一、TCP_Wrappers1. 简介
全称是Transmission Control Protocol (TCP) Wrappers ,它是一个基于主机的网络访问掌握列表系统。最初代码由Wietse Venema在1990年编写(比Linux的涌现要早一点),2001年以类BSD的容许发布。TCP Wrappers事情在TCP/IP模型的第4层(传输层),对有状态连接的特定做事进行安全检测并实现访问掌握。
核心配置文件是:
TCP Wrappers有一个TCP守护进程:tcpd。可以在 wrappers 下进行访问掌握的常日有 :
TCP Wrappers核心是libwrap库,可以通过命令查看系统是否支持:
sudo ldd /usr/sbin/sshd | grep libwrap
这里sshd利用了libwrap。
3. 事情流程:远程IP要求连接TCP Wrapper先看/etc/hosts.allow中是否许可,有许可就放行;没有许可,看/etc/hosts.deny是否禁止,如果存在就禁止连接;两个文件都没有默认放行。其余tcp_wrappers可以设置调用外部程序,如记录日志等。
4. tcp_wrappers配置文件语法做事列表@host:主机列表:选项做事列表@host:主机列表:选项做事列表@host:主机列表:选项
(1) 做事列表要支持的做事名,如:telnet,vsftpd等@host 是指定本机网卡,如果不写就代表全部。
(2) 主机列表受掌握的机器,可以是机器名、IP,支持通配符 ? ALL EXECPT
基于IP地址: 192.168.10.1 192.168.1.基于主机名: www.magedu.com .magedu.com 较少用基于网络/掩码: 192.168.0.0/255.255.255.0基于net/prefixlen: 192.168.1.0/24(CentOS7)基于网络组(NIS 域): @mynetwork内置ACL: ALL, LOCAL, KNOWN, UNKNOWN,PARANOID
ALL:所有主机LOCAL:本地主机KNOWN:主机名可解析成ip的UNKNOWN:主机名无法解析成IP的PARANOID:正向解析与反向解析不对应的主机(3) 选项,要掌握的动作ALLOW 接管DENY 禁止5. 示例(1) telnet禁止192.168.0.0/16,但许可192.168.0.2,其它段不限定vim /etc/hosts.allowin.telnetd: 192.168.0.2vim /etc/hosts.denyin.telnetd: 192.168.(2) 禁止192.168.1.4通过ssh连接
vim /etc/hosts.deny# 自己的IP是192.168.1.2sshd@192.168.1.2:192.168.1.4(3) 禁止192.168.1.网段ssh连接
vim /etc/hosts.deny# 自己ip192.168.1.2sshd@192.168.1.2:192.168.1.(4) 许可本地网段,除了192.168.1.4连ssh
vim /etc/hosts.allow# 可以用EXCEPT打消某个IPsshd@192.168.1.2:192.168.1. EXCEPT 192.168.1.4vim /etc/denysshd: ALL(5) 在allow里利用deny
vim /etc/hosts.allowsshd:192.168.1.4:deny# 也可以在deny中利用allowvim /etc/hosts.denysshd:192.168.1.4:allow6. 利用tcpmatch查看连接情形
tcpdmatch [-d] daemon[@host] client-d 测试当前目录下的 hosts.allow和hosts.deny二、DenyHosts
由Phil Schwartz编写,利用Python开拓。它是通过监控系统安全日志来剖析是否有对OpenSSH的暴力破解行为。如果创造有暴力破解,就剖析IP并加到etc/hosts.deny来禁止连接。
1. 安装官网地址: http://denyhosts.sourceforge.net/
yum安装yum install -y denyhosts下载安装:
wget http://jaist.dl.sourceforge.net/project/denyhosts/denyhosts/2.6/DenyHosts-2.6.tar.gztar zxvf DenyHosts-2.6.tar.gz -C /usr/local/bincd DenyHosts-2.6python setup.py installcd /usr/share/denyhosts/cp denyhosts.cfg-dist denyhosts.cfgcp daemon-control-dist daemon-controlchown root daemon-controlchmod 700 daemon-control
设置开机启动:
cd /etc/rc.d/init.d/ln -s /usr/share/denyhosts/daemon-control denyhostschkconfig --add denyhostschkconfig daemon-control onchkconfig --list denyhosts# 启动/etc/init.d/daemon-control start
或
vim /etc/rc.local# 添加/usr/share/denyhosts/daemon-control start2. 配置文件设置
vim denyhosts.cfg
SECURE_LOG = /var/log/secure #ssh日志文件# format is: i[dhwmy]# Where i is an integer (eg. 7)# m = minutes# h = hours# d = days# w = weeks# y = years## never purge:PURGE_DENY = 50m #过多久后打消已阻挡IPHOSTS_DENY = /etc/hosts.deny #将阻挡IP写入到hosts.denyBLOCK_SERVICE = sshd #阻挡做事名PURGE_THRESHOLD = #定义了某一IP最多被解封多少次。某IP暴力破解SSH密码被阻挡/解封达到了PURGE_THRESHOLD次,则会被永久禁止;DENY_THRESHOLD_INVALID = 1 #许可无效用户登录失落败的次数DENY_THRESHOLD_VALID = 10 #许可普通用户登录失落败的次数DENY_THRESHOLD_ROOT = 5 #许可root登录失落败的次数WORK_DIR = /usr/local/share/denyhosts/data #将deny的host或ip记录到Work_dir中DENY_THRESHOLD_RESTRICTED = 1 #设定 deny host 写入到该资料夹LOCK_FILE = /var/lock/subsys/denyhosts #将DenyHOts启动的pid记录到LOCK_FILE中,已确保做事精确启动,防止同时启动多个做事。HOSTNAME_LOOKUP=NO #是否做域名反解ADMIN_EMAIL = #设置管理员邮件地址DAEMON_LOG = /var/log/denyhosts #DenyHosts日志位置
如果有ssh的攻击记录,可以在文件 /etc/hosts.deny查看。
