Linux-da TCP ýazyjylaryny ulanyp, tor hyzmatlaryny nädip üpjün etmeli

Bu makalada TCP örtükleriniň nämedigini we olary düzülen diwar diwaryna nädip sazlamalydygyny düşündireris.

Bu nukdaýnazardan, bu guraly ulgamyňyz üçin iň soňky howpsuzlyk çäresi diýip pikir edip bilersiňiz. Gorag diwaryny we TCP örtüklerini ulanyp, birini beýlekisinden has gowy görmegiň ýerine, serweriňiziň ýekeje ýalňyşlyk bilen galmajakdygyna göz ýetirersiňiz.

Host.allow we hosts.deny düşünmek

Tor haýyşy serweriňize ýetende, TCP gaplaýjylary müşderiniň berlen hyzmaty ulanmagyna rugsat berilmelidigini ýa-da ýokdugyny kesgitlemek üçin hosts.allow we hosts.deny ulanýar. .

Düzgüne görä, bu faýllar boş, hemmesi teswir edildi ýa-da ýok. Şeýlelik bilen, TCP örtük gatlagynyň üsti bilen hemme zada rugsat berilýär we ulgamyňyz doly gorag üçin gorag diwaryna bil baglanýar. Bu islenilmeýänligi sebäpli, girişde aýdyşymyz sebäpli iki faýlyň hem bardygyna göz ýetiriň:

# ls -l /etc/hosts.allow /etc/hosts.deny

Iki faýlyň sintaksisi birmeňzeş:

<services> : <clients> [: <option1> : <option2> : ...]

nirede,

  1. hyzmatlar, häzirki düzgün ulanylmaly dykgat bilen bölünen hyzmatlaryň sanawy.
  2. müşderiler düzgüne täsir edýän vergul bilen bölünen atlaryň ýa-da IP adresleriniň sanawyny görkezýärler. Aşakdaky kartoçkalar kabul edilýär:
    1. HEMMESI hemme zada gabat gelýär. Müşderilere we hyzmatlara hem degişlidir.
    2. OCerli ýer eýeleri, ýerlihost ýaly FQDN-de döwür bolmazdan ýer eýelerine gabat gelýär.
    3. BILMEK, host ady, host salgysy ýa-da ulanyjy belli bolan ýagdaýy görkezýär.
    4. BILEN BILMEK tersidir.
    5. PARANOID ters DNS gözlegleri (ilki öý eýesiniň adyny kesgitlemek üçin IP adresinde, soň IP adresini almak üçin host adynda) her ýagdaýda başga bir adresi yzyna gaýtarsa, birikmäniň kesilmegine sebäp bolýar.

    Berlen hyzmata /etc/hosts.allow girmäge rugsat berýän düzgüniň, /etc/hosts.deny gadagan edýän düzgüninden ileri tutýandygyny ýadyňyzdan çykaryp bilersiňiz. Bu. Mundan başga-da, bir hyzmatda iki düzgün ulanylsa, diňe birinjisi göz öňünde tutular.

    Gynansagam, ähli ulgam hyzmatlary TCP örtükleriniň ulanylmagyny goldamaýar. Berlen hyzmatyň olary goldaýandygyny ýa-da ýokdugyny anyklamak üçin:

    # ldd /path/to/binary | grep libwrap

    Aboveokardaky buýruk çykyşy yzyna gaýtarsa, TCP bilen örtülip bilner. Muňa mysal hökmünde sshd we vsftpd mysal bolup biler:

    Hyzmatlara girişi çäklendirmek üçin TCP ýazyjylaryny nädip ulanmaly

    /etc/hosts.allow we /etc/hosts.deny redaktirläniňizde, soňky boş däl setirden soň Enter basyp, täze setir goşýandygyňyzy anyklaň.

    SSH we FTP-e diňe 192.168.0.102 we localhost girip bilmek we beýlekileriň hemmesini inkär etmek üçin bu iki setiri /etc/hosts.deny goşuň:

    sshd,vsftpd : ALL
ALL : ALL

    we aşakdaky setir /etc/hosts.allow :

    sshd,vsftpd : 192.168.0.102,LOCAL

    #
# hosts.deny	This file contains access rules which are used to
#		deny connections to network services that either use
#		the tcp_wrappers library or that have been
#		started through a tcp_wrappers-enabled xinetd.
#
#		The rules in this file can also be set up in
#		/etc/hosts.allow with a 'deny' option instead.
#
#		See 'man 5 hosts_options' and 'man 5 hosts_access'
#		for information on rule syntax.
#		See 'man tcpd' for information on tcp_wrappers
#
sshd,vsftpd : ALL
ALL : ALL

    #
# hosts.allow	This file contains access rules which are used to
#		allow or deny connections to network services that
#		either use the tcp_wrappers library or that have been
#		started through a tcp_wrappers-enabled xinetd.
#
#		See 'man 5 hosts_options' and 'man 5 hosts_access'
#		for information on rule syntax.
#		See 'man tcpd' for information on tcp_wrappers
#
sshd,vsftpd : 192.168.0.102,LOCAL

    Bu üýtgeşmeler täzeden başlamagyň zerurlygy bolmazdan derrew bolup geçýär.

    Aşakdaky suratda LOCAL sözüni soňky setirden aýyrmagyň täsirini görüp bilersiňiz: FTP serweri ýerlihost üçin elýeterli bolmaz. Waýkarty yzyna goşanymyzdan soň, hyzmat ýene elýeterli bolar.

    Adyň example.com bolan ýer eýelerine ähli hyzmatlara rugsat bermek üçin bu setiri hosts.allow goşuň:

    ALL : .example.com

    we 10.0.1.0/24-de maşynlara vsftpd girmegini inkär etmek üçin bu setiri hosts.deny goşuň:

    vsftpd : 10.0.1.

    Soňky iki mysalda, müşderi sanawynyň başynda we ahyrynda nokada üns beriň.\ALhli öý eýelerini we/ýa-da adyň ýa-da IP-iň şol setiri öz içine alýan müşderileri görkezmek üçin ulanylýar.

    Bu makala size peýdaly boldumy? Soraglaryňyz ýa-da teswirleriňiz barmy? Aşakdaky düşündiriş formuny ulanyp, bize bellik goýup bilersiňiz.