Implementierung der TCPWrappers-Zugriffskontrolle in Centos

1. Übersicht über TCP-Wrapper

TCP Wrapper „verpacken“ das TCP-Dienstprogramm und überwachen in seinem Namen den Port des TCP-Dienstprogramms, wobei ein Sicherheitserkennungsprozess hinzugefügt wird. Externe Verbindungsanforderungen müssen zuerst diese Sicherheitserkennungsebene durchlaufen und eine Genehmigung einholen, bevor sie auf das eigentliche Dienstprogramm zugreifen können. Wie in der folgenden Abbildung dargestellt, können TCP Wrapper auch alle Versuche aufzeichnen, auf den geschützten Dienst zuzugreifen, und so Administratoren umfassende Informationen zur Sicherheitsanalyse liefern.

2. Zugriffsstrategie von TCP-Wrappern

Der TCP-Wrapper-Mechanismus schützt verschiedene Netzwerkdienstprogramme und führt eine Zugriffskontrolle für die Clientadressen durch, die auf die Dienste zugreifen. Die beiden entsprechenden Richtliniendateien sind /etc/hosts.allow und /etc/hosts.deny. Sie werden verwendet, um die Zulassungs- bzw. Verweigerungsrichtlinien festzulegen.

1. Richtlinienkonfigurationsformat

Die beiden Richtliniendateien haben entgegengesetzte Funktionen, aber das Format der Konfigurationsdatensätze ist dasselbe und lautet wie folgt:
<Serviceprogrammliste>: <Client-Adressliste>

Die Serviceprogrammlisten und Clientadresslisten sind durch Doppelpunkte getrennt und mehrere Elemente in jeder Liste sind durch Kommas getrennt.

1) Service-Programmliste

• ALL: steht für alle Dienste;
• Einzelnes Serviceprogramm: wie etwa „vsftpd“;
• Eine Liste mit mehreren Serviceprogrammen: wie etwa „vsftpd.sshd“;

2) Kundenadressliste

• ALL: stellt jede beliebige Clientadresse dar;
• LOCAL: stellt die lokale Adresse dar;
• Einzelne IP-Adresse: z. B. „192.1668.10.1“;
• Netzwerksegmentadresse: wie „192.168.10.0/255.255.255.0“;
• Domänennamen, die mit „.“ beginnen: „benet.com“ trifft beispielsweise auf alle Hosts in der Domäne benet.com zu.
• Eine Netzwerkadresse, die mit einem Punkt endet: Beispielsweise entspricht „192.168.10.“ dem gesamten Netzwerksegment 192.168.10.0/24.
• Eingebettete Platzhalter "?": Erstere stehen für Zeichen beliebiger Länge, letztere für nur ein Zeichen. Beispielsweise entspricht "192.168.10.1" allen IP-Adressen, die mit 192.168.10.1 beginnen. Kann nicht mit Mustern gemischt werden, die mit „.“ beginnen oder enden.
• Eine Liste mit mehreren Client-Adressen: etwa „192.168.1., 172.16.16., .benet.com“;

2. Grundprinzipien der Zutrittskontrolle

In Bezug auf die Zugriffsrichtlinie des TCP-Wrappers-Mechanismus werden bei der Anwendung die folgende Reihenfolge und die folgenden Grundsätze befolgt: Überprüfen Sie zuerst die Datei /etc/hosts.allow. Wenn eine passende Richtlinie gefunden wird, wird der Zugriff zugelassen. Andernfalls überprüfen Sie weiterhin die Datei /etc/hosts.deny. Wenn eine passende Richtlinie gefunden wird, wird der Zugriff verweigert. Wenn in den beiden oben genannten Dateien keine passende Richtlinie gefunden wird, wird der Zugriff zugelassen.

3. Konfigurationsbeispiel für TCP-Wrapper

Wenn der TCP-Wrapper-Mechanismus tatsächlich verwendet wird, kann eine lockerere Richtlinie „Alles zulassen, einiges verweigern“ und eine strengere Richtlinie „Einige zulassen, alles verweigern“ lauten. Im ersten Fall muss lediglich die entsprechende Verweigerungsrichtlinie zur Datei hosts.deny hinzugefügt werden; im zweiten Fall muss zusätzlich zur Zulassungsrichtlinie zu host.allow auch die Verweigerungsrichtlinie „ALL:ALL“ zur Datei hosts.deny festgelegt werden.

Hier ist ein Beispiel:

Nun möchten Sie nur noch vom Host mit der IP-Adresse 192.168.10.1 oder vom Host im Netzwerksegment 172.16.16 auf den SSHD-Dienst zugreifen. Andere Adressen werden abgelehnt. Sie können Folgendes tun:

[root@centos01 ~]# vim /etc/hosts.allow 
sshd:192.168.10.1 172.16.16.*
[root@centos01 ~]# vim /etc/hosts.deny 
sshd:ALL

Das Obige ist der vollständige Inhalt dieses Artikels. Ich hoffe, er wird für jedermanns Studium hilfreich sein. Ich hoffe auch, dass jeder 123WORDPRESS.COM unterstützen wird.