Kif Tiżgura s-Servizzi tan-Netwerk billi tuża TCP Wrappers fil-Linux


F'dan l-artikolu se nispjegaw x'inhuma t-tgeżwir tat-TCP u kif tikkonfigurahom għal firewall konfigurat.

F'dan ir-rigward, tista 'taħseb din l-għodda bħala miżura ta' sigurtà aħħarija għas-sistema tiegħek. Billi tuża firewall u tgeżwir TCP, minflok ma tiffavorixxi waħda fuq l-oħra, int se tiżgura li s-server tiegħek ma jibqax b'punt wieħed ta' falliment.

Nifhmu hosts.allow u hosts.deny

Meta talba tan-netwerk tasal is-server tiegħek, it-tgeżwir tat-TCP juża hosts.allow u hosts.deny (f'dik l-ordni) biex jiddetermina jekk il-klijent għandux jitħalla juża servizz partikolari .

B'mod awtomatiku, dawn il-fajls huma vojta, kollha kkummentati, jew ma jeżistux. Għalhekk, kollox huwa permess permezz tas-saff tat-tgeżwir TCP u s-sistema tiegħek titħalla tistrieħ fuq il-firewall għal protezzjoni sħiħa. Peress li dan mhux mixtieq, minħabba r-raġuni li ddikjarajna fl-introduzzjoni, kun żgur li jeżistu ż-żewġ fajls:

# ls -l /etc/hosts.allow /etc/hosts.deny

Is-sintassi taż-żewġ fajls hija l-istess:

<services> : <clients> [: <option1> : <option2> : ...]

fejn,

  1. servizzi hija lista separata b'virgola ta' servizzi li r-regola attwali għandha tiġi applikata għalihom.
  2. il-klijenti jirrappreżentaw il-lista ta' ismijiet ta' host jew indirizzi IP separati b'virgola affettwati mir-regola. Il-wildcards li ġejjin huma aċċettati:
    1. KOLLHA jaqbel ma' kollox. Japplika kemm għall-klijenti kif ukoll għas-servizzi.
    2. LOCAL jaqbel mal-hosts mingħajr punt fl-FQDN tagħhom, bħal localhost.
    3. MAGĦRUF jindika sitwazzjoni fejn l-isem tal-host, l-indirizz tal-host, jew l-utent huma magħrufa.
    4. MHUX MAGĦRUF huwa l-oppost ta’ MAGĦRUF.
    5. PARANOID jikkawża konnessjoni li titneħħa jekk tfittxija inversa tad-DNS (l-ewwel fuq l-indirizz IP biex jiddetermina l-isem tal-host, imbagħad fuq l-isem tal-host biex tikseb l-indirizzi IP) jirritorna indirizz differenti f'kull każ.

    Jista' jkun li trid iżżomm f'moħħok li regola li tippermetti aċċess għal servizz partikolari f'/etc/hosts.allow tieħu preċedenza fuq regola f'/etc/hosts.deny li tipprojbixxi dan. Barra minn hekk, jekk japplikaw żewġ regoli għall-istess servizz, l-ewwel waħda biss titqies.

    Sfortunatament, mhux is-servizzi tan-netwerk kollha jappoġġjaw l-użu tat-tgeżwir tat-TCP. Biex tiddetermina jekk servizz partikolari jappoġġjahomx, agħmel:

    # ldd /path/to/binary | grep libwrap
    

    Jekk il-kmand ta 'hawn fuq jirritorna output, jista' jkun imgeżwer bit-TCP. Eżempju ta’ dan huma sshd u vsftpd, kif muri hawn:

    Kif tuża TCP Wrappers biex tirrestrinġi l-aċċess għas-Servizzi

    Hekk kif teditja /etc/hosts.allow u /etc/hosts.deny, kun żgur li żżid linja ġdida billi tagħfas Enter wara l-aħħar linja mhux vojta.

    Biex tippermetti aċċess SSH u FTP biss għal 192.168.0.102 u localhost u tiċħad l-oħrajn kollha, żid dawn iż-żewġ linji f'/etc/hosts.deny:

    sshd,vsftpd : ALL
    ALL : ALL
    

    u l-linja li ġejja fi /etc/hosts.allow:

    sshd,vsftpd : 192.168.0.102,LOCAL
    
    #
    # hosts.deny	This file contains access rules which are used to
    #		deny connections to network services that either use
    #		the tcp_wrappers library or that have been
    #		started through a tcp_wrappers-enabled xinetd.
    #
    #		The rules in this file can also be set up in
    #		/etc/hosts.allow with a 'deny' option instead.
    #
    #		See 'man 5 hosts_options' and 'man 5 hosts_access'
    #		for information on rule syntax.
    #		See 'man tcpd' for information on tcp_wrappers
    #
    sshd,vsftpd : ALL
    ALL : ALL
    
    #
    # hosts.allow	This file contains access rules which are used to
    #		allow or deny connections to network services that
    #		either use the tcp_wrappers library or that have been
    #		started through a tcp_wrappers-enabled xinetd.
    #
    #		See 'man 5 hosts_options' and 'man 5 hosts_access'
    #		for information on rule syntax.
    #		See 'man tcpd' for information on tcp_wrappers
    #
    sshd,vsftpd : 192.168.0.102,LOCAL
    

    Dawn il-bidliet iseħħu immedjatament mingħajr il-ħtieġa għal bidu mill-ġdid.

    Fl-immaġni li ġejja tista 'tara l-effett tat-tneħħija tal-kelma LOCAL mill-aħħar linja: is-server FTP se jsir mhux disponibbli għal localhost. Wara li nżidu l-wildcard lura, is-servizz jerġa’ jsir disponibbli.

    Biex tippermetti s-servizzi kollha lill-hosts fejn l-isem ikun fih example.com, żid din il-linja fi hosts.allow:

    ALL : .example.com
    

    u biex tiċħad l-aċċess għal vsftpd għal magni fuq 10.0.1.0/24, żid din il-linja f'hosts.deny:

    vsftpd : 10.0.1.
    

    Fuq l-aħħar żewġ eżempji, innota t-tikka fil-bidu u fit-tmiem tal-lista tal-klijenti. Jintuża biex jindika \L-hosts u/jew il-klijenti KOLLHA fejn l-isem jew l-IP fih dik is-sekwenza.

    Dan l-artiklu kien ta’ għajnuna għalik? Għandek xi mistoqsijiet jew kummenti? Ħossok liberu li tibgħatilna nota billi tuża l-formola tal-kummenti hawn taħt.