Kif Tiżgura s-Servizzi tan-Netwerk billi tuża TCP Wrappers fil-Linux
F'dan l-artikolu se nispjegaw x'inhuma t-tgeżwir tat-TCP u kif tikkonfigurahom għal firewall konfigurat.
F'dan ir-rigward, tista 'taħseb din l-għodda bħala miżura ta' sigurtà aħħarija għas-sistema tiegħek. Billi tuża firewall u tgeżwir TCP, minflok ma tiffavorixxi waħda fuq l-oħra, int se tiżgura li s-server tiegħek ma jibqax b'punt wieħed ta' falliment.
Nifhmu hosts.allow u hosts.deny
Meta talba tan-netwerk tasal is-server tiegħek, it-tgeżwir tat-TCP juża hosts.allow
u hosts.deny
(f'dik l-ordni) biex jiddetermina jekk il-klijent għandux jitħalla juża servizz partikolari .
B'mod awtomatiku, dawn il-fajls huma vojta, kollha kkummentati, jew ma jeżistux. Għalhekk, kollox huwa permess permezz tas-saff tat-tgeżwir TCP u s-sistema tiegħek titħalla tistrieħ fuq il-firewall għal protezzjoni sħiħa. Peress li dan mhux mixtieq, minħabba r-raġuni li ddikjarajna fl-introduzzjoni, kun żgur li jeżistu ż-żewġ fajls:
# ls -l /etc/hosts.allow /etc/hosts.deny
Is-sintassi taż-żewġ fajls hija l-istess:
<services> : <clients> [: <option1> : <option2> : ...]
fejn,
- servizzi hija lista separata b'virgola ta' servizzi li r-regola attwali għandha tiġi applikata għalihom.
- il-klijenti jirrappreżentaw il-lista ta' ismijiet ta' host jew indirizzi IP separati b'virgola affettwati mir-regola. Il-wildcards li ġejjin huma aċċettati:
- KOLLHA jaqbel ma' kollox. Japplika kemm għall-klijenti kif ukoll għas-servizzi.
- LOCAL jaqbel mal-hosts mingħajr punt fl-FQDN tagħhom, bħal localhost.
- MAGĦRUF jindika sitwazzjoni fejn l-isem tal-host, l-indirizz tal-host, jew l-utent huma magħrufa.
- MHUX MAGĦRUF huwa l-oppost ta’ MAGĦRUF.
- PARANOID jikkawża konnessjoni li titneħħa jekk tfittxija inversa tad-DNS (l-ewwel fuq l-indirizz IP biex jiddetermina l-isem tal-host, imbagħad fuq l-isem tal-host biex tikseb l-indirizzi IP) jirritorna indirizz differenti f'kull każ.
Jista' jkun li trid iżżomm f'moħħok li regola li tippermetti aċċess għal servizz partikolari f'
/etc/hosts.allow
tieħu preċedenza fuq regola f'/etc/hosts.deny
li tipprojbixxi dan. Barra minn hekk, jekk japplikaw żewġ regoli għall-istess servizz, l-ewwel waħda biss titqies.Sfortunatament, mhux is-servizzi tan-netwerk kollha jappoġġjaw l-użu tat-tgeżwir tat-TCP. Biex tiddetermina jekk servizz partikolari jappoġġjahomx, agħmel:
# ldd /path/to/binary | grep libwrap
Jekk il-kmand ta 'hawn fuq jirritorna output, jista' jkun imgeżwer bit-TCP. Eżempju ta’ dan huma sshd u vsftpd, kif muri hawn:
Kif tuża TCP Wrappers biex tirrestrinġi l-aċċess għas-Servizzi
Hekk kif teditja
/etc/hosts.allow
u/etc/hosts.deny
, kun żgur li żżid linja ġdida billi tagħfas Enter wara l-aħħar linja mhux vojta.Biex tippermetti aċċess SSH u FTP biss għal 192.168.0.102 u localhost u tiċħad l-oħrajn kollha, żid dawn iż-żewġ linji f'
/etc/hosts.deny
:sshd,vsftpd : ALL ALL : ALL
u l-linja li ġejja fi
/etc/hosts.allow
:sshd,vsftpd : 192.168.0.102,LOCAL
# # hosts.deny This file contains access rules which are used to # deny connections to network services that either use # the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # The rules in this file can also be set up in # /etc/hosts.allow with a 'deny' option instead. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers # sshd,vsftpd : ALL ALL : ALL
# # hosts.allow This file contains access rules which are used to # allow or deny connections to network services that # either use the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers # sshd,vsftpd : 192.168.0.102,LOCAL
Dawn il-bidliet iseħħu immedjatament mingħajr il-ħtieġa għal bidu mill-ġdid.
Fl-immaġni li ġejja tista 'tara l-effett tat-tneħħija tal-kelma
LOCAL
mill-aħħar linja: is-server FTP se jsir mhux disponibbli għal localhost. Wara li nżidu l-wildcard lura, is-servizz jerġa’ jsir disponibbli.Biex tippermetti s-servizzi kollha lill-hosts fejn l-isem ikun fih
example.com
, żid din il-linja fihosts.allow
:ALL : .example.com
u biex tiċħad l-aċċess għal vsftpd għal magni fuq 10.0.1.0/24, żid din il-linja f'
hosts.deny
:vsftpd : 10.0.1.
Fuq l-aħħar żewġ eżempji, innota t-tikka fil-bidu u fit-tmiem tal-lista tal-klijenti. Jintuża biex jindika \L-hosts u/jew il-klijenti KOLLHA fejn l-isem jew l-IP fih dik is-sekwenza.
Dan l-artiklu kien ta’ għajnuna għalik? Għandek xi mistoqsijiet jew kummenti? Ħossok liberu li tibgħatilna nota billi tuża l-formola tal-kummenti hawn taħt.