亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: TCP TCP Wrappers 在OSR5和UW7下的使用 [打印本頁(yè)]
作者: answer    時(shí)間: 2007-05-25 13:21
標(biāo)題: TCP TCP Wrappers 在OSR5和UW7下的使用
文檔是前幾天就寫好了的,是寫給用戶的
周五銷售才給用戶,所以前幾天沒發(fā)上了
這個(gè)配置對(duì)很多兄弟們還時(shí)有用的

Configuring TCP Wrappers on UnixWare 7 and OpenServer 5



1.        Tcp Wapper基礎(chǔ)知識(shí)介紹
Tcp_Wapper是在 Solaris, HP_UX,SCO UNIX以及 Linux中廣泛流行的免費(fèi)軟件。它被設(shè)計(jì)為一個(gè)介于外來服務(wù)請(qǐng)求和系統(tǒng)服務(wù)回應(yīng)的中間處理軟件。最常見的用法是與inetd一起使用。當(dāng)Inetd接收到一個(gè)外來服務(wù)請(qǐng)求的時(shí)候,并不是直接調(diào)用,而是調(diào)用TCP Wrapper(可執(zhí)行文件tcpd),TCP Wrapper根據(jù)這個(gè)所請(qǐng)求的服務(wù)和針對(duì)這個(gè)服務(wù)所定制的存取控制規(guī)則來判斷對(duì)方是否有使用這個(gè)服務(wù)的權(quán)限,如果有,TCP Wrapper將該請(qǐng)求按照配置文件定義的規(guī)則轉(zhuǎn)交給相應(yīng)的守護(hù)進(jìn)程去處理同時(shí)記錄這個(gè)請(qǐng)求動(dòng)作,然后自己就等待下一個(gè)請(qǐng)求的處理。
  TCP Wrapper機(jī)制的主要目的在于,來自客戶端的請(qǐng)求只被允許同一個(gè)獨(dú)立的守護(hù)進(jìn)程(xinetd)直接通信,而它請(qǐng)求的目標(biāo)服務(wù)被TCP Wrapper包裹起來,這樣就提高了系統(tǒng)的安全性和系統(tǒng)管理的方便性。Tcp wrapper隨著應(yīng)用逐漸成為一種標(biāo)準(zhǔn)的Unix安全工具,成為unix守護(hù)程序inetd的一個(gè)插件。通過Tcp wrapper,管理員可以設(shè)置對(duì)inetd提供的各種服務(wù)進(jìn)行監(jiān)控和過濾,以保證系統(tǒng)的安全性。



2.        Installing TCP Wrappers
UnixWare7.1.1后的版本TCP Wrappers已經(jīng)集成到系統(tǒng)中,不需要單獨(dú)安裝,配置即可.
TCP Wrappers on OpenServer 5 systems
a.  獲取 TCP Wrapper package for OpenServer 5 systems from:

        http://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz        

b.       因?yàn)镺SR5下的TCP Wrappers是原程序代碼.故OSR5 系統(tǒng)必須安裝開發(fā)環(huán)境才能完成編譯,安裝步驟不做具體描述了.

c.        拷貝原文件到本地路經(jīng).解壓縮
#gunzip tcp_wrappers_7.6.tar.gz
#tar xvf tcp_wrappers_7.6.tar
編譯源程序
make REAL_DAEMON_DIR=/etc sco-os5

d.        拷貝生成命令到系統(tǒng)/etc目錄
#cp tcpd /etc/tcpd   tcpd是所有internet服務(wù)的主要訪問控制守護(hù)進(jìn)程
#cp tcpdchk /etc/tcpdchk   一個(gè)檢查 tcpd wrapper 設(shè)置和提供錯(cuò)誤信息
#cp tcpdmatch /etc/tcpdmatch   用來預(yù)知 tcp wrapper 如何控制一個(gè)服務(wù)的特殊請(qǐng)求
注意:還有其它命令可用,這里不一一列舉.具體可上網(wǎng)查詢.



