【安全与加密】TCP-Wrapper与PAM模块

最新推荐文章于 2025-11-16 10:27:46 发布
原创 最新推荐文章于 2025-11-16 10:27:46 发布 · 415 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

本文深入探讨了TCP-Wrapper和PAM模块在Linux系统中的安全控制。TCP-Wrapper通过hosts.allow和hosts.deny文件实现对TCP服务的访问控制,而PAM(Pluggable Authentication Modules)提供了灵活的验证机制,支持多种验证模块,可在不同应用程序间共享。通过配置PAM,可以实现更复杂的访问策略和验证流程。

TCP-Wrapper

TCP wrappers 通常被称为 wrappers,它是由 Wieste Venema 编写,已经出现几年了。其背后的思想很简单,其要旨是可以在 (UNIX/Linux) 主机上快速轻松地锁定流行的通过 TCP 访问的客户端。

Wrappers 允许系统管理员控制 wrappers 支持的基于 TCP 的服务或守护进程的访问。Tcpd 控制从 /etc/inetd.conf 中运行的 TCP 守护进程。不过,很多基于 TCP 的应用程序已加入 wrappers 支持(一般使用 libwrap 库),并且能感知 wrapper;不通过 /etc/inetd.conf 进行控制也没有关系。可以在 wrappers 下进行访问控制的通常有 telnet、ssh、sendmail、ftp 包、pop3 和 stunnel。

Wrappers 提供对基于 UDP 的连接的有限控制,不过我建议使用内置或第三方防火墙进行基于 UDP 的访问。

如果要看应用程序是否支持 wrapper,使用 strings 命令和 grep 获取 hosts_access 或 host:

# strings /usr/sbin/sshd|grep hosts_access``@(#)65 1.1 src/tcpwrapper/usr/sbin/tcpwrapper/hosts_access.c, tcpwrap, 53twrp2``10, 0617A_53twrp210 2/27/06 04:52:25

或者可以使用 ldd 命令:

ldd </``path``/application> | grep libwrap

wrappers 守护进程称为 tcpd。得到调用的是它,而非 /etc/inetd.conf 文件中的实际守护进程。Tcpd 读取两个文件,hosts.allow 和 hosts.deny,读取时基于这两个文件中的规则。当找到第一条规则匹配后,会拒绝或允许调用客户端的访问。所有操作都会被记录到消息文件或指定的日志文件中,这可以通过 syslog 来确定。通常情况下,hosts.allow 包含允许访问的规则,而 hosts.deny 包含拒绝访问的规则。

下面看一下典型的 telnet 客户端场景,它是这样工作的。客户端试图通过 telnet 会话连接到配置有 wrappers 的主机上。未知的客户端连接到 wrappers 守护进程,而不是实际的 telnentd 守护进程。根据 hosts.allow 或 hosts.deny 文件中的规则,会允许或拒绝该客户端的访问。如果拒绝访问,就会终止 telnet 连接。如果该客户端符合允许访问规则,那么 tcpd 就会交出对所调用的实际守护进程的控制权(本例中是 telnetd)。无论哪种情况,许可或拒绝访问都会通过 syslog 被记录下来。

构建 wrappers

配置 wrappers

下一个任务是在 /etc/inetd.conf 中调用 tcpd 而不是实际的守护进程或服务。首先,创建 /etc/inetd.conf 的备份。在本例中,我仅仅替换想要控制访问的守护进程。我会用 tcpd 替代 ftpd 和 telnetd 作为 /etc/inetd.conf 中的调用守护进程。随意保护此文件中的其他守护进程。/etc/inetd.conf 中我们感兴趣的行有:

ftp   stream tcp6   nowait root  /usr/sbin/ftpd       ftpd ``telnet stream tcp6  nowait root  /usr/sbin/telnetd    telnetd -a

我们只是替换想要保护的守护进程,本例中是用 tcpd 替换 ftpd 和 telnetd。编辑完成后,更改以下配置:

ftp   stream tcp6  nowait root  /usr/sbin//tcpd     ftpd``telnet stream tcp6  nowait root  /usr/sbin/tcpd    telnetd -a

下一步,刷新 inted 让更改生效。

# refresh -s inetd

根据以上所述,对于其他的 wrapper 支持的第三方应用程序,应查询 hosts.allow 和 hosts.deny 文件。履行文件中的规则从而拒绝或允许对自己的客户端的访问是应用程序的责任。我们现在开始配置主机文件。

wrappers 会默认记录到 /var/adm/messages,使用的是设备级的权限:

auth.info  /var/adm/messages

如果您在 makefile 中指定了 LOCAL 设备,那么您必须告诉 syslog 使用 syslog.conf 中哪个文件。以下示例中,所有在 wrappers 中使用 LOCAL 的消息都记录到 /var/adm/wrappers.log 文件中。

local0.info       /var/adm/wrappers.log

确保在重启 syslog 之前创建 wrappers.log 文件:

