一 查看系统是否安装了tcp_wrappers
如果有上面类似输出,表示已经安装了tcp_wrappers模块。如果没有显示,可能没有安装,就需要通过yum或者rpm工具进行安装。
二 tcp_wrappers防火墙的局限性
系统中的某个服务是否使用了tcp_wrappers防火墙,取决于服务是否应用了libwrapped库文件,如果应用了就可以使用tcp_wrappers防火墙,系统中默认一些服务(如sshd、portmap、sendmail、xinetd、vsftpd、tcpd等)都可以使用tcp_wrappers防火墙。
三 tcp_wrappers设定规则
tcp_wrappers的防火墙实现是通过/etc/hosts.allow和/etc/hosts.deny两个文件来完成的,首先看一下设定的格式。
service:host(s) [:action]
- service:代表服务名,如sshd、vsftpd、sendmail等。
- host(s):代表主机名或者IP地址,可以有多个,如192.168.60.78、www.cakin24.net
- action:代表动作,符合条件后所采取的动作。
几个关键字如下所示。
- ALL:代表所有的服务或者所有的IP。
- ALL EXCEPT:所有服务或者所有IP(除去指定的)。
一般规则:
Linux会首先判断/etc/hosts.allow这个文件。如果远程登录的计算机满足文件/etc/hosts.allow设定规则,就不会使用/etc/hosts.deny文件了。相反,如果不满足/etc/hosts.allow设定规则,就会使用/etc/hosts.deny文件了。如果满足hosts.deny规则,此时主机就被限制为不可访问Linux服务器。如果也不满足hosts.deny的设定,此主机默认是可以访问Linux服务器的。
例如
ALL:ALL EXCEPT 192.168.0.104表示除了192.168.0.104这台机器之外,任何机器执行所有服务时或被允许或被拒绝。
四 应用
局域网上一台Linux服务器,实现的目标是:仅仅允许192.168.0.103通过SSH服务远程登录系统,设置如下:
在/etc/hosts.allow文件中加入下面规则:
sshd:192.168.0.103
在/etc/hosts.deny文件中加入下面规则:
sshd:all
相关推荐
Tcp_Wrappers是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables,linux默认都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,iptables防火墙...
这个源代码库通常包含在`tcp_wrappers_7.6`这样的版本包中,允许管理员通过配置文件(如`/etc/hosts.allow`和`/etc/hosts.deny`)来定义哪些远程主机可以连接到特定的服务。以下是关于TCP_Wrapper源代码的一些关键...
tcp_wrappers_7.6 Unix下的防火墙源码
在日常运维中,除了配置tcp-wrappers,还应考虑其他安全措施,比如使用防火墙(如iptables或firewalld)限制NFS端口的访问,使用强密码策略,以及定期审计和更新系统。了解并实施这些最佳实践将有助于保护服务器免受...
Tcp_wrappers是Linux系统中的一种基于主机的防火墙工具,它通过两个配置文件——/etc/hosts.allow和/etc/hosts.deny来控制哪些IP或主机可以访问特定的服务。在Vsftpd的场景下,我们可以利用Tcp_wrappers来允许或拒绝...
我们知道网上的访问通过tcp/ip封包来进入主机系统的。在linux中它一般要同过ip过滤机制来实现第一层防护,如果通过了这层防护还的通过下一关的检查 那就是TCP_Wrappers 的功能。
`tcp_wrappers=YES`启用TCP_Wrappers进行访问控制,`pam_service_name=vsftpd`指定PAM服务名。 为了配置vsftpd,你需要编辑`/etc/vsftpd.conf`配置文件,并根据上述参数调整设置。在调整后,通常需要重启vsftpd服务...
- 编辑`/etc/vsftpd-ano.conf`配置文件,开启监听、设置监听端口、启用tcp_wrappers,并指定匿名用户的根目录。 2. 本地用户形式 - 本地用户形式允许使用系统账户进行认证,访问权限基于Linux的用户和组权限系统...
在安装 Windows 操作系统后,需要安装 Windows 组件:网络和监视管理工具,然后在防火墙设立中把端口(161:udp、161:tcp、162:udp、162:tcp)加入到例外,特殊地,如果是 win 系统,还需要设立 snmp 服务属性。...
- `tcp_wrappers=YES`:启用TCP包装器,通过`/etc/hosts.allow`和`/etc/hosts.deny`控制访问。 - `listen=YES`:以独立守护进程(standalone)模式运行vsftpd,而非超级守护进程(xinetd)。 - `listen_port=21`...
9. **TCP_WRAPPERS**:TCP_WRAPPERS是一种安全机制,常与xinetd结合使用,但现在更倾向于使用standalone模式的防火墙服务。 10. **DNS查询**:`nslookup`和`dig`是用于查询DNS记录的命令,前者交互式,后者更强大且...
### CentOS 7.4 中使用... - `tcp_wrappers=YES` 启用 tcp_wrappers 功能。 通过以上步骤,可以在 CentOS 7.4 中成功搭建并配置一个安全稳定的 FTP 服务器。这不仅解决了远程文件传输的问题,还提高了服务器的安全性。
Linux中FTP服务配置详解 FTP(File Transfer Protocol,...* tcp_wrappers:设置为YES时,FTP服务器将使用tcp_wrappers作为主机访问控制方式。 * chroot_local_user:设置为YES时,vsftpd将限制本地用户的访问权限。
- `tcp_wrappers`:启用TCP Wrappers防火墙保护。 - `chroot_list_enable`:启用用户主目录限制列表。 - `chroot_list_file`:主目录限制列表文件路径。 - `chroot_local_user`:将本地用户限制在其主目录内。 - `...
将VSF_BUILD_TCPWRAPPERS、VSF_BUILD_PAM和VSF_BUILD_SSL设置为`define`。然后执行`make`和`make install`命令来编译和安装vsftpd。 ```bash # 修改 builddefs.h 文件 # ... # 改为 #define VSF_BUILD_TCPWRAPPERS ...
编辑 `builddefs.h` 文件,开启对tcp_wrappers、PAM认证和SSL的支持: ```bash # vi builddefs.h ``` 然后编译安装: ```bash # make # ls -l vsftpd ``` 创建必要的用户和目录,并配置权限: ```bash # useradd ...
根据需求修改`builddefs.h`文件以支持tcp_wrappers、PAM认证和SSL。接着编译源代码: ```bash # make ``` 创建必要的用户和目录,例如`nobody`和`ftp`,以及匿名用户根目录`/var/ftp`。确保这些目录的权限设置正确...
tcp_wrappers=YES use_local ``` 这些配置将允许已存在于系统的用户通过他们的用户名和密码登录FTP服务器,同时可以进行读写操作。 最后,虚拟用户登录是VSFTP的一个高级特性,它允许创建独立于系统用户的账号,...
- `tcp_wrappers=YES`:启用TCP Wrappers(防火墙)。 - `chroot_list_enable`:启用主目录限制。 - `chroot_list_file=/etc/vsftpd/chroot_list`:主目录限制列表文件。 - `chroot_local_user=YES`:本地用户被限制...