3.       Configuring TCP Wrappers
(1) On the OpenServer 5 system
   a. 配置inetd網(wǎng)絡(luò)守護(hù)進(jìn)程
     inetd.conf是inetd守護(hù)進(jìn)程的配置文件。inetd.conf文件告訴inetd守護(hù)進(jìn)程監(jiān)聽哪些網(wǎng)絡(luò)端口,為每個(gè)端口啟動(dòng)哪個(gè)服務(wù)。如果我們要想將telnet、ftp 交由tcpd管控,需要修改/etc/inetd.conf。
     would be changed to:
     #ftp    stream  tcp     nowait  root    /etc/ftpd       ftpd –a     (修改前)
      ftp    stream  tcp     nowait  root    /etc/tcpd       ftpd –a      (修改后)
      #telnet  stream  tcp     nowait  NOLUID  /etc/telnetd    telnetd     (修改前)
      telnet  stream  tcp     nowait  NOLUID  /etc/tcpd       telnetd     (修改后)
   修改后重新啟動(dòng)網(wǎng)絡(luò)守護(hù)進(jìn)程。
       kill -HUP $(cat /etc/inetd.pid)
  b.  配置訪問控制
    /etc/hosts.allow    定義計(jì)算機(jī)允許的訪問
     /etc/hosts.deny     定義指定應(yīng)該拒絕的連接
注意:如果某個(gè)系統(tǒng)同時(shí)出現(xiàn)在兩個(gè)文件里,hosts.allow是優(yōu)先的。另外,如果運(yùn)行最嚴(yán)格的TCP Wrappers安全,用戶可以在/etc/hosts.deny文件力包含一行“ALL:ALL”,它會(huì)禁止所有由TCP Wrappers處理的輸入訪問。然后用戶就可以在/etc/hosts.allow里為特定客戶程序打開服務(wù)程序的端口。
/etc/hosts.allow和/etc/hosts.deny的格式是完全一樣的,當(dāng)然同樣的項(xiàng)目在兩個(gè)文件中具有相反的作用。這些項(xiàng)目的基本格式是:
Service-names :client-list [:shell-command]
我們這里只測(cè)試管理telnetd和ftpd兩個(gè)服務(wù)進(jìn)程,請(qǐng)看如下兩個(gè)文件:
  # vi /etc/hosts.allow
  telnetd:202.96.1.140 202.96.5.129:allow
  ftpd:202.96.5. EXCEPT 202.96.5.140 202.96.5.129:allow
注:telnetd行告訴TCP wrappers接受來自于202.96.5.140和202.96.5.129機(jī)器的telnet連接.
     ftpd行告訴TCP wrappers接受來自于202.96.5網(wǎng)段中除202.96.5.140和202.96.5.129之外的所有計(jì)算機(jī)的FTP連接.
  #vi /etc/hosts.deny
  telnetd:all:deny
  ftpd:all:deny
注:禁止所有telnet、ftp未經(jīng)TCP Wrappers處理的訪問
(2)  On the UnixWare7 system
   a. UW7系統(tǒng)已經(jīng)配置好了TCP Wrappers,我們不需要在配置/etc/inet/inetd.conf.
    b. 配置訪問控制
       /etc/inet/hosts.allow    定義計(jì)算機(jī)允許的訪問
       /etc/inet/hosts.deny     定義指定應(yīng)該拒絕的連接
     文件格式與OSR5相同
     Service-names :client-list [:shell-command]
     我們這里只測(cè)試管理telnetd和ftpd兩個(gè)服務(wù)進(jìn)程,請(qǐng)看如下兩個(gè)文件:
       #vi /etc/inet/hosts.allow
        in.telnetd:202.96.5.140 202.96.5.129.allow
        in.ftpd: 202.96.5. EXCEPT 202.96.5.140 202.96.5.129:allow
       #vi /etc/inet/hosts.deny
        in.telnetd:all:deny
        in.ftpd:all:deny
      注:寫法內(nèi)容同OpenServer 5.


