tcp_wrappers 說明

這個套件就是 /etc/hosts.allow、hosts.deny,的控制套件,towns 非常常用的功能,因為他簡單方便,不過,他在寫法、支援度,towns 還是有點疑問。towns 會以格式、寫法、支援程式三點來說明

格式

[daemon_list]:[client_list][:shell_command]
應用程式名稱:客端資訊 [:指令]

寫法

/etc/hosts.allow 檔
sshd:     192.168.56.1     <== 僅同意 192.168.56.1 可以使用 ssh 連入本機
sshd:     192.168.56.       <== 同意 192.168.56. 網段可以使用 ssh 連入本機
註:記得要有點
sshd:     192.168.56.0/24 <== 同上
sshd:     192.168.56.0/255.255.255.0 <== 同上
sshd:     192.168.56.     : Allow <== 同上
sshd:     192.168.56.     : Deny <== 拒絕192.168.56. 網段使用 ssh 連入
註:後面的指令,並非絕對要寫的,因為allow 檔就是同意的檔案
sshd:     192.168.56.0/29 <== 僅同意 192.168.56.0-7 這8 個IP,可以連入本機
sshd:     123-123-123-123.adsl.dynamic. <== 同意 123-123-123-123.adsl.dynamic. 網址可以使用 ssh 連入本機
註:上面那個網址,是使用光纖撥接取固定IP 的反解,也就是說使用網址,必需要反解才能用
sshd:     .test.idv.tw  : allow   <== 同意 test.idv.tw 網域可以連入
sshd:     .test.idv.tw EXCEPT www.test.idv.tw  : allow <== 除了www.test.idv.tw 之外,同意 test.idv.tw 網域可以用ssh 連入
註:如果使用網域名稱,必需加上 : allow 才能使用
sshd:     192.168.56., 192.168.57. <== 同意 192.168.56. 及192.168.57. 網段可以使用 ssh 連入本機(未測試)
sshd:     sftp.test.idv.tw : allow <== 僅同意 sftp.test.idv.tw 可以使用 ssh 連入本機
ALL:    192.168.56.   <==  同意 192.168.56. 網段,使用所有TCP服務連入
ALL:    192.168.56.  : Allow <== 同上
ALL:    ALL  <==  完全同意所有連入
ALL EXPECT vsftpd : ALL <== 除了 vsftpd 外,完全同意所有連入

-------------------------------------------------------------------------------------------------

/etc/hosts.deny
sshd:     ALL <== 拒絕所有IP使用 sshd 連入本機
sshd:     ALL    : deny <== 同上
sshd:     ALL    : spawn (echo Security notice from host `/bin/hostname`;echo /usr/sbin/safe_figer @%h ) | /bin/mail -s "%d-%h security" root & : twist ( /bin/echo -e "\n\nEarNING connection not allowed. Yout attempt has been logged.\n\n\n警告您尚未允許登入,您的連線將會被紀錄,並且作為以後的參考\n\n ". )
spawn 可以指定發生設定情形後,執行指定指令
twist 可以執行標準輸出,通知登入者

支援程式

依作者說明,只要是使用 TCP/IP 協定的,都可以管理。只是,是否每一個都可以呢?還是必需支援 TCP_Warppers?那daemon_list 又是指什麼呢?那裡可以看到?那自設的 port 是否也可以管理呢?不少問題呢!查好再補

關於daemon_list,目前只有看到CentOS 官網說明的一段 
<daemon list> -- A comma-separated list of process names (not service name) or th ALL wildcard.

註1:如果是要看 process name,可以用 ps -p [PID] -o comm= 查到
註2:如果是要看 PID ,可以用 netstat -tulnp 看到
註3:使用 ldd /usr/sbin/sshd |grep libwrap 可以看到sshd 有支援 tcp_wrappers 功能

log 資訊存放位置

資料預設會出現在 /var/log/secure 中

參考資料:
鳥哥 限制連接上您 Linux 主機的電腦網域、認識系統服務
man
tcp_wrapper -- README
centos官網文件 -- 42.5 TCP Wrappers and xinetd -- 關於 daemon_list
https://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-tcpwrappers.html

顏國雄先生的文章 -- 這裡有提到一些應用方式
http://mail.lsps.tp.edu.tw/~gsyan/freebsd2001/tcpwrappers.html

OpenFoundry -- Weithenn 大的文章 -- 有提到檢查套件是否支援 tcp_wrappers
http://www.openfoundry.org/tech-column/8395