# refresh -s syslogd

规则

要关闭 wrappers,只需将 hosts.allow 和 hosts.deny 文件改成其他文件名即可。如果不存在允许或拒绝访问文件,wrappers 将不会使用访问控制,从而有效关闭 wrappers 。或者将主机文件清空或清零,这会有同样的效果。

Wrappers 首先在 hosts.allow 文件中查找规则匹配。如果找到匹配,那么 tcpd 会根据规则停下来,批准或拒绝访问。如果在 hosts.allow 文件中未找到匹配,那么 tcpd 会读取 hosts.deny 文件直到找到匹配。如果找到匹配,就拒绝访问,否则批准访问。

最低0.47元/天 解锁文章
TCP_Wrappers--过滤的介绍和使用
暖风吹起云之博客
05-13 1457
TCP_Wrappers--过滤的介绍和使用。
19.3、Unix Linux安全分析防护
山兔的博客
01-05 1274
系统安全监控或者叫监测,监测有利于及时的发现一些安全问题,WINDOWS里边同样有系统监测工具,比如说任务管理器,可以看CPU内存利用率,那些程序占用的各项资源比较高,这就需要引起我们的注意了,我们要考虑这个程序是不是木马或者病毒,它常见的工具有查看网络状态的,还有snort软件入侵检测工具,其他的禁止重要文件访问,我们重要的一些文件,你要修改它的权限,比如说像我们的这个叫网络配置的文件,它把权限修改为六零零。从目前来看,应该是比较安全的,因为是开源的,有很多早期的漏洞。
使用TCP Wrappers机制
weixin_34326558的博客
08-09 207
Linux系统中,各种网络服务程序基本上都会有一些针对客户端访问的控制策略,如smb、bind、sshd等,都可以提供针对客户端地址的访问控制。除此以外,服务器通常还会处于网络层防火墙的强力保护之下。本节将要学习的TCP Wrappers(TCP封套)机制,可以作为防火墙后的第二道防线,为各种网络服务提供额外的安全防护。 1.TCP Wrappers概述 ...
TCP_Wrappers的使用
枫叶斜阳的博客
06-09 744
TCP_Wrappers的使用判断服务程序是否能够由tcp_wrapper进行访问控制的方法配置文件帮助参考检查顺序基本语法TCP_Wrappers的使用EXCEPT用法示例 判断服务程序是否能够由tcp_wrapper进行访问控制的方法 ldd /PATH/TO/PROGRAM|grep libwrap.so strings PATH/TO/PROGRAM|grep libwrap.so 配置文件 /etc/hosts.allow, /etc/hosts.deny 帮助参考 man 5 hosts_a
Linux学习笔记:sudo、tcp_wrapperpam
weixin_34290631的博客
04-06 205
一、sudo授权工具授权工具;能够实现把有限的管理操作授权给某普通用户;且还能限定其仅能够在某些主机上执行此类的命令;操作过程还会被记录日志中;以便于日后审计。1、定义sudo授权;保存/etc/sudoersvisudo:编辑sudoers命令格式:who which_host=(whom) command添加删除用户[root@localhost ~]# visudo ...
防火墙(四):TCP Wrappers服务
qq_43072797的博客
06-17 770
TCP Wrappers服务1、TCP Wrappers服务是什么?2、TCP Wrappers服务涉及到的文件和策略3、练习4、小问题 1、TCP Wrappers服务是什么? TCP Wrappers又称为"服务的访问控制列表",是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址本机的目标服务程序作出允许或拒绝的操作。 换句话说,Linux系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP协议的流量过滤工具,而TCP Wrappers服务则是能允许或禁止Linux
38、CentOS系统网络安全日志管理全解析
最新发布
pea55的博客
11-16 11
本文全面解析了CentOS系统的网络安全日志管理策略,涵盖网络安全规则配置、TCP Wrappers服务访问控制、日志文件查看管理、rsyslogd服务优化、日志加密传输、logrotate归档清理以及安全事件应急响应流程。通过合理应用这些技术手段,可显著提升系统安全稳定性,有效防范网络攻击并及时发现潜在威胁。
Linux_加密安全详细介绍
Blog of Stevenux
11-10 1116
加密安全 一.安全机制 安全攻击的几种典型方式: STRIDE Spoofing 假冒 Tampering 篡改 Repudiation 否认 Information Disclosure 信息泄漏 Denial of Service 拒绝服务 Elevation of Priv...
Linux应用-加密安全
qq_41596208的博客
02-22 2330
Linux应用-加密安全加密安全一、grep1. grep概念 加密安全 一、grep 1. grep概念
sshd中tcp-wrappers的调用
一块积木
05-10 3921