4.        Testing TCP Wrapper configurations
  a. On the OpenServer 5 system
   # /etc/tcpdchk -v

Using network configuration file: /etc/inetd.conf

>>> Rule /etc/hosts.allow line 1:

daemons:  telnetd

clients:  202.96.5.140 202.96.5.129

command: allow

access:   granted



>>> Rule /etc/hosts.allow line 2:

daemons:  ftpd

clients:  202.96.5. EXCEPT 202.96.5.140 202.96.5.129

command: allow

access:   granted



>>> Rule /etc/hosts.deny line 1:

daemons:  telnetd

clients:  all

command: deny

access:   denied



>>> Rule /etc/hosts.deny line 2:

daemons:  ftpd

clients:  all

command: deny

access:   denied

# /etc/tcpdmatch telnetd 202.96.5.140

client:   address  202.96.5.140

server:   process  telnetd

matched:  /etc/hosts.allow line 1

command: allow

access:   granted

# /etc/tcpdmatch ftpd 202.96.5.129

client:   address  202.96.5.129

server:   process  ftpd

matched:  /etc/hosts.deny line 2

command: deny

access:   denied   
  
     b. On the UnixWare 7 system
       # /usr/sbin/tcpdchk -v

Using network configuration file: /etc/inet/inetd.conf



>>> Rule /etc/inet/hosts.allow line 46:

daemons:  in.telnetd

clients:  202.96.5.140 202.96.5.129

option:   allow

access:   granted



>>> Rule /etc/inet/hosts.allow line 47:

daemons:  in.ftpd

clients:  202.96.5. EXCEPT 202.96.5.140 202.96.5.129

option:   allow

access:   granted



>>> Rule /etc/inet/hosts.deny line 46:

daemons:  in.telnetd

clients:  all

option:   deny

access:   denied



>>> Rule /etc/inet/hosts.deny line 47:

daemons:  in.ftpd

clients:  all

option:   deny

access:   denied

# /usr/sbin/tcpdmatch in.telnetd 202.96.5.140

client:   address  202.96.5.140

server:   process  in.telnetd

matched:  /etc/inet/hosts.allow line 46

option:   allow

access:   granted



# /usr/sbin/tcpdmatch in.ftpd 202.96.5.129

client:   address  202.96.5.129

server:   process  in.ftpd

matched:  /etc/inet/hosts.deny line 47

option:   deny

access:   denied
         

5.     上面介紹只是TCP Wrapper一些簡(jiǎn)單功能,它還提供有許多其它特性。
如果想有更強(qiáng)大的功能可參考TCP Wrappers官方網(wǎng)站。
http://www.cert.org/advisories/CA-1999-01.html


6.    已測(cè)試通過的系統(tǒng)

      Openserver 5.0.6   5.0.7

      UnixWare 7.1.1    7.1.4
作者: answer    時(shí)間: 2007-05-25 13:32
在OpenServer 6.0 下我也測(cè)試了
TCPWrappers也已經(jīng)集成到系統(tǒng)中,直接配置就OK
不過需要先去修改/etc/inetd.conf
讓/etc/tcpd來監(jiān)控各網(wǎng)絡(luò)服務(wù)
#ftp     stream   tcp    nowait     root    /etc/ftpd          ftpd -a   (屏蔽這行)
ftp      stream    tcp    nowait     root   /etc/tcpd       ftpd -a     (用這行)
其它服務(wù)一樣。照著做就OK
/etc/hosts.allow
/etc/hosts.deny
兩個(gè)文件位置也沒變,具體寫法參考上邊的文檔吧
作者: 340151170    時(shí)間: 2007-11-13 11:47
標(biāo)題: 102531
請(qǐng)各位unix愛好者加群號(hào)102531,強(qiáng)烈歡迎ChinaUnix各位樓主、精華區(qū)牛人的加入!
作者: 340151170    時(shí)間: 2007-11-13 11:47
標(biāo)題: 102531
支持樓主,請(qǐng)各位unix愛好者加群號(hào)102531,強(qiáng)烈歡迎ChinaUnix各位樓主、精華區(qū)牛人的加入!



歡迎光臨 Chinaunix (http://www.72891.cn/) Powered by Discuz! X3.2