tcpwrapper

最新推荐文章于 2022-10-24 19:26:50 发布
最新推荐文章于 2022-10-24 19:26:50 发布
阅读量2.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: linux学习 文章标签: tcp command server user access login
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/z237654601/article/details/6530524
本文介绍了TCPWrapper的功能及其在安全控制方面的作用。TCPWrapper通过监听并验证TCP连接请求来增强服务器的安全性,支持动态和静态链接程序的验证。文章还详细解释了配置文件的使用方法以及如何实现精细的访问控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

tcpwrapper

 

这片文章介绍以下tcpwrappertcp的包装器)。

tcpwrapper的作用是对基于tcp的程序进行安全控制。它通过使用/usr/sbin/tcpd这样一个进程来代为监听任何一个使用了tcpwrapper的发起连接的tcp请求。假设sshd接受tcpwrapper的验证,当有一个连接发起ssh连接时先有tcpwrapper进行身份验证,如果通过了验证,则将连接转向sshd,否则直接拒绝连接。

tcpwrapper只能为tcp的连接进行验证。它实际是通过库文件libwrap.so来实现控制的,并不是所有的tcp连接都接受其控制。查看的方法是:1.如果是动态链接的话用 ldd `which COMMAND` | grep libwrap.so 如果结果有着库文件的话说明其接受tcpwrapper的控制;2.如果是静态连接的方式使用命令 strings `which COMMAND` grep hosts 如果结果有hosts.allowhosts.deny这两个文件说明是接受其控制。当对非独立守护进程检查的时候需对xinetd进行检查。

tcpwrapper工作在传输层。其配置文件为/etc/hosts.allow/etc/hosts.deny当服务发起的时候首先/etc/hosts.allowà/etc/hosts.denyà默认是allow。所以如果只想接受某个固定的访问,首先在allow中添加用户,在deny中拒绝所有。

配置文件的语法格式 deamon clients[options]

如果有两块网卡可以在deamon@IP 或是hostname,这样可以实现只对一块儿网卡的控制。切记deamon必须是可执行程序的二进制的名字,而不是进程名。如sshd是有OpenSSH提供的但定义的时候必须写sshd,再如telnet服务在写的时候必须写in.telnetd等。这可以在其启动脚本中找到。因为它只是对二进制本身做控制

egsshd@192.168.0.139192.168.0.172

改变后不需要重启任何服务

在配置文件中有以下几个关于clients本地宏定义:

ALL 表示对所有主机

LOCAL 主机名中不包含域名的主机

UNKNOWN 主机名称无法解析的主机

KNOWN 主机名可以解析的主机

PARANOID 正向解析和反向解析不匹配的结果

对于deamon的宏定义只有ALL一个表示多有接受控制的

clients的表示有

1.          IP 192.168.0.172

2.          NAME www.zlyblog.com

3.          netmask 192.168.0.0/255.255.255.0

4.          NETGROUP @notexample(通过nis域控制)

其主机名后可以加EXCEPT的选项:EXCEPT egsshd 10.0.0.0/255.255.0.0 EXCEPT 10.0.0.100表示允许10.0.0网段中除了10.0.0.100的主机的访问

options可以有如下选项:

allow

deny eg allowin.telnetd 192.168.0.deny表示拒绝这个网段的主机

spawn 表示当tcpwrapper检查到一个访问的时候,执行的一个程序。eg:记录日志      egin.telnetd:192.168.0. :spawn echo “Login attempt from %c to %s “ >> /var/log/tcpwrapper.log        表示当有一个访问的时候记录一下日志

 

其中如上的%c %s我们可以通过man 5 hosts_access 来查看

%a (%A)        The client (server) host address.

 

%c     Client information: user@host, user@address,  a  host  name,  or  just an address, depending on how much information is available.

 

%d     The daemon process name (argv[0] value).

%h (%H)        The client (server) host name or address, if the  host  name  is unavailable.

%n (%N)        The client (server) host name (or "unknown" or "paranoid").

 

%p     The daemon process id.

 

%s     Server  information: daemon@host, daemon@address, or just a dae- mon name, depending on how much information is available.

 

%u     The client user name (or "unknown").

 

%%     Expands to a single '%? character.

 