今天配置sshd的时候,发现openssh-server不同过xinetd依然可以得到tcp-wrappers的知识,好奇之下就察看了 sshd和tcp-wrapper的代码,做成笔记写在下面。这些笔记对想使用tcp-wrappers的程序员来说有一定的参考价值。一些基础知识什么是sshssh secure shell,是用户在进行传输的时候使用的一种保密协议。本来这是为telne
TCP wrapper的访问控制
weixin_33795833的博客
03-21 371
TCP wrappers 通常被称为 wrappers,它是由 Wieste Venema 编写,已经出现几年了。其背后的思想很简单,其要旨是可以在您的 AIX (UNIX®/Linux®) 主机上快速轻松地锁定流行的通过 TCP 访问的客户端。 Wrappers 允许系统管理员控制 wrappers 支持的基于 TCP 的服务或守护进程的访问。Tcpd 控...
TCP Wrappers访问控制
weixin_51720711的博客
05-26 689
1.概述 TCP Wrappers的访问控制是基于TCP协议的应用服务,相对于防火墙的访问控制规则,TCPWrappers的配置更加简单。 TCP Wrappers只能控制TCP协议的应用服务,并不是所有基于TCP协议的应用服务都能接受TCP Wrappers的控制 2.访问策略 TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户机地址,进行访问控制,对应的两个策略文件/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略 2.1 策略的配
SSH远程连接及Tcp wrappers访问控制
2301_76838634的博客
04-21 385
Port 22 #监听端口号22ListenAddress 0.0.0.0 #监听地址为任意网段,也可以指定openSSH服务器的具体IPLoginGraceTime 2m #登录验证时间为 2 分钟PermitRootLogin no #禁止 root 用户登录MaxAuthTries 6 #一次登录最大尝试次数为6次PermitEmptyPasswords no #禁止空密码用户登录UseDNS no #禁止DNS反向解析。
tcp_wrappers应用详解
weixin_34392906的博客
04-23 241
简介TCP wrappers 通常被称为 wrappers,它是由 Wieste Venema 编写,已经出现几年了。其背后的思想很简单,其要旨是可以在您的 AIX (UNIX/Linux) 主机上快速轻松地锁定流行的通过 TCP 访问的客户端。Wrappers 允许系统管理员控制 wrappers 支持的基于 TCP 的服务或守护进程的访问。Tcpd 控制从...
SSH远程管理及TCP Wrappers 访问控制
g_l_d_y的博客
01-29 570
SSH:是一种安全通道协议,主要用来实现字符界面的远程登陆、远程复制等功能(先加密再压缩)协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,ssh为建立在应用层和传输层基础上的安全协议。
linux 加固检测脚本,linux系统加固脚本
weixin_39581896的博客
04-30 271
#########################################//以下是锁定系统不需要登录的账号cp /etc/passwd /etc/passwd.`date +%F`zhanghao="adm lp mail uucp operator games gopher ftp nobody nobody4 noaccess listen webservd rpm dbus ava...
Linux安全检查
wqfhenanxc的专栏
09-06 6018
检查设备密码复杂度策略 1. 检查密码复杂度策略中设置的大写字母个数      2. 检查密码复杂度策略中设置的数字个数 3. 检查密码复杂度策略中设置的特殊字符个数 4. 检查密码复杂度策略中设置的小写字母个数 Redhat系统:修改/etc/pam.d/system-auth文件,  Suse9:修改/etc/pam.d/passwd文件,  Suse10,Suse11:修改/etc...
aix配置日志服务器
gc20032002的博客
03-21 1558
aix aix系统 aix系统运维 aix系统配置日志服务器 aix配置日志服务器 日志服务器 配置日志服务器
了解和配置 PAM
zhulianhai0927的专栏
11-24 1198
 了解基本的插入式验证模块和配置方法并编写一个登录应用程序 插入式验证模块(Pluggable Authentication Module,PAM)API 将公开一组功能,应用程序程序员可以使用这些功能来实现安全性相关的功能,例如用户验证、数据加密、LDAP 等。在本文中,获得在 Linux 中使用 PAM 模块的基本指南,了解如何配置 PAM,并了解如何通过 10 个简单步骤设
7-Days-to-Die-API-wrapper使用指南 Alloc 修复
8. **端口映射**: 文件描述中提到“模块所需的端口动态映射页面相同”,这可能意味着使用该API包装器需要服务器的网络端口进行特定的配置或者映射,以便外部访问。 9. **异步编程**: 文件中提到的“async ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值