快速业务通道

Linux下常用安全策略设置方法

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-04-06
还有iptables,linux默认都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意攻击,保护整个系统正常运行,免遭攻击和破坏.关于iptables的实现,将在下个章节详细讲述.如果通过了第一层防护,那么下一层防护就是tcp_wrappers了,通过Tcp_Wrappers可以实现对系统中提供的某些服务的开放与关闭、允许和禁止,从而更有效地保证系统安全运行. 拥有帝国一切,皆有可能。欢迎访问phome.net
Tcp_Wrappers的使用很简单,仅仅两个配置文件:/etc/hosts.allow和/etc/hosts.deny
(1) 查看系统是否安装了Tcp_Wrappers
[root@localhost ~]#rpm -q tcp_wrappers 或者
[root@localhost ~]#rpm -qa | grep tcp
tcp_wrappers-7.6-37.2
tcpdump-3.8.2-10.RHEL4
如果有上面的类似输出,表示系统已经安装了tcp_wrappers模块.如果没有显示,可能是没有安装,可以从linux系统安装盘找到对应RPM包进行安装.
(2)tcp_wrappers防火墙的局限性
系统中的某个服务是否可以使用tcp_wrappers防火墙,取决于该服务是否应用了libwrapped库文件,如果应用了就可以使用tcp_wrappers防火墙,系统中默认的一些服务如:sshd、portmap、sendmail、xinetd、vsftpd、tcpd等都可以使用tcp_wrappers防火墙.
(3) tcp_wrappers设定的规则
tcp_wrappers防火墙的实现是通过/etc/hosts.allow和/etc/hosts.deny两个文件来完成的,看一下设定的格式:
service:host(s) [:action]
 service:代表服务名,例如sshd、vsftpd、sendmail等.
 host(s):主机名或者IP地址,可以有多个,例如192.168.60.0、www.ixdba.net
 action:动作, 符合条件后所采取的动作.
几个关键字:
 ALL:所有服务或者所有IP.
 ALL EXCEPT:所有的服务或者所有IP除去指定的.
例如:ALL:ALL EXCEPT 192.168.60.132
表示除了192.168.60.132这台机器,任何机器执行所有服务时或被允许或被拒绝.
了解了设定语法后,下面就可以对服务进行访问限定.
例如互联网上一台linux服务器,实现的目标是:仅仅允许222.90.66.4、61.185.224.66以及域名softpark.com通过SSH服务远程登录到系统,设置如下:
设定允许登录的计算机,即配置/etc/hosts.allow文件,设置很简单,只要修改/etc/hosts.allow(如果没有此文件,请自行建立)这个文件即可. 拥有帝国一切,皆有可能。欢迎访问phome.net
只需将下面规则加入/etc/hosts.allow即可.
sshd: 222.90.66.4 61.185.224.66 softpark.com
接着设置不允许登录的机器,也就是配置/etc/hosts.deny文件了.
一般情况下,linux会判断/etc/hosts.allow这个文件,如果远程登录的计算机满足文件/etc/hosts.allow设定的话,就不会去使用/etc/hosts.deny文件了,相反,如果不满足hosts.allow文件设定的规则的话,就会去使用hosts.deny文件了,如果满足hosts.deny的规则,此主机就被限制为不可访问linux服务器,如果也不满足hosts.deny的设定,此主机默认是可以访问linux服务器的,因此,当设定好/etc/hosts.allow文件访问规则之后,只需设置/etc/hosts.deny为“所有计算机都不能登录状态”即可.
sshd:ALL
这样,一个简单的tcp_wrappers防火墙就设置完毕了.

本文出自 “技术成就梦想” 博客,请务必保留此出处http://ixdba.blog.51cto.com/2895551/526443

拥有帝国一切,皆有可能。欢迎访问phome.net

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号