本文共 1843 字,大约阅读时间需要 6 分钟。
导读 | 在这篇文章中,我们将会讲述什么是TCP 封装器以及如何在一台 Linux 服务器上配置他们来限制网络服务的权限。在开始之前,我们必须澄清 TCP 封装器并不能消除对于正确配置防火墙的需要。 |
就这一点而言,你可以把这个工具看作是一个基于主机的访问控制列表,而且并不能作为你的系统的终极安全措施。通过使用一个防火墙和 TCP 封装器,而不是只偏爱其中的一个,你将会确保你的服务不会被出现单点故障。
当一个网络请求到达你的主机的时候,TCP 封装器会使用 hosts.allow 和hosts.deny (按照这样的顺序)来决定客户端是否应该被允许使用一个提供的服务。
在默认情况下,这些文件内容是空的,或者被注释掉,或者根本不存在。所以,任何请求都会被允许通过 TCP 过滤器而且你的系统被置于依靠防火墙来提供所有的保护。因为这并不是我们想要的。由于在一开始我们就介绍过的原因,清确保下面两个文件都存在:
# ls -l /etc/hosts.allow /etc/hosts.deny
两个文件的编写语法规则是一样的:
在文件中,: [: : : ...]
# ldd /path/to/binary | grep libwrap如果以上命令执行以后得到了以下结果,那么它就可以支持 TCP 过滤器,sshd 和 vsftpd 作为例子,输出如下所示。 查找 TCP 过滤器支持的服务
sshd,vsftpd : ALLALL : ALL而且在 /etc/hosts.allow 文件中添加如下内容:
sshd,vsftpd : 192.168.0.102,LOCAL
这些更改会立刻生效并且不需要重新启动。
在下图中你会看到,在最后一行中删掉 LOCAL、 后,FTP 服务器会对于 、localhost、不可用。在我们添加了通配符以后,服务又变得可用了。
确认 FTP 权限
为了允许所有服务对于主机名中含有 example.com 都可用,在hosts.allow 中添加如下一行:
ALL : .example.com
而为了禁止 10.0.1.0/24 的机器访问 vsftpd 服务,在hosts.deny 文件中添加如下一行:
vsftpd : 10.0.1.
在最后的两个例子中,注意到客户端列表每行开头和结尾的点。这是用来表示 “所有名字或者 IP 中含有那个字符串的主机或客户端”
这篇文章对你有用吗?你有什么问题或者评论吗?请你尽情在下面留言交流。
本文转载自:
免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好: