Jinsi ya Kulinda Huduma za Mtandao Kwa Kutumia Wrappers za TCP kwenye Linux
Katika makala hii tutaelezea vifuniko vya TCP ni nini na jinsi ya kuzisanidi kwa firewall iliyosanidiwa.
Katika suala hili, unaweza kufikiria chombo hiki kama kipimo cha mwisho cha usalama kwa mfumo wako. Kwa kutumia firewall na vifuniko vya TCP, badala ya kupendelea moja juu ya nyingine, utahakikisha kuwa seva yako haijaachwa na nukta moja ya kutofaulu.
Kuelewa wapangishi.ruhusu na wenyeji.kataa
Ombi la mtandao linapofikia seva yako, karatasi za kufunga TCP hutumia hosts.allow
na hosts.deny
(kwa mpangilio huo) ili kubaini kama mteja anafaa kuruhusiwa kutumia huduma fulani. .
Kwa chaguo-msingi, faili hizi ni tupu, zote zimetolewa maoni, au hazipo. Kwa hivyo, kila kitu kinaruhusiwa kupitia safu ya vifungashio vya TCP na mfumo wako umesalia kutegemea ngome kwa ulinzi kamili. Kwa kuwa hii haitakiwi, kwa sababu tuliyosema katika utangulizi, hakikisha kuwa faili zote mbili zipo:
# ls -l /etc/hosts.allow /etc/hosts.deny
Syntax ya faili zote mbili ni sawa:
<services> : <clients> [: <option1> : <option2> : ...]
wapi,
- huduma ni orodha iliyotenganishwa kwa koma ya huduma ambayo sheria ya sasa inapaswa kutumika.
- wateja wanawakilisha orodha ya majina ya wapangishi yaliyotenganishwa kwa koma au anwani za IP zilizoathiriwa na sheria. Kadi pori zifuatazo zinakubaliwa:
- ZOTE zinalingana na kila kitu. Inatumika kwa wateja na huduma.
- LOCAL inalingana na waandaji bila kipindi katika FQDN yao, kama vile mwenyeji.
- INAYOJULIKANA huashiria hali ambapo jina la mpangishaji, anwani ya mwenyeji, au mtumiaji hujulikana.
- USIOJULIKANA ni kinyume cha KUJULIKANA.
- PARANOID husababisha muunganisho kukatika ikiwa utafutaji wa DNS wa kinyume (kwanza kwenye anwani ya IP ili kubainisha jina la mwenyeji, kisha kwa jina la mwenyeji ili kupata anwani za IP) kurudisha anwani tofauti katika kila hali.
Huenda ukataka kukumbuka kwamba sheria inayoruhusu ufikiaji wa huduma fulani katika
/etc/hosts.allow
inachukua kipaumbele juu ya sheria katika/etc/hosts.deny
inayokataza. ni. Zaidi ya hayo, ikiwa sheria mbili zinatumika kwa huduma sawa, moja tu ya kwanza itazingatiwa.Kwa bahati mbaya, sio huduma zote za mtandao zinazounga mkono matumizi ya vifuniko vya TCP. Kuamua ikiwa huduma fulani inawasaidia, fanya:
# ldd /path/to/binary | grep libwrap
Ikiwa amri iliyo hapo juu itarudisha pato, inaweza kufungwa kwa TCP. Mfano wa hii ni sshd na vsftpd, kama inavyoonyeshwa hapa:
Jinsi ya Kutumia Vifuniko vya TCP Kuzuia Upataji wa Huduma
Unapohariri
/etc/hosts.allow
na/etc/hosts.deny
, hakikisha kuwa umeongeza laini mpya kwa kubonyeza Enter baada ya laini ya mwisho isiyo tupu.Ili kuruhusu ufikiaji wa SSH na FTP tu kwa 192.168.0.102 na localhost na kukataa zingine zote, ongeza mistari hii miwili katika
/etc/hosts.deny
:sshd,vsftpd : ALL ALL : ALL
na mstari ufuatao katika
/etc/hosts.allow
:sshd,vsftpd : 192.168.0.102,LOCAL
# # hosts.deny This file contains access rules which are used to # deny connections to network services that either use # the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # The rules in this file can also be set up in # /etc/hosts.allow with a 'deny' option instead. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers # sshd,vsftpd : ALL ALL : ALL
# # hosts.allow This file contains access rules which are used to # allow or deny connections to network services that # either use the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers # sshd,vsftpd : 192.168.0.102,LOCAL
Mabadiliko haya hufanyika mara moja bila hitaji la kuanza tena.
Katika picha ifuatayo unaweza kuona athari ya kuondoa neno
LOCAL
kutoka kwa mstari wa mwisho: seva ya FTP haitapatikana kwa mwenyeji wa ndani. Baada ya kurudisha kadi-mwitu, huduma itapatikana tena.Ili kuruhusu huduma zote kwa wapangishaji ambapo jina lina
example.com
, ongeza mstari huu katikahosts.allow
:ALL : .example.com
na kukataa ufikiaji wa vsftpd kwa mashine mnamo 10.0.1.0/24, ongeza laini hii katika
hosts.deny
:vsftpd : 10.0.1.
Katika mifano miwili ya mwisho, angalia nukta mwanzoni na mwisho wa orodha ya wateja. Inatumika kuashiria \wapangishi WOTE na/au wateja ambapo jina au IP ina mfuatano huo.
Je, makala hii ilikufaa? Je, una maswali au maoni? Jisikie huru kutuandikia barua kwa kutumia fomu ya maoni hapa chini.