Giunsa ang Pag-secure sa Mga Serbisyo sa Network Gamit ang TCP Wrappers sa Linux


Niini nga artikulo atong ipasabut kung unsa ang mga wrapper sa TCP ug kung giunsa kini i-configure aron ma-configure ang firewall.

Niining bahina, mahimo nimong hunahunaon kini nga himan ingon usa ka katapusang sukod sa seguridad alang sa imong sistema. Pinaagi sa paggamit sa usa ka firewall ug TCP wrappers, imbes nga mopabor sa usa sa usa, imong sigurohon nga ang imong server dili mabiyaan sa usa ka punto sa kapakyasan.

Ang pagsabut sa hosts.allow ug hosts.deny

Kung ang usa ka hangyo sa network moabut sa imong server, ang mga wrapper sa TCP naggamit sa hosts.allow ug hosts.deny (sa kana nga han-ay) aron mahibal-an kung ang kliyente kinahanglan tugutan nga mogamit usa ka gihatag nga serbisyo .

Sa kasagaran, kini nga mga file walay sulod, ang tanan gikomento, o wala. Sa ingon, ang tanan gitugotan pinaagi sa layer sa TCP wrappers ug ang imong sistema nahabilin nga magsalig sa firewall alang sa hingpit nga proteksyon. Tungod kay dili kini gusto, tungod sa rason nga among gipahayag sa pasiuna, siguroha nga ang duha ka mga file anaa:

# ls -l /etc/hosts.allow /etc/hosts.deny

Ang syntax sa duha ka mga file parehas:

<services> : <clients> [: <option1> : <option2> : ...]

diin,

  1. mga serbisyo kay usa ka listahan sa mga serbisyo nga gibulag-bulagan sa koma nga ang kasamtangang lagda angayng ipadapat.
  2. Ang mga kliyente nagrepresentar sa listahan sa mga hostname nga gibulag sa koma o mga adres sa IP nga apektado sa lagda. Ang mosunod nga mga wildcard gidawat:
    1. TANAN motakdo sa tanan. Magamit sa mga kliyente ug serbisyo.
    2. LOCAL mopares sa mga host nga walay period sa ilang FQDN, sama sa localhost.
    3. KNOWN nagpakita ug sitwasyon diin ang hostname, host address, o user nahibal-an.
    4. UNKNOWN kay sukwahi sa KNOWN.
    5. Ang PARANOID maoy hinungdan sa pagkawala sa koneksyon kung ang mga pagpangita sa DNS (una sa IP address aron mahibal-an ang host name, dayon sa host name aron makuha ang mga IP address) mobalik og lain nga adres sa matag kaso.

    Mahimo nimong hinumdoman nga ang usa ka lagda nga nagtugot sa pag-access sa usa ka gihatag nga serbisyo sa /etc/hosts.allow nag-una sa usa ka lagda sa /etc/hosts.deny nga nagdili kini. Dugang pa, kung ang duha ka mga lagda magamit sa parehas nga serbisyo, ang una ra ang mahunahuna.

    Ikasubo, dili tanan nga serbisyo sa network nagsuporta sa paggamit sa mga TCP wrapper. Aron mahibal-an kung ang gihatag nga serbisyo nagsuporta kanila, buhata:

    # ldd /path/to/binary | grep libwrap
    

    Kung ang mando sa ibabaw magbalik sa output, mahimo kini nga giputos sa TCP. Usa ka pananglitan niini mao ang sshd ug vsftpd, ingon sa gipakita dinhi:

    Giunsa Paggamit ang TCP Wrappers aron Limitahan ang Pag-access sa Mga Serbisyo

    Sa imong pag-edit sa /etc/hosts.allow ug /etc/hosts.deny, siguroha nga magdugang ka og bag-ong linya pinaagi sa pagpindot sa Enter human sa katapusang linya nga walay sulod.

    Aron tugotan ang SSH ug FTP nga maka-access lamang sa 192.168.0.102 ug localhost ug isalikway ang tanan, idugang kining duha ka linya sa /etc/hosts.deny:

    sshd,vsftpd : ALL
    ALL : ALL
    

    ug ang mosunod nga linya sa /etc/hosts.allow:

    sshd,vsftpd : 192.168.0.102,LOCAL
    
    #
    # hosts.deny	This file contains access rules which are used to
    #		deny connections to network services that either use
    #		the tcp_wrappers library or that have been
    #		started through a tcp_wrappers-enabled xinetd.
    #
    #		The rules in this file can also be set up in
    #		/etc/hosts.allow with a 'deny' option instead.
    #
    #		See 'man 5 hosts_options' and 'man 5 hosts_access'
    #		for information on rule syntax.
    #		See 'man tcpd' for information on tcp_wrappers
    #
    sshd,vsftpd : ALL
    ALL : ALL
    
    #
    # hosts.allow	This file contains access rules which are used to
    #		allow or deny connections to network services that
    #		either use the tcp_wrappers library or that have been
    #		started through a tcp_wrappers-enabled xinetd.
    #
    #		See 'man 5 hosts_options' and 'man 5 hosts_access'
    #		for information on rule syntax.
    #		See 'man tcpd' for information on tcp_wrappers
    #
    sshd,vsftpd : 192.168.0.102,LOCAL
    

    Kini nga mga pagbag-o mahitabo dayon nga wala kinahanglana ang pag-restart.

    Sa mosunod nga hulagway imong makita ang epekto sa pagtangtang sa pulong LOCAL gikan sa kataposang linya: ang FTP server mahimong dili magamit alang sa localhost. Human namo idugang ang wildcard balik, ang serbisyo mahimong magamit pag-usab.

    Aron tugotan ang tanang serbisyo sa mga host diin ang ngalan adunay example.com, idugang kini nga linya sa hosts.allow:

    ALL : .example.com
    

    ug sa pagdumili sa access sa vsftpd sa mga makina sa 10.0.1.0/24, idugang kini nga linya sa hosts.deny:

    vsftpd : 10.0.1.
    

    Sa kataposang duha ka pananglitan, matikdi ang tulbok sa sinugdanan ug kataposan sa listahan sa kliyente. Gigamit kini sa pagpaila sa \TANAN nga mga host ug/o mga kliyente kung diin ang ngalan o ang IP adunay sulud nga hilo.

    Nakatabang ba kanimo kining artikuloha? Aduna ka bay pangutana o komento? Mobati nga gawasnon nga ihulog kanamo ang usa ka nota gamit ang porma sa komento sa ubos.