返回
linux网络安全控制

linux网络安全控制

ID:36052006

大小:426.05 KB

页数:36页

时间:2019-05-01

linux网络安全控制_第1页
linux网络安全控制_第2页
linux网络安全控制_第3页
linux网络安全控制_第4页
linux网络安全控制_第5页
资源描述:

《linux网络安全控制》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第九单元Linux网络安全控制tcp_wrapper原理ØTelnet、SSH、FTP、POP和SMTP等很多网络服务都会用到TCPWrapper,它被设计为一个介于外来服务请求和系统服务回应的中间处理软件。Ø基本处理过程•当系统接收到一个外来服务请求的时候,先由TCPWrapper处理这个请求,TCPWrapper根据这个请求所请求的服务和针对这个服务所定制的存取控制规则来判断对方是否有使用这个服务的权限,如果有,TCPWrapper将该请求按照配置文件定义的规则转交给相应的守护进程去处理同时记录这个请求动作,然后自己就等待下一个请求的处理。tcp_w

2、rapperØ基于主机与服务Ø使用简单的配置文件来设置访问限制•/etc/hosts.allow•/etc/hosts.denyØ配置一旦被改变,立刻生效tcp_wrapper的配置Ø访问控制判断顺序:1.访问是否被明确许可2.否则,访问是否被明确禁止3.如果都没有,默认许可Ø配置文件1.许可用:/etc/hosts.allow2.禁止用:/etc/hosts.denyØ基本语法:1.后台进程列表:客户端列表[:参数(allow,deny)]Ø范例:1./etc/hosts.allowvsftpd:192.168.0.2./etc/hosts.denyv

3、sftpd:ALL后台进程描述Ø后台进程列表应该是:•服务的可执行工具名(in.telnetdNOtelnetd)•允许指定多项服务•允许使用ALL来匹配所有服务Ø后台进程应该是服务的可执行工具名•例如:telnet服务的可执行工具是in.telnetd,因此在/etc/hosts.allow及/etc/hosts.deny中应该写in.telnetd,而不是telnet或telnetdØ如何查看一个服务是否支持TCP-Wrapper•strings工具路径|grep[tcp_wrappers

4、hosts_access]•ldd工具路径|greplibw

5、rap客户端列表Ø客户端描述可以包含:•IP地址(192.168.0.254)•域名或主机名(.example.com,www.wenhua.org)•子网掩码(192.168.0.0/255.255.255.0或192.168.0.)•网络名(@mydomain)高级语法Ø客户端描述通配符•ALL:所有•LOCAL:所有主机名中不包含.的主机•UNKNOWN:无法被解析的主机•KNOWN:可以双向解析的主机•PARANOID:正向解析与反向解析不匹配的主机ØEXCEPT•可用于服务列表与客户端列表•可以层层套用Ø范例:•/etc/hosts.deny»

6、ALL:ALLEXCEPT192.168.0.0/255.255.255.0server1.example.com基于xinetd的服务Øxinetd服务支持两种访问限制•基于主机•基于时间Ø在xinetd与tcp_wrapper都限制的情况下:•先检查tcp_wrapper•如果tcp_wrapper允许,再检查xinetd是否也允许•如果tcp_wrapper不允许,则不会再检查基于xinetd的服务限制。配置xinetd访问限制Ø可以写在/etc/xinetd.d/目录下的文件中Ø可以使用的控制语句:•only_from=客户端描述»IP:192.

7、168.0.1»网段:192.168.0.0/24或192.168.0.0»域:.example.com»域名:station1.example.com•no_access=客户端描述•access_times=时间Ø控制语句描述•only_from:只有在其后描述的主机才可以使用服务。•no_access:禁止在其后描述的主机使用服务•access_times:客户允许使用服务的时间防火墙的简介Ø通过使用防火墙可以实现以下功能:可以保护易受攻击的服务;控制内外网之间网络系统的访问;集中管理内网的安全性,降低管理成本;提高网络的保密性和私有性;

8、记录网络的使用状态,为安全规划和网络维护提供依据。防火墙的工作原理Ø防火墙技术根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤防火墙和代理服务器两种类型。Ø包过滤防火墙的工作原理Ø数据包从外网传送到防火墙后,防火墙抢在IP层向TCP层传送前,将数据包转发给包检查模块进行处理。Ø首先与第一个过滤规则比较。Ø如果与第一个模块相同,则对它进行审核,判断是否转发该数据包,这时审核结果是转发数据包,则将数据包发送到TCP层进行处理,否则就将它丢弃。Ø如果与第一个过滤规则不同,则接着与第二个规则相比较,如果相同则对它进行审核,过程与③相同。Ø如果

9、与第二个过滤规则不同,则继续与下一个过滤规则比较,直到与所有过滤规则比较完成。要

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。