使用hosts.allow和hosts.deny实现简单的防火墙

摘要:
如果在hosts.allow文件中未找到匹配,那么tcpd会读取hosts.deny文件直到找到匹配。Wrappers会查询hosts.allow和hosts.deny中的规则来确定访问。规则的基本格式是:daemon,daemon,...:client,client,...:option要关闭wrappers,只需将hosts.allow和hosts.deny文件改成其他文件名即可。例如,允许domainA中所有项,除了hostX.domainA和hostY.domanA。对hosts.allow和hosts.deny的更改是动态的。

说明:我建议学习防火墙只单一学习一种就够了,这种方式虽然简单和快速,但也有些不太灵活,所以如果要深入防火墙建议转iptables

一、背景简介

在Linux上多用iptables来限制ssh和telnet,编缉hosts.allow和hosts.deny感觉比较麻烦比较少用。

二、hosts.allow和hosts.deny支持哪些服务

2.1、hosts.allow和hosts.deny支持哪些服务

hosts.allow和hosts.deny规则的执行者为TCP wrappers,对应守护进程为tcpd;而tcpd执行依赖于程序使用了libwrap库。

也就是说:hosts.allow和hosts.deny支持且只支持使用了libwrap库的服务。

一般这个是针对守护进程Daemon。

2.2、查看程序是否使用libwarp

方法一、查看hosts_access字段串

查看应用程序是否支持wrapper,可以使用strings程序然后grep字符串hosts_access:

strings /usr/sbin/sshd | grep hosts_access

方法二、使用ldd

ldd /usr/sbin/sshd | grep libwrap

查测发现使用xinetd的都可以、sshd可以、vsftpd可以,httpd不可以,weblogic等java程序就不要想了。

三、语法以及选项规则

Wrappers 首先在 hosts.allow 文件中查找规则匹配。如果找到匹配,那么 tcpd 会根据规则停下来,批准或拒绝访问。如果在 hosts.allow 文件中未找到匹配,那么 tcpd 会读取 hosts.deny 文件直到找到匹配。如果找到匹配,就拒绝访问,否则批准访问。

我在前面提到了两个文件 hosts.allow 和 deny,但根据规则的灵活性,可以只用一个文件,通常是 hosts.allow 来包含 wrappers 所有规则。

Wrappers 会查询 hosts.allow 和 hosts.deny 中的规则来确定访问。规则的基本格式是:

daemon, daemon, ...: client, client, ...: option

要关闭 wrappers,只需将 hosts.allow 和 hosts.deny 文件改成其他文件名即可。如果不存在允许或拒绝访问文件,wrappers 将不会使用访问控制,从而有效关闭 wrappers 。或者将主机文件清空或清零,这会有同样的效果。

其中:

daemon    要监控的服务,如 telnetd、ftpd、sshd
client    主机名、IP 地址/IP 范围,或域名

选项有:

allow    允许对客户端的访问
deny    拒绝对客户端的访问
except    会匹配第一个列表中所有项,除非匹配第二个列表。例如,允许 domainA 中所有项,除了 hostX.domainA 和 hostY.domanA。

当一行有多个守护进程或客户端时,用逗号分隔开来。可以用 ALL 关键字来表示所有守护进程或所有客户端。

LOCAL 关键字表示匹配所有不包含点号(“.”)的主机;这表示所有与域不相关的主机。

如果规则允许的话,在每个规则末尾都加上允许或拒绝选项,这是一个好的做法、好的习惯(因为这可以清晰地描绘访问规则,尤其是在 hosts.allow 中有多个允许或拒绝规则时)。

还有一些其他的选项,我将在稍后演示。现在,我们将访问控制结合在一起。

对 hosts.allow 和 hosts.deny 的更改是动态的。一旦文件保存,更改就会生效。

一个好的起点是,仅仅允许您想要访问主机的客户端使用允许的守护进程,拒绝其他所有客户端。

所以,hosts.deny 可以使用以下规则拒绝所有客户端访问所有守护进程:

