sudo tcp_wrappe
一�����、sudo
一) sudo能做什么�?
1���、限制指定用戶在指定主機主機上運行指定的管理命令���;
2�、詳細記錄用戶基于sudo執行的命令的相關日志信息����;
3��、“檢票系統”:用戶第一次執行sudo會要求輸入密碼���,用戶會獲得一個有固定存活時長的“入場券”��;默認為5分鐘���;
通過編輯方式實現以上功能:
/etc/sudoers: 只能由管理編輯以實現授權����;
專用編輯命令:visudo
/etc/sudoers:
授權格式:
who whichhost dosomething
who可為:用戶��,組�,Alias也就是別名
host可為:ip地址��,主機名�,host_alias
dosomething 可為: 可執行命令(絕對路徑)����,CMD_ALIAS
二)sudo命令:
-l: 查看當前用戶可執行的sudo命令
-u 用戶名 命令:以指定用戶的身份運行后面的“命令”�����;
-k: 清除“入場券”���;
-b 命令:在后臺運行指定的命令
-p 提示語:可以更改詢問密碼的提示語����,其可用%u變量來替換為用戶名�����,%h替換為主機名�;
-e 文件路徑:不是執行命令�����,而修改指定的文件
三)練習
1�����、授權centos用戶可以運行fdisk命令完成磁盤管理��,以及使用mkfs或mke2fs實現文件系統管理?
centos ALL=(ALL) /sbin/mke2fs,/sbin/fdisk,/sbin/mkfs,/sbin/partx
2�����、授權gentoo用戶可以運行邏輯卷管理的相關命令
gentoo ALL=(ALL) /bin/mount,/bin/umount,/sbin/pvcreate,/sbin/pvdisplay,/sbin/vgcreate,/sbin/vgdisplay,/sbin/lvcreate,/sbin/lvdisplay,/bin/df
二����、tcp_wrapper
一)TCP_Wrapper軟件包是一種基于TCP/IP協議之上的���、運行于UNIX/Linux系統�、基于訪問控制技術的一種網絡防火墻軟件��。
判斷服務是否能夠由tcp_wrapper控制:
1����、動態編譯:ldd命令來檢測其所依賴庫是否有libwrap
libwrap.so.0 => /lib64/libwrap.so.0
2���、靜態編譯:strings /path/to/program
其顯示結果中����,如果有類似如下內容:
hosts.allow
hosts.deny
3�、tcp_wrapper通過讀取配置文件中的規則來判定某服務是否可被訪問:
/etc/hosts.allow
/etc/hosts.deny
文件中的規則是即時生效的��;
4����、
5��、配置文件的語法:
daemon_list: client_list [:options]
daemon_list可為:
應用程序程序名稱
應用程序程序名稱列表:使用逗號分隔
例如sshd, in.telnetd
ALL:所有受控進程
client_list可為:
IP地址
主機名
網絡地址:必須使用完整格式掩碼�����,不能使用長度掩碼��,172.16.0.0/16不合用���;
簡短的網絡地址:172.16. 表示為 172.16.0.0/255.255.0.0
ALL: 所有客戶端地址����;
KNOWN: 知道的ip地址
UNKNOWN:不知道的ip地址
PARANOID:主機名和IP地址的各自的正反解析結果不匹配���;
特殊的變量:
EXCEPT:除了
[:options]可為:
deny: 通常用于在hosts.allow文件實現拒絕的規則��;
allow: 通常用于在hosts.deny文件實現允許的規則�;
spawn: 啟動一個額外命令
二)練習
控制vsftpd僅允許172.16.0.0/255.255.0.0網絡中的主機訪問��,但172.16.100.3除外����;對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日志文件中���;
答:1)vim /etc/host.allow
vsftpd: 192.168.3.20-192.168.3.120 EXCEPT 192.168.3.52
vsftpd: 192.168.3.0/255.255.255.0 EXCEPT 192.168.3.50,192.168.3.103
2)vsftpd: ALL : spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log
