Безопасность и оптимизация Linux.Редакция для Red Hat

       

TCP_WRAPPERS.


По умолчанию, Red Hat отвечает на все запросы к имеющимся сервисам. Используя TCP_Wrappers, вы легко сможете оградить ваш сервер от внешних вторжений когда это нужно. Запретите все хосты, добавив “ALL: ALL@ALL, PARANOID” в “/etc/hosts.deny”, и определите список тех кому доступ разрешен в файле “/etc/host.allow” – это самая безопасная конфигурация. TCP_Wrappers контролируется двумя файлами. Поиск завершается при первом совпадении.
/etc/hosts.allow


/etc/hosts.deny

Доступ будет разрешен если пара (клиент, демон) найдена в файле /etc/host.allow

Доступ будет запрещен если пара (клиент, демон) найдена в файле /etc/host.deny

Если пары (клиент, демон) не найдена ни в одном из файлов (/etc/host.allow, /etc/host.deny), то доступ будет разрешен.

Шаг 1.

Редактируйте файл hosts.deny (vi /etc/hosts.deny) добавив следующие строки: По умолчанию доступ запрещен.
# Запрещаем доступ для всех.


ALL: ALL@ALL, PARANOID #Соответствует любому компьютеры, чье имя не соответствует адресу.

Это значит , что доступ ко всем службам со всех компьютеров запрещен, если нет явного разрешения в файле host.allow.

Замечание. Для параметра PARANOID. Если вы хотите запускать telnet и ftp сервисы на сервере, то не забудьте добавить адрес клиентской машины и IP адрес в файл “/etc/hosts” на сервере, иначе будьте готовы ждать несколько минут, пока DNS lookup не завершится по таймауту, до получения строки login.

Шаг 2.

Отредактируйте файл hosts.allow и добавьте в него, к примеру, следующие строки:
# Список серверов которым разрешен доступ.


sshd: 208.164.186.1 gate.openarch.com

Машина с IP адресом 208.164.186.1 и именем gate.openarch.com является одним из клиентов сервиса sshd.

Шаг 4.

Программа tcpdchk занимается проверкой правильности конфигурационного файла TCP_Wrapper. Она выдает сообщения о потенциальных и реальных проблемах.

После того, как конфигурирование завершено, запустите программу tcpdchk:
[root@deep]# tcpdchk

Замечание. Ошибка может выглядеть следующим образом:
warning: /etc/hosts.allow, line 6: can't verify hostname: gethostbyname(win.openna.com) failed


Если вы получили подобное сообщение, то проверьте ваш конфигурационный файл DNS сервера, на наличие в нем этого имени компьютера.



Содержание раздела