適用範圍:
1.由 super daemon (xinetd) 所管理的服務
2.僅適用 TCP daemon(有少數例外的狀況)
3.有支援libwrap.so模組的服務,可以用ldd指令來確認
ldd 判斷某個可執行的 binary 檔案含有什麼動態函式庫
-v :列出所有內容資訊;
-d :重新將資料有遺失的 link 點秀出來!
-r :將 ELF 有關的錯誤內容秀出來!
使用ldd查詢運行的服務是否有包含libwrap 函式庫,有包含的服務才能使用TCP Wrappers做控管,以下以sshd與postfix來做查詢:
$ ldd /usr/sbin/sshd |grep libwrap
libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x00007f46028e5000)
sshd有查詢到使用libwrap 函式庫!
$ldd /usr/sbin/postfix |grep libwrap/etc/hosts.allow
postfix沒有查詢到使用libwrap 函式庫
因此TCP Wrappers只可以控管sshd,而無法控管postfix!
TCP Wrappers透過/etc/hosts.allow與/etc/hosts.deny兩個檔案來管理服務,順序如下:
1.先比對/etc/hosts.allow,若符合檔案內的設定規則就放行
2.若/etc/hosts.allow比對完後沒有符合的規則設定,再比對/etc/hosts.deny,若符合規則就阻擋
3.若依序比對完兩個檔案後都沒有符合的規則,最後還是放行!
/etc/hosts.allow與/etc/hosts.deny的檔案格式
<服務 (程式名稱)> : <來源IP 或領域 或主機名稱> : 允許 (allow) 或拒絕 (deny)
內容分成三個小區段來看,分別是「服務 (程式名稱)、來源IP 或領域 或主機名稱、連線回應為允許 (allow) 或拒絕 (deny)」。區段間使用冒號(:)分隔。第三區段若省略,在hosts.allow內則為allow,在hosts.deny檔案內則為deny!另外在IP的遮罩部分,在ipv4的部分只支援255.255.255.0這樣的格式,不支援/24這類CIDR的表示方法!在ipv6則不在此限!
前二個區段中支援相關參數,但若使用 KNOWN、UNKNOWN、PARANOID 時,此三個參數是靠DNS名稱解析服務,因此須要注意主機的DNS名稱解析是否運作正常?
參數如下:
ALL: 表示 「全部 」,用於第一區段表示全部服務,用於第二區段(連線來源)表示全部來源。
LOCAL: 表示「本機」,也就是不含點 (.) 的主機名稱如localhost。
KNOWN: 表示「可解析主機」。
UNKNOWN: 表示「無法解析主機」。
PARANOID: 表示「正反解析必須一致」。
EXCEPT:「排除」的意思,例如允許 192.168.11.0 這個網段的所有主機,但排除 192.168.11.11 這個 IP 位址。
例如,在hosts.allow內設定允許192.168.11.0/255.255.255.0的網段但除了192.168.11.254這組ip連接sshd服務,其他的來源全部拒絕!這樣的設定可以只設定hosts.allow一個檔案,不需要再設定hosts.deny!
sshd: 192.168.11.0/255.255.255.0 EXCEPT 192.168.11.254 : allow
sshd: ALL : deny
