使用TCP wrapper增强系统安全

目录

  tcp wrapper 实现的功能,简单的说就是禁止或者允许那些ip访问某个端口,看起来iptables也能实现这样的功能,但是用tcp wrapper似乎更简单
一点。

什么服务可以使用TCP Wrapper

ldd `which command` |grep libwrap 如果有结果那么这个 command 就可以用tcp wrapper

处理请求的流程

         请求
         ↓              
         服务   --->/etc/hosts.allow     --->     如有有就放行
                                       ↓         没有
                     /etc/hosts.deny     ---->    如果没有就放行     
                                       ↓                    
                                       如果有明确的匹配条目拒绝

使用前

  我们在使用tcp wrapper前先扫描一下我们的服务器的22端口看一下是什么样的结果。
jimila@CDYJY-JINGML:doc$ nmap -A 192.168.56.101

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-30 18:01 CST
Nmap scan report for 192.168.56.101
Host is up (0.0019s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.3 (protocol 2.0)
| ssh-hostkey: 1024 22:a5:47:2d:84:ff:42:42:cc:b5:84:39:09:04:bc:0c (DSA)
|_2048 b6:7f:0e:f9:41:41:22:09:cc:8c:1a:ff:85:72:66:fb (RSA)

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 0.37 seconds

可以看到我们的22端口使用的ssh服务。
我们用ssh root@192.168.56.101 可以正常连接

使用后

 配置一下/etc/hosts.deny文件,加入一行 ALL:ALL 禁止所有的连接
 我们依然用nmap进行扫描一下
jimila@CDYJY-JINGML:doc$ nmap -A 192.168.56.101

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-30 18:05 CST
Nmap scan report for 192.168.56.101
Host is up (0.0062s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE    VERSION
22/tcp open  tcpwrapped

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 35.41 seconds

从上面的扫描结果可以看出我们的22端口已经被 tcp wrapper保护起来了。

目录