大家好,欢迎来到IT知识分享网。
一、TCP_Wrappers
1. 简介
全称是Transmission Control Protocol (TCP) Wrappers ,它是一个基于主机的网络访问控制列表系统。最初代码由Wietse Venema在1990年编写(比Linux的出现要早一点),2001年以类BSD的许可发布。TCP Wrappers工作在TCP/IP模型的第4层(传输层),对有状态连接的特定服务进行安全检测并实现访问控制。
核心配置文件是:
- /etc/hosts.allow
- /etc/hosts.deny
TCP Wrappers有一个TCP守护进程:tcpd。可以在 wrappers 下进行访问控制的通常有 :
- telnet
- ssh
- sendmail
- ftp
- pop3
- vsftpd
2. 查看系统是否支持
TCP Wrappers核心是libwrap库,可以通过命令查看系统是否支持:
sudo ldd /usr/sbin/sshd | grep libwrap
这里sshd使用了libwrap。
3. 工作流程:
- 远程IP请求连接
- TCP Wrapper先看/etc/hosts.allow中是否允许,有允许就放行;
- 没有允许,看/etc/hosts.deny是否禁止,如果存在就禁止连接;
- 两个文件都没有默认放行。
另外tcp_wrappers可以设置调用外部程序,如记录日志等。
4. tcp_wrappers配置文件语法
服务列表@host:主机列表:选项服务列表@host:主机列表:选项服务列表@host:主机列表:选项
(1) 服务列表
要支持的服务名,如:telnet,vsftpd等@host 是指定本机网卡,如果不写就代表全部。
(2) 主机列表
受控制的机器,可以是机器名、IP,支持通配符* ? ALL EXECPT
- 基于IP地址: 192.168.10.1 192.168.1.
- 基于主机名: www.magedu.com .magedu.com 较少用
- 基于网络/掩码: 192.168.0.0/255.255.255.0
- 基于net/prefixlen: 192.168.1.0/24(CentOS7)
- 基于网络组(NIS 域): @mynetwork
内置ACL: ALL, LOCAL, KNOWN, UNKNOWN,PARANOID
- ALL:所有主机
- LOCAL:本地主机
- KNOWN:主机名可解析成ip的
- UNKNOWN:主机名无法解析成IP的
- PARANOID:正向解析与反向解析不对应的主机
(3) 选项,要控制的动作
- ALLOW 接受
- DENY 禁止
5. 示例
(1) telnet禁止192.168.0.0/16,但允许192.168.0.2,其它段不限制
vim /etc/hosts.allow
in.telnetd: 192.168.0.2
vim /etc/hosts.deny
in.telnetd: 192.168.
(2) 禁止192.168.1.4通过ssh连接
vim /etc/hosts.deny
# 自己的IP是192.168.1.2
sshd@192.168.1.2:192.168.1.4
(3) 禁止192.168.1.*网段ssh连接
vim /etc/hosts.deny
# 自己ip192.168.1.2
sshd@192.168.1.2:192.168.1.
(4) 允许本地网段,除了192.168.1.4连ssh
vim /etc/hosts.allow
# 可以用EXCEPT排除某个IP
sshd@192.168.1.2:192.168.1. EXCEPT 192.168.1.4
vim /etc/deny
sshd: ALL
(5) 在allow里使用deny
vim /etc/hosts.allow
sshd:192.168.1.4:deny
# 也可以在deny中使用allow
vim /etc/hosts.deny
sshd:192.168.1.4:allow
6. 使用tcpmatch查看连接情况
tcpdmatch [-d] daemon[@host] client
-d 测试当前目录下的 hosts.allow和hosts.deny
二、DenyHosts
由Phil Schwartz编写,使用Python开发。它是通过监控系统安全日志来分析是否有对OpenSSH的暴力激活成功教程行为。如果发现有暴力激活成功教程,就分析IP并加到etc/hosts.deny来禁止连接。
1. 安装
官网地址: http://denyhosts.sourceforge.net/
- yum安装
yum install -y denyhosts
- 下载安装:
wget http://jaist.dl.sourceforge.net/project/denyhosts/denyhosts/2.6/DenyHosts-2.6.tar.gz
tar zxvf DenyHosts-2.6.tar.gz -C /usr/local/bin
cd DenyHosts-2.6
python setup.py install
cd /usr/share/denyhosts/
cp denyhosts.cfg-dist denyhosts.cfg
cp daemon-control-dist daemon-control
chown root daemon-control
chmod 700 daemon-control
设置开机启动:
cd /etc/rc.d/init.d/
ln -s /usr/share/denyhosts/daemon-control denyhosts
chkconfig --add denyhosts
chkconfig daemon-control on
chkconfig --list denyhosts
# 启动
/etc/init.d/daemon-control start
或
vim /etc/rc.local
# 添加
/usr/share/denyhosts/daemon-control start
2. 配置文件设置
vim denyhosts.cfg
SECURE_LOG = /var/log/secure #ssh日志文件
# format is: i[dhwmy]
# Where i is an integer (eg. 7)
# m = minutes
# h = hours
# d = days
# w = weeks
# y = years
#
# never purge:
PURGE_DENY = 50m #过多久后清除已阻止IP
HOSTS_DENY = /etc/hosts.deny #将阻止IP写入到hosts.deny
BLOCK_SERVICE = sshd #阻止服务名
PURGE_THRESHOLD = #定义了某一IP最多被解封多少次。某IP暴力激活成功教程SSH密码被阻止/解封达到了PURGE_THRESHOLD次,则会被永久禁止;
DENY_THRESHOLD_INVALID = 1 #允许无效用户登录失败的次数
DENY_THRESHOLD_VALID = 10 #允许普通用户登录失败的次数
DENY_THRESHOLD_ROOT = 5 #允许root登录失败的次数
WORK_DIR = /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中
DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹
LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务。
HOSTNAME_LOOKUP=NO #是否做域名反解
ADMIN_EMAIL = #设置管理员邮件地址
DAEMON_LOG = /var/log/denyhosts #DenyHosts日志位置
如果有ssh的攻击记录,可以在文件 /etc/hosts.deny查看。
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/68101.html