第9单元 TCP-Wrapper与防火墙.pptVIP

第九单元 TCP-Wrapper与防火墙 练习 1、不允许0的主机来访问本机的SSH服务器。 2、不允许主机访问本机的telnet服务器。 3、不允许网域的主机访问本机的SMB服务器。 4、只允许/24网段的主机访问本机的FTP服务器。 5、不允许本机接收其它主机发来的邮件。 6、不允许本机发送邮件给其它主机。 7、不允许lonny用户通过imaps下载本机上的邮件。 结束 The End Thanks 11 范例： service ftp { only_from = no_access = station1 access_times = 5:00-19:00 per_source = 2 …… } 学习目标 Tcp-wrappers的配置 基于Xinetd服务的访问控制 RHEL5下软件防火墙（iptables）的配置 1、Tcp-wrappers的配置 tcp_wrapper原理 tcp_wrapper配置文件 tcp_wrapper访问控制判断顺序 查看一个服务是否支持tcp_wrapper 后台进程列表描述 客户端列表描述 tcp_wrapper其它配置选项 1.1、tcp_wrapper原理 Telnet、SSH、FTP、POP和SMTP等很多网络服务都会用到TCP Wrapper,它被设计为一个介于外来服务请求和系统服务回应的中间处理软件。 基本处理过程 当系统接收到一个外来服务请求的时候，先由TCP Wrapper处理这个请求，TCP Wrapper根据这个请求所请求的服务和针对这个服务所定制的存取控制规则来判断对方是否有使用这个服务的权限，如果有，TCP Wrapper将该请求按照配置文件定义的规则转交给相应的守护进程去处理同时记录这个请求动作，然后自己就等待下一个请求的处理。 1.2、tcp_wrapper配置文件 tcp_wrapper使用两个非常简单的配置文件来限制客户机的访问。 配置充许访问的客户端 /etc/hosts.allow 配置不充许访问的客户端 /etc/hosts.deny 此文件修改并保存后立即生效。 配置文件的语法结构 基本语法： 后台进程列表： 客户端列表 sshd: 0 #/etc/hosts.deny 1.3、tcp_wrapper访问控制判断顺序 如果同时在“hosts.allow”与“hosts.deny”配置了某个相反的限制，那么最终以哪一个文件为准呢？ tcp_wrapper中有访问控制判断顺序明确规定： 访问是否被明确许可，如果是则直接通过。 否则才会判断访问是否被明确禁止，如果是则禁止通过。 如果都没有，默认许可。 1.4、查看一个服务是否支持封装 在Linux系统中有许多服务，包括基于System V服务、基于Xinetd服务。其中 基于Xinetd的服务都是支持tcp_wrapper，因为xinetd服务本身就支持tcp_wrapper。而只有一部分的System V服务支持tcp_wrapper，如：sshd、vsftpd等。 用户可以通过下面的两种方式得知某服务是否支持tcp_wrapper。 strings 可执行工具路径｜ grep [tcp_wrappers|hosts_access] ldd 可执行工具路径｜grep libwrap 1.5、后台进程列表描述 后台进程列表应该是 服务的可执行工具名（如： in.telnetd NO telnetd） 允许指定多项服务 后台进程应该是服务的可执行工具名 例如：telnet-server服务的可执行工具是in.telnetd，因此在/etc/hosts.allow及/etc/hosts.deny中应该写in.telnetd，而不是telnet或telnetd。 1.6、客户端列表描述 客户端描述可以包含： IP地址（54） 域名或主机名（., ） 子网掩码（/或192.168.0.） 1.7、tcp_wrapper其它配置选项 客户端描述通配符 ALL：所有 LOCAL：所有主机名中不包含.的主机 UNKNOWN：无法被解析的主机 KNOWN：可以双向解析的主机 PARANOID：正向解析与反向解析不匹配的主机 EXCEPT（除了XXX） 可用于服务列表与客户端列表 可以层层套用 范例： 除了/24网段的主机 可以访问本机的服务外，其它主机都不能访问/etc/hosts.deny ALL：ALL EXCEPT / 2、基于xinetd的服务 xinetd服务支持两种访问限制 基于主机 基于时间 在xinetd与tcp_wrapper都限制的情况下： 先检查tcp_wrapper 如果tcp_wrapper允许，再检查xinet