1. TCP_Wrappers基础知识介绍
TCP_Wrappers是在 Solaris, HP_UX以及 Linux中广泛流行的免费软件。它被设计为一个介于外来服务请求和系统服务回应的中间处理软件。最常见的用法是与inetd一起使用。
当系统的Inetd接收到一个外来服务请求的时候,并不是直接调用,而是调用TCP_Wrappers(可执行文件tcpd),TCP_Wrappers根据这个所请求的服务和针对这个服务所定制的存取控制规则来判断对方是否有使用这个服务的权限,如果有,TCP_Wrappers将该请求按照配置文件定义的规则转交给相应的守护进程去处理同时记录这个请求动作,然后自己就等待下一个请求的处理。
TCP_Wrappers机制的主要目的在于,来自客户端的请求只被允许同一个独立的守护进程(xinetd)直接通信,而它请求的目标服务被TCP_Wrappers包裹起来,这样就提高了系统的安全性和系统管理的方便性。
TCP_Wrappers随着应用逐渐成为一种标准的Unix安全工具,成为unix守护程序inetd的一个插件。通过TCP_Wrappers,管理员可以设置对inetd提供的各种服务进行监控和过滤,以保证系统的安全性。
Telnet、SSH、FTP、POP和SMTP等很多网络服务都会用到TCP_Wrappers,它被设计为一个介于外来服务请求和系统服务回应中间处理软件。
原理介绍:https://www.jianshu.com/p/03b1016d4da5
简单配置使用:https://blog.csdn.net/IT_DREAM_ER/article/details/52314704
严格控制登录配置:https://www.aikaiyuan.com/4503.html
2、TCP_Wrappers的简单使用
Tcp_Wrappers的使用很简单,仅仅两个配置文件:/etc/hosts.allow和/etc/hosts.deny
且配置后不需重启,立即生效。这有利于使用脚本动态配置。
3、iptables和TCP_Wrappers的区别
(1)OSI七层模型
第3层(网络层):含IP头信息,其中包含IP地址。
第4层(传输层):含TCP头信息,其中包含port(端口号)。
第7层(应用层):应用层信息,其中包含应用层协议。如:http、ssh等
(2)归属层和作用对象
iptables是防火墙软件,归于第4层传输层,作用于第3层和第4层,对IP、port、传输层协议(tcp、udp、第三层的icmp)进行限定。
TCP_Wrappers是安全工具,归于第7层应用层,作用于第3层和第7层,对IP、应用层协议(ssh、http、ftp等)进行限定。
由于配置中涉及应用层协议telnetd、sshd、ftpd等,虽然配置中有第三层的IP信息,可同时作用于第3层和第7层,但仍然将TCP_Wapper归于第7层应用层。
(3)执行顺序:
iptables-》TCP_Wrappers-》本地服务
Linux 本身有两层安全防火墙,通过 IP过滤机制的iptables实现第一层防护。
iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意攻击,保护整个系统正常运行,免遭攻击和破坏。
如果通过了第一层防护,那么下一层防护就是 tcp_wrappers 了。通过 Tcp_Wrappers 可以实现对系统中提供的某些服务的开放与关闭、允许和禁止,从而更有效地保证系统安全运行。
(4)其他安全知识
linux安全主要通过下面三个进行加固
Selinux----主要是对内核的访问权限加以控制
tcp_wrappers---一定程度上限制某种服务的访问权限
iptables---主要是设置软件的防火墙