可以参照上面的内容自己做一下练习

Tcp_Wrapper_简单的基于主机的访问控制工具
侯海云
09-15 3343
目录 目录 简介 特性 Tcp_Wrapper的实现 基本语法 范例 范例1 范例2 范例3 范例4 范例5 范例6简介tcp wrapper是Wietse Venema开发的一个开源软件。它是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables。Linux默认安装了tcp_wrapper。作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实
tcpwrapper---访问控制工具
user_cui的博客
03-21 490
tcpwrapper—访问控制工具 1.tcp wrapper是一种访问控制工具是操作系统自带的,类似于防火墙(iptables)可以作访问控制。 2.针对系统进程来做限制的 ========================================================================================= #TCPwrapper配置 TCPwrapp...
tcp_wrapper
05-03
tcp_wrapper tcp_wrapper
ssh远程登录协议和tcp wappers
weixin_73462212的博客
10-22 1042
ssh远程登录协议和tcp wappers
批量下载tcp-wrappers-7.6-77.el7.x86-64等.zip
01-13
nfs
渗透测试工具--Nmap的使用
dreamer_96的博客
03-24 7032
什么是Nmap nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统。 Nmap的作用 Creating a network inventory (搜集网络资产) Checking for live hosts(检查活动主机) Determining operating systems(确定操作系统的类型) Determining running services and their version(运行的服务及其版本) Iden
端口扫描工具终极用法
Zt_Zk的博客
09-11 2758
为什么要做c段探测,运营商分配给IDC机房地址时大部分都是连续IP地址,租给客户(渗透目标)时很大概率会分配同C段内IP地址(除非目标就一个IP地址),使用工具扫描可以探测出同段服务。
Metasploit渗透测试框架
乌云毕力格博客
07-16 2312
第一章:走近Metasploit渗透测试框架 cisp-pte视频教程:https://download.youkuaiyun.com/download/asd2588258/20323819 渗透测试是一种有目的性的、针对目标机构计算机系统安全的检测评估方法。渗透测试可以 发现系统的漏洞和安全机制方面的隐患,并以此进行渗透攻击来取得目标计算机的控制权。通过 渗透测试可以知道目标机构的计算机系统是否易于受到攻击,现有的安全部署是否能妥善地抵御攻击,以及哪部分安全机制可能被绕过,等等。渗透测试的主要目的是改善目标机构的安
tcp_wrapper知识整理
weixin_33991727的博客
09-29 374
tcp_wrapper知识整理一、tcp wrapper简介tcp wrapper是一种访问控制工具,类似于iptables可以作访问控制。tcp wrapper只能对基于tcp协议的服务作访问控制,但并不是所有基于tcp协议的服务都能实现用tcp wraper作访问控制。tcp wrapper实现访问控制主要依靠两个文件,一个是/etc.hosts.allow文件,另...
TCP Wrapper
weixin_56669056的博客
05-26 228
TCP Wrappers概述 保护原理 保护机制的实现方式 方式1:通过tcpd程序对其他服务程序进行包装 方式2:由其他服务程序调用libwrap.so.*链接库 访问控制策略的配置文件 [root@localhost .ssh]# which ssh /usr/bin/ssh [root@localhost .ssh]# which sshd /usr/sbin/sshd [root@localhost .ssh]# ldd /usr/sbin/sshd | grep libwrap libwrap
关于TCP Wrapper
JXH_123的专栏
05-14 2158
像Telnet、SSH、FTP、POP和SMTP等很多服务都会用到TCP Wrapper,它被设计为一个介于外来服务请求和服务回应的中间处理。 tcp_wrapper (tcpd) 由 xinetd 启动,而非作为一个独立的服务启动。 它的基本过程是这样的:当接收到一个外来服务请求的时候,先由TCP Wrapper处理这个请求,TCP Wrapper根据这个请求所请求的服务和针对这个服务所
tcp_wrapper:tcp包装器
钟明家
03-29 549
tcp_wrapper:tcp包装器 对基于tcp协议开发并提供服务的应用程序,提供的一层访问控制工具; 基于库调用实现其功能: libwrap 判断服务是否能够由tcp_wrapper进行访问控制: 动态编译:ldd命令; 静态编译:strings命令查看应用程序文件,其结果中如果出现 hosts.allow hosts.deny 在配置文件在为各服务分别...
tcp wrapper
weixin_34357436的博客
03-20 171
tcp wrapper概述: tcp wrapper同iptables一样都是网络资源访问器,工作在传输层只对工作在TCP协议的部分服务做访问控制;tcp wrapper是一个库文件即libwrap.so,因此只有服务在编译时动态加载libwrap.so的库或静态编译时就将libwrap库作为应用程序的一部分了的才能支持tcp wrapper中所定义的访问规则的控制 ...
TCP_WRAPPER
weixin_34272308的博客
04-02 174
tcp_wrapper 是一种主机访问控制的工具 配置简单 易用 收敛速度极快。你懂的!tcp_wrapper :配置简易, 配置文件:/etc/hosts.allow denytcp_wrapper:能够实现授权访问,非独立守护进程,工作在linux内核中的tcp协议栈上1、并非所有的服务均能由tcp_wrapper2、判断:某服务程序是否能够由tcp_wrapper动态...
TCP_wrapper
u012461550的专栏
01-11 1083
tcp_wrapper(一个网络访问控制模块)是在数据包到主机后的第二层处理机制,在iptables之后,但配置比iptables简单,功能也更加强大。但是效率不高,所以一些对效率高的程序不建议使用语法:daemon_list : client_list :command例如:当192.168.1.100 ssh连接我时就在log文件中写入一条hellosshd : 192.168.1.100 :
TCP Wrapper简易防火墙
阿瑾的博客
10-24 802
TCP Wrappers TCP Wrappers 简介 TCP_Wrappers是一个工作在第四层(传输层)的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwrap.so库文件的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有:rpcbind、vsftpd、sshd、telnet。 判断方式: 查看对应服务命令所在位置which sshd 查看指定命令执行时是否调用libwrap.so文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值