Linux下常用安全策略设置方法
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-04-06
还有iptables,linux默认都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意攻击,保护整个系统正常运行,免遭攻击和破坏.关于iptables的实现,将在下个章节详细讲述.如果通过了第一层防护,那么下一层防护就是tcp_wrappers了,通过Tcp_Wrappers可以实现对系统中提供的某些服务的开放与关闭、允许和禁止,从而更有效地保证系统安全运行.
拥有帝国一切,皆有可能。欢迎访问phome.net Tcp_Wrappers的使用很简单,仅仅两个配置文件:/etc/hosts.allow和/etc/hosts.deny (1) 查看系统是否安装了Tcp_Wrappers [root@localhost ~]#rpm -q tcp_wrappers 或者 [root@localhost ~]#rpm -qa | grep tcp tcp_wrappers-7.6-37.2 tcpdump-3.8.2-10.RHEL4 如果有上面的类似输出,表示系统已经安装了tcp_wrappers模块.如果没有显示,可能是没有安装,可以从linux系统安装盘找到对应RPM包进行安装. (2)tcp_wrappers防火墙的局限性 系统中的某个服务是否可以使用tcp_wrappers防火墙,取决于该服务是否应用了libwrapped库文件,如果应用了就可以使用tcp_wrappers防火墙,系统中默认的一些服务如:sshd、portmap、sendmail、xinetd、vsftpd、tcpd等都可以使用tcp_wrappers防火墙. (3) tcp_wrappers设定的规则 tcp_wrappers防火墙的实现是通过/etc/hosts.allow和/etc/hosts.deny两个文件来完成的,看一下设定的格式: service:host(s) [:action] service:代表服务名,例如sshd、vsftpd、sendmail等. host(s):主机名或者IP地址,可以有多个,例如192.168.60.0、www.ixdba.net action:动作, 符合条件后所采取的动作. 几个关键字: ALL:所有服务或者所有IP. ALL EXCEPT:所有的服务或者所有IP除去指定的. 例如:ALL:ALL EXCEPT 192.168.60.132 表示除了192.168.60.132这台机器,任何机器执行所有服务时或被允许或被拒绝. 了解了设定语法后,下面就可以对服务进行访问限定. 例如互联网上一台linux服务器,实现的目标是:仅仅允许222.90.66.4、61.185.224.66以及域名softpark.com通过SSH服务远程登录到系统,设置如下: 设定允许登录的计算机,即配置/etc/hosts.allow文件,设置很简单,只要修改/etc/hosts.allow(如果没有此文件,请自行建立)这个文件即可. 拥有帝国一切,皆有可能。欢迎访问phome.net 只需将下面规则加入/etc/hosts.allow即可. sshd: 222.90.66.4 61.185.224.66 softpark.com 接着设置不允许登录的机器,也就是配置/etc/hosts.deny文件了. 一般情况下,linux会判断/etc/hosts.allow这个文件,如果远程登录的计算机满足文件/etc/hosts.allow设定的话,就不会去使用/etc/hosts.deny文件了,相反,如果不满足hosts.allow文件设定的规则的话,就会去使用hosts.deny文件了,如果满足hosts.deny的规则,此主机就被限制为不可访问linux服务器,如果也不满足hosts.deny的设定,此主机默认是可以访问linux服务器的,因此,当设定好/etc/hosts.allow文件访问规则之后,只需设置/etc/hosts.deny为“所有计算机都不能登录状态”即可. sshd:ALL 这样,一个简单的tcp_wrappers防火墙就设置完毕了. 本文出自 “技术成就梦想” 博客,请务必保留此出处http://ixdba.blog.51cto.com/2895551/526443 拥有帝国一切,皆有可能。欢迎访问phome.net |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: Linux性能调优基本策略设定下一篇: 读Linux那些事儿之我是U盘笔记(一)
关于Linux下常用安全策略设置方法的所有评论