這篇文章將為大家詳細(xì)講解有關(guān)怎么在Linux下使用TCP封裝器來加強網(wǎng)絡(luò)服務(wù)安全，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

公司主營業(yè)務(wù)：成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。成都創(chuàng)新互聯(lián)公司是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)公司推出榮成免費做網(wǎng)站回饋大家。

在開始之前，我們必須澄清 TCP 封裝器并不能消除對于正確配置防火墻的需要。

就這一點而言，你可以把這個工具看作是一個基于主機的訪問控制列表，而且并不能作為你的系統(tǒng)的***安全措施。通過使用一個防火墻和 TCP  封裝器，而不是只偏愛其中的一個，你將會確保你的服務(wù)不會被出現(xiàn)單點故障。

正確理解 hosts.allow 和 hosts.deny 文件

當(dāng)一個網(wǎng)絡(luò)請求到達(dá)你的主機的時候，TCP 封裝器會使用 hosts.allow 和 hosts.deny  (按照這樣的順序)來決定客戶端是否應(yīng)該被允許使用一個提供的服務(wù)。.

在默認(rèn)情況下，這些文件內(nèi)容是空的，或者被注釋掉，或者根本不存在。所以，任何請求都會被允許通過 TCP  過濾器而且你的系統(tǒng)被置于依靠防火墻來提供所有的保護(hù)。因為這并不是我們想要的。由于在一開始我們就介紹過的原因，清確保下面兩個文件都存在：

# ls -l /etc/hosts.allow /etc/hosts.deny

兩個文件的編寫語法規(guī)則是一樣的：

<services> : <clients> [: <option1> : <option2> : ...]

在文件中，

1. services 指當(dāng)前規(guī)則對應(yīng)的服務(wù)，是一個逗號分割的列表。

2. clients 指被規(guī)則影響的主機名或者 IP 地址，逗號分割的。下面的通配符也可以接受：

1).ALL 表示所有事物，應(yīng)用于clients和services。

2).LOCAL 表示匹配在正式域名中沒有完全限定主機名(FQDN)的機器，例如 localhost。

3).KNOWN 表示主機名，主機地址，或者用戶是已知的(即可以通過 DNS 或其它服務(wù)解析到)。

4).UNKNOWN 和 KNOWN 相反。

5).PARANOID 如果進(jìn)行反向 DNS 查找彼此返回了不同的地址，那么連接就會被斷開(首先根據(jù) IP 去解析主機名，然后根據(jù)主機名去獲得 IP  地址)。

3. ***，一個冒號分割的動作列表表示了當(dāng)一個規(guī)則被觸發(fā)的時候會采取什么操作。

你應(yīng)該記住 /etc/hosts.allow 文件中允許一個服務(wù)接入的規(guī)則要優(yōu)先于 /etc/hosts.deny  中的規(guī)則。另外還有，如果兩個規(guī)則應(yīng)用于同一個服務(wù)，只有***個規(guī)則會被納入考慮。

不幸的是，不是所有的網(wǎng)絡(luò)服務(wù)都支持 TCP 過濾器，為了查看一個給定的服務(wù)是否支持他們，可以執(zhí)行以下命令：

# ldd /path/to/binary | grep libwrap

如果以上命令執(zhí)行以后得到了以下結(jié)果，那么它就可以支持 TCP 過濾器，sshd 和 vsftpd 作為例子，輸出如下所示。

查找 TCP 過濾器支持的服務(wù)

如何使用 TCP 過濾器來限制服務(wù)的權(quán)限

當(dāng)你編輯 /etc/hosts.allow 和 /etc/hosts.deny 的時候，確保你在***一個非空行后面通過回車鍵來添加一個新的行。

為了使得 SSH 和 FTP 服務(wù)只允許 localhost 和 192.168.0.102 并且拒絕所有其他用戶，在 /etc/hosts.deny  添加如下內(nèi)容：

sshd,vsftpd : ALL ALL : ALL

而且在 /etc/hosts.allow 文件中添加如下內(nèi)容：

sshd,vsftpd : 192.168.0.102,LOCAL

這些更改會立刻生效并且不需要重新啟動。

在下圖中你會看到，在***一行中刪掉 LOCAL 后，F(xiàn)TP 服務(wù)器會對于 localhost 不可用。在我們添加了通配符以后，服務(wù)又變得可用了。

確認(rèn) FTP 權(quán)限

為了允許所有服務(wù)對于主機名中含有 example.com 都可用，在 hosts.allow 中添加如下一行：

ALL : .example.com

而為了禁止 10.0.1.0/24 的機器訪問 vsftpd 服務(wù)，在 hosts.deny 文件中添加如下一行：

vsftpd : 10.0.1.

在***的兩個例子中，注意到客戶端列表每行開頭和結(jié)尾的點。這是用來表示 “所有名字或者 IP 中含有那個字符串的主機或客戶端”

關(guān)于“怎么在Linux下使用TCP封裝器來加強網(wǎng)絡(luò)服務(wù)安全”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，使各位可以學(xué)到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。

當(dāng)前文章：怎么在Linux下使用TCP封裝器來加強網(wǎng)絡(luò)服務(wù)安全
標(biāo)題路徑：http://chinadenli.net/article4/ipchie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計公司、關(guān)鍵詞優(yōu)化、外貿(mào)建站、網(wǎng)站策劃、微信公眾號

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)