TCP wrapper 概述說明

TCP wrapper是FreeBSD預設的tcp daemon防護措施,只要開啟 inetd 服務就可以了.
開機自動執行, 修改/etc/rc.conf, 新增內容:inetd_enable="YES"手動執行:/usr/sbin/inetd -wW -C
60設定檔案:/etc/hosts.allow, 規則:
服務名稱 : 來源 : 參數
來源可以是 IP或 FQDN.
採用 first
match first win 方式, 也就是遇到符合的規則就不在往下確認.設定檔規則說明:
# 只要將最初的規則註解,tcp wrapper就開始運作.
#ALL : ALL : allow  # 所有服務,所有來源
,允許.
# 限定服務存取來源
# 範例:允許192.168.0.0/24 使用 sshd服務.
# sshd :
192.168.0.0/255.255.255.0 : allow
# 若為區段請加上子網路遮罩,如 0/24 則為:  
IP/255.255.255.0 , 其餘類推.
# 範例: 拒絕 某IP使用
#sshd : .evil.cracker.example.com
: deny
# 常見範例1:
服務名稱 : localhost : allow # 允許本機使用
服務名稱 :
ip.trustdomain.com : allow # 允許信任的IP連線
服務名稱 : all : deny #
拒絕其餘不信任的來源.
# 常見範例2: 使用 spawn 讓透過某些命令檢察此服務是否合宜.
#
至於spawn要執行哪些指令由您自行考量(可搭配
[url=javascript:;]shell[/url]
語法).
#
# 當 所有來源  使用fingerd服務, 透過mail -s
發出警告信件 ,列出  並且拒絕.
# 信件結果: tcpd: 來源端使用者@來源端hostname[來源端ip] fingered  me
!
fingerd : ALL \
: spawn (echo Finger. | \
/usr/bin/mail -s "tcpd\:
%u@%h[%a] fingered me!"
[url=javascript:;]root[/url]
) & \
: deny
# tcp
wrapper預設將所有未在hosts.allow列入允許的服務保護,也就是全部拒絕.
# 並且回應 You are not welcome to use
服務名稱 form 來源IP
ALL : ALL \
: severity auth.info \
: twist /bin/echo
"You are not welcome to use %d from %h."
# 若您不希望全部服務皆透過tcp
wrapper管理,您可以將上述三行註解.
# 這樣將會導致沒有在hosts.allow表列拒絕的服務皆會開放.
#
實際範例:
#ALL : ALL : allow
sshd : 192.168.0.1 : allow
ALL : ALL \
:
severity auth.info \
: twist /bin/echo "You are not welcome to use %d from
%h."
#將會允許 192.168.0.1 進行
[url=javascript:;]ssh[/url]
連線, 但其餘ip皆無法使用sshd服務.
提醒:
設定hosts.allow時,請務必留有一個連線的視窗,避免因為設定失敗而被踢出系統.
enjoy it!!
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/4206/showart_501201.html

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有