网安-基于TCP-Wrappers的系统服务安全实验
原创网安-基于TCP-Wrappers的系统服务安全实验
原创
一、实验目的
通过TCP_wrappers设置访问控制,提高服务器的安全性。根据实验步骤完成实验。
二、知识点
iptables使用TCP_wrappers防火墙配置
三、实验场景
A公司有一台linux服务器与两台主机(linux和Windows),现在因公司业务的需求,需要管理员对服务器的防火墙进行配置,要求如下:1.linux主机能访问linux服务器的FTP服务,其他主机不允许访问;2.配置服务器的SSH服务拒绝服务器所在网段的主机访问;3.配置服务器的telnet允许服务器所在网段的用户访问,但拒绝Windows主机ip的访问。请同学们帮助A公司管理员解决以上问题。
四、实验原理
TCP Wrappers是通过/etc/hosts.allow和/etc/hosts.deny这两个配置文件来实现一个类似防火墙的机制。当有请求从远程到达本机的时候首先检查/etc/hosts.allow如有匹配的,就默认允许访问,跳过 /etc/hosts.deny这个文件没有匹配的,就去匹配/etc/hosts.deny 文件,如果有匹配的,那么就拒绝这个访问。
五、实验设备
主机:Windows 2003 SP2主机 * 1台,CentOS 7主机 *1台
服务器:RedHat 6.5 *1台
六、实验步骤
1、通过TCP_wrappers配置vsftpd服务只允许Linux客户端主机访问,其他主机不允许进行访问。在未进行配置前,操作Linux客户端(登录账号:root,密码:123456)输入ftp 192.168.100.200(192.168.100.200为服务端IP,账号为anonymous,密码为空,退出命令为quit)访问服务端,如下图所示:
2、在未进行配置前,操作Windows客户端,打开命令行输入ftp 192.168.100.200(账号为anonymous,密码为空,退出命令为quit)访问服务端,如下图所示:
3、配置允许Linux客户端访问服务端的vsftpd服务。在服务端(登录账号:root,密码:123456)命令行中输入命令:vi /etc/hosts.allow,打开配置文件hosts.allow,如下图所示:
4、打开后进入编辑模式,编辑打开的hosts.allow配置文件,在末尾加入一行“vsftpd: 192.168.100.100”如下图所示:
5、配置完成后,保存修改后的配置。如下图所示:
6、配置其他主机不允许访问服务端的vsftpd服务。在服务端命令行中输入命令:vi /etc/hosts.deny,打开配置文件hosts.deny。如下图所示:
7、打开后进入编辑模式,编辑打开的hosts.deny配置文件,在末尾加入一行“vsftpd:ALL”,如下图所示:
8、配置完成后,按“ESC”退出编辑模式,按shift+冒号,输入wq回车保存配置。如下图所示:
9、配置好规则后,使用Linux客户端访问服务端的vsftpd,访问成功。如下图所示:
10、配置好规则后,使用Windows客户端访问服务端的vsftpd,访问失败。如下图所示:
11、通过TCP_wrappers配置SSH服务拒绝192.168网段(Linux客户端存在这个网段)的主机访问。在未进行配置TCP_Wrappers规则前,使用Linux客户端(IP:192.168.100.200,密码为123456)ssh连接到服务端,连接成功。如下图所示:
12、在服务端命令行中输入命令:vi /etc/hosts.deny,打开配置文件hosts.deny。如下图所示:
13、打开配置文件后,仍然按之前的方法,进入编辑模式,编辑修改hosts.deny配置文件,在末尾修改为sshd:192.168.(表示使ssh服务拒绝192.168网段访问),配置完后保存退出。配置结果如下图所示:
14、配置好TCP_Wrappers规则后,再次使用Linux客户端通过ssh连接服务端,连接失败。如下图所示:
15、使用TCP_Wrappers配置服务端telnet允许192.168网段的用户访问。在服务端命令行中输入命令:vi /etc/hosts.allow,打开配置文件hosts.allow,修改hosts.allow文件,在末尾添加如下命令:“in.telnetd:192.168.”修改完成后保存。如下图所示:
16、在Linux客户端命令行输入telnet 192.168.100.200(192.168.100.200为服务端IP)访问服务端,可以成功访问。如下图所示:
17、在Windows客户端命令行输入telnet 192.168.100.200(192.168.100.200为服务端IP)访问服务端,可以成功访问。如下图所示:
18、配置服务端telnet允许192.168网段的用户访问,但拒绝192.168.100.101访问。输入命令:vi /etc/hosts.allow,打开hosts.allow文件,进入编辑模式,在末尾添加保存一条命令:in.telnetd: 192.168.EXCEPT192.168.100.101,如下图所示:
19、输入命令:vi /etc/hosts.deny,打开hosts.deny文件,编辑hosts.deny文件,在末尾加入一行命令:in.telnetd: 192.168.100.101,如下图所示:
20、配置好规则后再在Linux客户端命令行输入telnet 192.168.100.200(192.168.100.200为服务端IP)访问服务端,成功访问。如下图所示:
21、配置好规则后再在windows客户端命令行输入telnet 192.168.100.200访问服务端,访问失败。如下图所示:
七、实验结果分析
1、配置TCP_Wrappers后,Linux客户端成功访问服务器的FTP服务,Windows客户端访问服务器FTP服务失败。
2、配置TCP_Wrappers后,Linux客户端通过ssh连接服务端,连接失败。
3、配置TCP_Wrappers后,Linux客户端可以成功通过telnet访问服务器,Windows客户端通过telenet访问服务器,访问失败。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。