日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
如何保障企業(yè)系統(tǒng)服務(wù)安全

目前企業(yè)開(kāi)源系統(tǒng)的運(yùn)行保障是業(yè)界關(guān)注的熱點(diǎn),如何保證開(kāi)源系統(tǒng)高效、可靠的運(yùn)行是非常重要的技術(shù)問(wèn)題。本文將詳細(xì)介紹如何使用TCP wrappers來(lái)保障企業(yè)系統(tǒng)服務(wù)安全。

創(chuàng)新互聯(lián)建站專(zhuān)業(yè)為企業(yè)提供巴彥淖爾網(wǎng)站建設(shè)、巴彥淖爾做網(wǎng)站、巴彥淖爾網(wǎng)站設(shè)計(jì)、巴彥淖爾網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、巴彥淖爾企業(yè)網(wǎng)站模板建站服務(wù),10年巴彥淖爾做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

使用TCP Wrappers進(jìn)行保障

1、主要功能

TCP wrappers作為客戶(hù)端/服務(wù)器模型的一部分,以/etc/hosts.allow和/etc/hosts.deny文件作為其簡(jiǎn)單訪問(wèn)控制列表(ACL)的基礎(chǔ),可用于與libwrap掛鉤的任何守護(hù)進(jìn)程。此訪問(wèn)控制語(yǔ)言定義的規(guī)則為:基于客戶(hù)端的地址和客戶(hù)端嘗試訪問(wèn)的守護(hù)進(jìn)程,選擇性地允許客戶(hù)端訪問(wèn)服務(wù)器守護(hù)程序。ldd的輸出顯示sshd依賴(lài)的共享庫(kù)之一是libwrap:

$ ldd /usr/sbin/sshd | grep libwrap

libwrap.so.0 => /lib/libwrap.so.0 (0×00e7c000)

2、使用hosts.allow和hosts.deny

hosts.allow和hosts.deny文件中的每一行的格式如下:

daemon_list : client_list [: command]

其中daemon_list是一個(gè)以逗號(hào)分隔的一個(gè)或多個(gè)服務(wù)器守護(hù)進(jìn)程(如rpcbind、vsftpd、sshd)的列表,client_list是一個(gè)以逗號(hào)分隔的一個(gè)或多個(gè)客戶(hù)端的列表,可選的command是當(dāng)client_list中的一個(gè)客戶(hù)端試圖訪問(wèn)daemon_lis t中的一個(gè)服務(wù)器守護(hù)進(jìn)程時(shí),要執(zhí)行的命令。

當(dāng)客戶(hù)端請(qǐng)求連接到服務(wù)器時(shí),按照下面的順序查閱服務(wù)器系統(tǒng)上的hosts.allow和hosts.deny文件,直到找到一個(gè)匹配項(xiàng):

如果守護(hù)進(jìn)程/客戶(hù)端對(duì)匹配hosts.allow中的一行,授予訪問(wèn)權(quán)限。

如果守護(hù)進(jìn)程/客戶(hù)端對(duì)匹配hosts. deny中的一行,訪問(wèn)被拒絕。

如果在hosts.allow或hosts.deny中都沒(méi)有匹配項(xiàng),授予訪問(wèn)權(quán)限。

第一個(gè)匹配決定是否允許客戶(hù)端訪問(wèn)服務(wù)器。當(dāng)hosts.allow或hosts.deny中都不存在時(shí),該文件好像是空的。通過(guò)刪除這兩個(gè)文件,可以允許所有客戶(hù)端訪問(wèn)所有守護(hù)進(jìn)程,但不建議這樣做。

要開(kāi)放一個(gè)本地系統(tǒng)以從遠(yuǎn)程系統(tǒng)訪問(wèn)時(shí),請(qǐng)遵循這些準(zhǔn)則:

只對(duì)你要允許訪問(wèn)它的系統(tǒng)開(kāi)放本地系統(tǒng)。

只允許每個(gè)遠(yuǎn)程系統(tǒng)訪問(wèn)你要它訪問(wèn)的數(shù)據(jù)。

只允許每個(gè)遠(yuǎn)程系統(tǒng)以適當(dāng)?shù)姆绞?只讀、讀/寫(xiě)、只寫(xiě))訪問(wèn)數(shù)據(jù)。

3、具體例子

為了一個(gè)更安全的系統(tǒng),把以下行放入hosts.deny中以阻止所有訪問(wèn):

$ cat /etc/hosts.deny

...

ALL : ALL : echo '%c tried to connect to %d and was blocked' >> /var/log/tcpwrappers.log

此行可以防止任何客戶(hù)端連接到任何服務(wù),除非在hosts.allow中專(zhuān)門(mén)允許的連接。當(dāng)匹配這條規(guī)則時(shí),它向/var/log/tcpwrappers.log文件中添加一行。%c擴(kuò)展到客戶(hù)端信息,以及%d擴(kuò)展到客戶(hù)端試圖連接的守護(hù)進(jìn)程名稱(chēng)。

也可以在hosts.allow中包括行,以明確允許訪問(wèn)某些服務(wù)和系統(tǒng)。例如,下面的hosts.allow文件允許任何客戶(hù)端連接到OpenSSH守護(hù)進(jìn)程(ssh、scp、sftp),但只允許來(lái)自本地系統(tǒng)網(wǎng)絡(luò)和192.168. 子網(wǎng)用戶(hù)的telnet連接:

$ cat /etc/hosts.allow

sshd: ALL

in.telnet: LOCAL

in.telnet: 192.168.* 127.0.0.1

...

第一行允許從任何系統(tǒng)(ALL)連接到sshd。第二行允許與該服務(wù)器(LOCAL)在同一個(gè)域的任何系統(tǒng)的連接。第三行匹配其IP地址始自192.168.的任何系統(tǒng)以及本地系統(tǒng)。


網(wǎng)站欄目:如何保障企業(yè)系統(tǒng)服務(wù)安全
瀏覽路徑:http://www.5511xx.com/article/cdshhsg.html