首页
技术小册
AIGC
面试刷题
技术文章
MAGENTO
云计算
视频课程
源码下载
PDF书籍
「涨薪秘籍」
登录
注册
第六章:存储结构与磁盘划分
一切从“/”开始
物理设备的命名规则
文件系统与数据资料
挂载硬件设备
添加硬盘设备
添加交换分区
磁盘容量配额
软硬方式链接
第七章:使用RAID与LVM磁盘阵列技术
RAID(独立冗余磁盘阵列)
LVM(逻辑卷管理器)
第八章:iptables与firewalld防火墙
防火墙管理工具
iptables
firewalld
服务的访问控制列表
第九章:使用ssh服务管理远程主机
配置网络参数
配置sshd服务
不间断会话服务
第十章:使用Apache服务部署静态网站
网站服务程序
配置服务文件参数
SELinux安全子系统
当前位置:
首页>>
技术小册>>
Linux应该怎么学(中)
小册名称:Linux应该怎么学(中)
TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。换句话说,Linux系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP协议的流量过滤工具,而TCP Wrappers服务则是能允许或禁止Linux系统提供服务的防火墙,从而在更高层面保护了Linux系统的安全运行。 TCP Wrappers服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应的允许策略则放行流量;如果没有匹配,则去进一步匹配拒绝控制列表文件(/etc/hosts.deny),若找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到,则默认放行流量。 TCP Wrappers服务的控制列表文件配置起来并不复杂,常用的参数如表8-4所示。 在配置TCP Wrappers服务时需要遵循两个原则: 编写拒绝策略规则时,填写的是服务名称,而非协议名称; 建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。 下面编写拒绝策略规则文件,禁止访问本机sshd服务的所有流量(无须/etc/hosts.deny文件中修改原有的注释信息): [root@linuxprobe ~]# vim /etc/hosts.deny # # hosts.deny This file contains access rules which are used to # deny connections to network services that either use # the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # The rules in this file can also be set up in # /etc/hosts.allow with a 'deny' option instead. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers sshd:* [root@linuxprobe ~]# ssh 192.168.10.10 ssh_exchange_identification: read: Connection reset by peer 接下来,在允许策略规则文件中添加一条规则,使其放行源自192.168.10.0/24网段,访问本机sshd服务的所有流量。可以看到,服务器立刻就放行了访问sshd服务的流量,效果非常直观: [root@linuxprobe ~]# vim /etc/hosts.allow # # hosts.allow This file contains access rules which are used to # allow or deny connections to network services that # either use the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers sshd:192.168.10. [root@linuxprobe ~]# ssh 192.168.10.10 The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established. ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts. root@192.168.10.10's password: Last login: Wed May 4 07:56:292017 [root@linuxprobe ~]#
上一篇:
firewalld
下一篇:
第九章:使用ssh服务管理远程主机
该分类下的相关小册推荐:
Linux应该怎么学(上)
Shell编程入门与实战
LInux运维零基础入门到实战
CentOS入门指南
Vim实用技巧必知必会
Linux应该怎么学(下)
bash脚本编程实战
Vim编辑器入门到实战
