1.1 wrap簡介 wrap工作在內核空間和應用程式中間的庫層次中。在內核接受到數據包准備傳送到用戶空間時都會經過庫層次,對於部分(只是部分)應用程式會在經過庫層次時會被wrap庫文件阻擋下來檢查一番,如果允許通過則交給應用程式。 1.2 查看是否支持wrapper wrap只會檢查tcp數據包, ...
1.1 wrap簡介
wrap工作在內核空間和應用程式中間的庫層次中。在內核接受到數據包准備傳送到用戶空間時都會經過庫層次,對於部分(只是部分)應用程式會在經過庫層次時會被wrap庫文件阻擋下來檢查一番,如果允許通過則交給應用程式。
1.2 查看是否支持wrapper
wrap只會檢查tcp數據包,所以稱為tcpwrapper。但還不是檢查所有類型的tcp數據包,例如httpd就不支持。是否支持,可以通過查看應用程式是否依賴於libwrap.so庫文件。(路徑/lib64/libwrap.so)
[root@mail ~]# ldd $(which sshd) | grep wrap libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f110efb7000)
[root@mail ~]# ldd $(which vsftpd) | grep wrap libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f1e73185000)
[root@mail ~]# ldd $(which httpd) | grep wrap
說明sshd和vsftpd都支持wrap機制,而apache的httpd不支持。
當然上面grep不出結果只能說明不支持這樣的動態鏈接的方式,有些應用程式可能靜態編譯進程式中了,如舊版本的rpc應用程式portmap。
是否將wrap功能靜態編譯到應用程式中,可以通過以下方式查看。
strings $(which portmap) | grep hosts
如果篩選出的結果中有hosts_access或者/etc/hosts.allow和/etc/hosts.deny這兩個文件,則說明是支持的。後兩個文件正是wrap訪問控制的文件。
要註意的是,如果超級守護進程xinetd被wrap控制了,則其下的瞬時守護進程都受wrap控制。
1.3 配置文件格式
hosts.allow和hosts.deny兩個文件的語法格式是一樣的,如下:
daemon_list: client_list [:options]
【"daemon_list:"的表示方法】:程式名必須是which查出來同名的名稱,例如此處的in.telnetd
sshd: sshd,vsftpd,in.telnetd: ALL daemon@host:
最後一項daemon@host指定連接IP地址,針對多個IP的情況。如本機有192.168.100.8和172.16.100.1兩個地址,但是只想控制從其中一個ip連接的vsftpd服務,可以寫"[email protected]:"。
【"client_list"的表示方法】
單IP:192.168.100.8 網段:兩種寫法:"172.16."和10.0.0.0/255.0.0.0 主機名或域匹配:fqdn或".a.com" 巨集:ALL、KNOWN、UNKNOWN、PARANOID、EXCEPT
ALL表示所有主機;LOCAL表示和主機在同一網段的主機;(UN)KNOWN表示DNS是否可以解析成功的;PARANOID表示正解反解不匹配的;EXCEPT表示“除了”。
它們的語法可以man hosts_access。
tcpwrapper的檢查順序:hosts.allow --> hosts.deny --> 允許(預設規則)
例如sshd僅允許172.16網段主機訪問。
hosts.allow: sshd: 172.16. hosts.deny: sshd: ALL
telnet服務不允許172.16網段訪問但允許172.16.100.200訪問。有幾種表達方式:
表達方式一:
hosts.allow: in.telnetd: 172.16.100.200 hosts.deny: in.telnetd: 172.16.
表達方式二:
hosts.deny: in.telnetd: 172.16. EXCEPT 172.16.100.200
此法不能寫入hosts.allow:"in.telnetd: 172.16.100.200 EXCEPT 172.16."
表達方式三:
hosts.allow: in.telnetd: ALL EXCEPT 172.16. EXCEPT 172.16.100.200 hosts.deny: in.telnetd: ALL
EXCEPT的最形象描述是“在其前面的範圍內挖一個洞,在洞範圍內的都不匹配”。所以hosts.allow中,ALL內有一個172.16的洞是不被allow的,在172.16中又有小洞172.16.100.200是被排除在172.16洞外的,所以172.16.100.200是被allow的。
註意:被EXCEPT匹配到的表示不經過此條規則的檢查,而不是反意。例如在allows中指明一個EXCEPT,當有except中的主機被匹配到,表示的不是該主機被拒絕。而是跳過allow檢測進入deny的檢測。
【:options的表達方式】
:ALLOW
:DENY
:spawn
ALLOW和DENY可以分別寫入deny文件和allow文件,表示在allow文件中拒絕在deny文件中接受。如allow文件中:
in.telnetd: 172.16. :DENY
spawn表示啟動某程式的意思(/etc/inittab中的respawn表示重啟指定程式)。例如啟動一個echo程式。
in.telnetd: 172.16 :spawn echo "we are good $(date) >> /var/log/telnetd.log"
回到系列文章大綱:http://www.cnblogs.com/f-ck-need-u/p/7048359.html
