服務監聽的兩種方式:
listen : socket 監聽在套接字上提供服務
迴圈 不停歇的檢視某個埠來提供服務
1.通過查詢庫檔案看是否有libwrap
ldd `which command`
2.檢視是否連線到/etc/hosts.allow|deny
strings `which command` # 檢視靜態鏈結庫
如果有/etc/hosts.allow
/etc/hosts.deny 就說明這個命令靜態鏈結了tcpwrraper
tcpwrraper自身工作在核心,卻可以通過這兩個檔案來提供訪問控制
請求服務 --->/etc/hosts.allow ---> 如有有就放行
↓ 沒有
/etc/hosts.deny ----> 如果沒有就放行
如果有明確的匹配條目拒絕
/etc/hosts.allow|deny檔案格式:damon_list: client_list [:option]
匹配服務列表:damon_list
vsftpd: 192.168.0.
vsftpd,sshd,in.telnetd:
all
daemon@host
#可以簡寫192.168.0 代表192.168.0.0網段
#可以一次指定多個服務
#可以使用萬用字元all來指定所有的服務
#@只對某個主機來控制
匹配客戶端列表clent_listip
network address
network/mask: mask不能使用長度格式 ,只能是有完全ip的格式
172.16.0.0--->172.16. 也可以簡寫網段
hostname
fqdn
.a.rog 表示a.org域內的所有主機
option 選項
spawn #可以通過spawn來實現日誌定義
spawn echo ""
#下面定義乙個條件,只要使用者通過telnet登入就記錄到乙個日誌
vim /etc/hosts.deny
in.telnetd:all except 172.16.0.1: spawnecho "login attemp(`date`) %u from %a attemp to login %a, the deamon is%d." >> /var/log/telnet.log
##注意不能在echo後面用: 分號在這裡有特殊意義。
##可以通過man 5 hosts_access 來檢視上述%的含義
常用的巨集定義 macro
all #代表所有主機,或者所有服務
local #表示本地主機,非fqdn主機
known #表示可以被解析的主機
unknown #反向可以被解析的主機
paranoid #正反向解析不匹配的主機
except #排除某個主機或某個網路
怎麼來控制vsftpd的訪問
1. which vsftpd # 確定檔案路徑
2. vim /etc/hosts.deny # 改檔案立即生效
vsftpd: 172.16.100.100
#假設僅允許172.16網段訪問
vim /etc/hosts.allow
vsftpd: 171.16 # 只允許172.16.0.0/16網段
vim /etc/hosts.deny
all: all # 拒絕其他的使用者登陸
控制ssh ,只允許192.168.0.32網段登陸,並且不允許192.168.0.32登陸
vim /etc/hosts.deny
all:all
vim /etc/hosts.allow
sshd: 192.168.0 except 192.168.0.32
將/etc/hosts.deny 裡面的all: all去掉就可以恢復登陸
linux小白學習之路 Tcp wrappers
配置檔案 檔案理解意義 etc hosts.allow 可以理解為 的白名單,只要在名單上的都可以通過 etc hosts.deny 可以理解為 的黑名單,只要在名單上的都拒絕服務 2.2 配置規則說明 語法規則 daemon list client list shell command daemo...
Linux網路服務 基礎 TCP Wrappers
檢視對應服務命令所在位置 which sshd檢視指定命令執行時是否呼叫libwrap.so檔案 lld usr sbin sshd grep libwrap.so 如果存在,則可以控制,否則則不可以 以ssh為例,每當有ssh的連線請求時,先讀取系統管理員所設定的訪問控制檔案,符合要求,則會把這次...
Linux中許可權
當你在linux下用命令ll 或者ls la的時候會看到這些字眼,這些字眼表示為不同使用者組的許可權 r read就是讀許可權 數字4表示 w write就是寫許可權 數字2表示 x excute就是執行許可權 數字1表示 讀 寫 執行三項許可權可以用數字表示,就是r 4,w 2,x 1。所以,rw...