ALL:ALL

本节的其他示例都是只与 hosts.allow 文件有关。为了能让所有守护进程从本地主机(即,与域名不相关的主机)访问,可以使用:

ALL:LOCAL : allow

就我个人而言,我不喜欢使用在任何主机上匹配的 LOCAL 模式,因为网络中所有主机应该属于您的或是某个域。如果原来不是,那么应该是的。尽管如此,在一些小型网络的情况下,却不是这样,LOCAL 允许这些主机访问。

我们假设仅仅允许属于 mydomain.com 域的主机使用 telnet 或 ssh。以下的 hosts.allow 条目能完成此任务:

telnetd,sshd:.mydomain.com :allow

请注意本例中 mydomain.com 之前的点号(“.”)。这是个通配符,表示所有主机以 mydomain.com 结尾。我们还在规则结尾指定这是一条允许规则。尽管这不是严格限制,但如前所述,这样做是一种好的做法。

现在进一步假设我们允许使用以下 IP 地址远程登录 ssh 和 telnet:192.168.4.10 和所有以 192.168.6 开头的 IP 地址。请再次注意,在部分 IP 地址后使用点号;这相当于 192.168.6.*.,或者更精确一点,以 192.168.6 开头的所有 IP 地址。另一种看待 192.168.6. 范围内 IP 地址的方法是等于 192.168.6/24 或所有 192.168.6.1 与 192.168.6.254 之间的 IP 地址。

另外,我们还想允许使用 telnet 和 ssh 访问以下域:mydomain.com 和 mydomain2.com 域。以下命令能完成此任务:

telnetd,sshd:.mydomain.com, .mydomain2.com :allow
telnetd,sshd:192.168.4.10 , 192.168.6.: allow

现在,我们假设允许从 mydomain.com 域中的所有主机上进行 ftp 访问,除了 mydomain.com 中的两个主机:uktrip1 和 uktrip2 。通过使用允许规则,我们可以利用 except 选项提供两个列表,让 “except” 左侧的主机允许访问,“except” 右侧列表中包含的主机拒绝访问。

telnetd,sshd:.mydomain.com :allow
telnetd,sshd:192.168.4.10 , 192.168.6.: allow
ftpd:.mydomain.com except uktrip1.mydomain.com, uktrip2.mydomain.com : allow

我们现在看看拒绝规则。要拒绝 192.168.8. 和 192.168.9. 的 telnet 访问,但允许 192.168.6. 的 telnet 访问,我可以使用:

telnetd :192.168.8., 192.168.9.: deny
telnetd :192.168.6.: allow

前一个示例也可以用 except 选项来改写:

telnetd:192.168.6. except 192.168.8., 192.168.9.: allow

Wrappers 会将消息记录到 /var/adm/messages 文件中。消息文件中一个典型的名为 tardis 的被拒绝 telnent 连接会像这样:

Oct 23 15:50:55 rs6000 auth|security|warning telnetd[270546]: refused connect from
 tardis

一个典型的名为 tardis 的失败的 ssh 连接像这样:

Oct 23 15:53:36 rs6000 auth|security:info sshd[262252]: refused connect from tardis

如果打开 PARANOID,那么 wrappers 会通知您所有无法解析的主机与 IP 不匹配情况:

error ftpd[2605110]: warning:/etc/hosts.allow, line 2: host name/address mismatch: 
192.168.7.12 != uktrn004.mydomain.com

有时候能看到哪些主机 DNS 条目不正确也是好事,这样可以被负责 DNS 维护的人员纠正过来。在公司内部网络尤其如此。与拒绝不匹配主机/IP 不同的是,只允许域用户进入(假设这是在安全的公司网络中)。在以下示例中,所有属于 mydomain.com 域的用户都允许访问,请注意对所有守护进程都使用了 ALL:

ALL:PARANOID, mydomain:allow

四、实例

1.限制所有的ssh

除非从218.64.87.0——127上来。

hosts.deny:

sshd:ALL

hosts.allow:

sshd:218.64.87.0/255.255.255.128

2.封掉218.64.87.0——127的telnet

hosts.deny

sshd:218.64.87.0/255.255.255.128

3.限制所有人的TCP连接,除非从218.64.87.0——127访问

hosts.deny

ALL:ALL

hosts.allow

ALL:218.64.87.0/255.255.255.128

4.限制218.64.87.0——127对所有服务的访问

hosts.deny

ALL:218.64.87.0/255.255.255.128

参考:

https://www.cnblogs.com/lsdb/p/8044404.html(以上内容部分转自此篇文章)

https://www.ibm.com/developerworks/cn/aix/library/au-tcpwrapper/(以上内容部分转自此篇文章)

https://www.lifewire.com/hostsallow-linux-command-4094314

https://www.cnblogs.com/jydeng/archive/2013/04/03/4418478.html

http://tubaluer.iteye.com/blog/1349785

http://bbs.51cto.com/thread-923533-1.html

http://blog.csdn.net/atec2000/article/details/12774641

http://blog.csdn.net/yangjiehuan/article/details/9253855

http://blog.51cto.com/jschu/1694549

http://www.360doc.com/content/15/1218/08/15947598_521216288.shtml

免责声明:文章转载自《使用hosts.allow和hosts.deny实现简单的防火墙》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇Unity依赖注入使用详解R语言入门:因子的使用下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

关于Linux上的SSH服务无法启动,提示“/var/empty/sshd must be owned by root and not group or world-writable”错误

首先通过物理终端进入到linux上,手工检查ssh发现没运行# /etc/init.d/sshd statussshd is stopped 手动启动服务,发现报告权限错误。# /etc/init.d/sshd start Starting sshd:/var/empty/sshd must be owned by root and not group o...

数据库SQL SERVER 2008R2 远程连接配置说明

SQL SERVER 2008 R2如何开启数据库的远程连接 环境要求: 首先准备好一台安装好SQL SERVER2008 R2的服务器。(仅适用于SQL SERVER2008 R2版本) 数据库远程建立步骤: 第一部分:在安装SQL Server 2008 R2的计算机上,点击开始 1选择程序中的“Microsoft SQL Server 2008 R2...

openwrt防火墙firewall

知识链接:linux平台下防火墙iptables原理 一、 OpenWrt 内置防火墙介绍   Openwrt 是一个 GNU/Linux 的发行版, 和其他大多数的发行版一样,Openwrt 的防火墙同样也是基于 iptables。 在 OpenWRT 下防火墙的默认行为已经可以满足路由器的需要,一般情况下也无需修改。OpenWrt 关于 NAT、 DM...

Ansible入门系列--playbook

一、playbook基础 1、playbook是由一个或多个"play"组成的列表 2、play的主要功能在于将预定义的一组主机,装扮成事先通过ansible中的task定义好的角色。Task实际是调用ansible的一个module,将多个play组织在一个playbook中,即可以让它们联合起来,按事先编排的机制执行预定义的动作 3、Playbook采...

sshd服务防止暴力破解

防止暴力破解的方法有三种: 方法一、 配置安全的sshd服务 1: 密码足够的复杂,密码的长度要大于8位最好大于20位。密码的复杂度是密码要尽可能有数字、大小写字母和特殊符号混合组成 2:修改默认端口号 3 :不允许root账号直接登陆,添加普通账号,授予root的权限 互动:是否可以禁止root身份登录? 不行,因为有些程序需要使用root身份...

nginx安装以及自启动脚本

前提条件:centos7,网络已经配置好 1、安装nginx1.1、安装依赖库 yum install gcc-c++ yum install -y pcre-devel yum install -y zlib zlib-devel yum install -y openssl openssl-devel 1.2、将从官网上下载下来的nginx-1.1...