留言

張貼留言

這個網誌中的熱門文章

zimbra 安裝、管理、設定

zimbra 安裝   設定檔路徑 /opt/zimbra/conf 檔案上傳路徑 /opt/zimbra/data/tmp/upload MySQL 資料 要先使用 zimbra 帳號,才能登入資料庫 https://wiki.zimbra.com/wiki/MySQL_Backup_and_Restore   mysql 設定檔路徑 /opt/zimbra/conf/my.cnf 通訊錄匯出 登入管理者 ==> 搜尋 帳戶 ==> 按下齒輪旁的倒三角 ==> 下載 https://community.bittitan.com/kb/Pages/How%20do%20I%20export%20a%20user%20list%20from%20Zimbra%20into%20a%20CSV%20file.aspx 延伸套件 zimbra 有很多延伸套件可以使用,其中就有一個是郵件下載打包工具 Email Downloader,這個工具就可以協助整郵件了。 安裝方式: 登入管理者介面 ==> 設定 ==> Zimlet ==> 右上方“齒輪” ==> 佈署 ==> 瀏覽 ==> 選擇指定檔案 ==> 點 佈署,就會放上去了 移除方式 登入管理者介面 ==> 設定 ==> Zimlet ==> 在指定的套件上按滑鼠右鍵 ==> 關閉佈署 停用方式 登入管理者介面 ==> 設定 ==> Zimlet ==> 在指定的套件上按滑鼠右鍵 ==> 切換狀態 註:記得下載的檔案名稱應與 zip 檔中 xml 檔名相同,否則安裝會失敗 相關資料: 官方延伸套件網站 https://www.zimbra.org/extend/ email 下載套件 https://www.zimbra.org/extend/items/view/email-downloader  補充1:使用 downloader 這個套件,必需使用 AJAX 閱讀模式,而且是用拖拉方式到這個套件上面 補充2:會先產生 zip 檔,而檔案內容為 *.eml 檔 補充3:如果停用再啟用可能會造成功能異常,這時就刪除重裝,記得要勾選 清除Zimlet 快取 重新啟動 zimb...
閱讀完整內容

Fortigate 100D -- 管理、設定

圖片
有不少設定可以來寫一下 韌體降版、昇版方式 1. 重開後到管理清單 重開後到Press any key to display configuration menu.. 按 enter 進入管理畫面(請仔細看文字說明,很簡單) 2. F format 掉 partition 按 F 後開始將 boot device 中的設定資訊刪除 註:原廠建議刪除後再匯入設定 3. 設定 TFTP 資訊 在 formating 完成後,按 C 進入 TFTP 設定 towns 看了 local ip(I)、remote TFTP ip(T) 及 firmware image(F) 檔案名稱,並檔案名稱修改了名稱 4. 回到第一個選單,並按 T,這時系統要求連接 TFTP 主機到 Ethernet port “MGMT” 介面 5. 連接 TFTP server 與 100D(一般是使用 Ethernet MGMT介面,請仔細看文字說明) 註1:連接 TFTP server 條件。使用“跳線”連接 TFTP 主機(或使用 hub 連接),100D 才能抓到 TFTP 主機 註2:將要更新的檔案放到 TFTP 設定的資料匣,100D才能依檔名抓到指定的 firmware image 6.完成韌體更新 完成後使用 D(Default firmware)設回預設值 7. 設回預設值 官方文件 http://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=10338&sliceId=1&docTypeID=DT_KCARTICLE_1_1 老森大 http://blog.752club.com/fortigate-fg-110c-after-upgrade-firmware-crash-rewrite-firmware/ William 大協助 還原 100D 設定 直接由 web 介面匯入就可以了 註:匯入設定值後,要注意,原本的設定方式(如 super_admin 權限的管理,會造成無法登入 web 介面,因為 towns 有鎖 IP,就造成MGMT 無法登入 Web 介面,記得到 console 中將設定改掉) console 指令 現在很多...
閱讀完整內容

IT 隨手記6

圖片
1. 清除 Chrome、firefox dns cache Chrome 1. 於網址列打入 chrome://net-internals/#dns 2. 點 clean host cache 註:這個英文看起來比較像是清除本機的 DNS 快取 Firefox 1. 於網址列打入 about:config 2. 點 "我發誓,我一定會小心的" 3. 找 network.dnsCacheExpiration 設定為 0 # 找不到跳下面步驟 4. 按 滑鼠右鍵, 新增此值 字串: network.dnsCacheExpiration, 值: 0 5. 再編輯 network.dnsCacheExpiration 設定為 3600 上述 3,4 步驟設定後, Firefox 已經將 DNS Cache 清除, 再做第五步驟, 是要將 DNS Cache 設定過期時間為 3600秒. 補充:Firefox 的設定值是過期時間。towns 的預設值為 60秒 參考資料:Tsung's Blog https://blog.longwin.com.tw/2013/08/firefox-chrome-clean-cache-2013/  2. 雙因子認證設備(未完成) 這個設備的目地是用來連入特定主機的 Linux 下的安裝 windows 下的安裝方式 官方網址: https://www.yubico.com/   PCIDSS 多因子認證討論 https://blog.vasco.com/legal/multi-factor-authentication-pci-dss-3-2/ Tsung 大的文章 -- google 兩階段認證 https://blog.longwin.com.tw/2014/10/ssh-google-2-factor-authentication-2014/ 3. HP C309a 無法安裝軟體 出現 usb 問題,無法安裝 處理方式: 1. 先使用 USB 接上印表機,使用自動更新驅動程式(或到官方下載USB驅動程式),更新完成後,再安裝軟體 2. 將 USB 測試工具移除( USBReady.exe )後,再執行 Setup 參考資料: HP 討論版 https://h30471.www3.hp.com/t5/fan...
閱讀完整內容