.d 查看被超级守护进程监听的所有非独立守护进程service xinetd start那些非独立守护进程默认关闭,需要开启如chkconfig telnet onchkconfig --list
注：vim /etc/hosts192.168.0.45 station45.example.com station45不能使用管理员直接登录

本文出自 “NEGIUP” 博客,请务必保留此出处http://negiup.blog.51cto.com/2348622/498643

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

分享到：更多

你可能对下面的文章感兴趣

上一篇: 我的问题下一篇: 在oracle 10g 中如何以sys的身份登录isqlplus页面

关于TCPWRAPPER的所有评论

随机推荐