TCP Wrapper là gì? Đây là một phương pháp chặn truy cập các dịch vụ trên máy chủ Linux của bạn thông qua hạn chế IP .Bài viết này sẽ giúp bạn chặn truy cập SSH từ tất cả các IP ngoại trừ danh sách IP “được phép”. Cách thức này đạt được là thông qua hai tệp nằm trong thư mục / etc. Một tên là hosts.allow và các host.deny khác.
1. TCP Wrappers là gì?
- Các TCP Wrapper là danh sách điều khiển truy cập (ACL – Access Control List) dựa trên máy, và sử dụng để lọc truy cập mạng với các dịch vụ địa phương.
- Chúng xuất hiện vào những năm 1990 để bảo vệ các máy trạm Unix khỏi các cuộc tấn công mạng.
- Ưu điểm : TCP / Wrappers có một lợi thế lớn so với tường lửa thông thường: chúng hoạt động trong lớp 7 (Ứng dụng), do đó, chúng có thể, trong số những thứ khác, có thể lọc các truy vấn ngay cả khi sử dụng mã hóa.
- Nhược điểm : Tất cả các ứng dụng dịch vụ Unix phải được biên dịch để hoạt động với thư viện libwrap. Wrappers không hoạt động với các dịch vụ gọi thủ tục từ xa (RPC) qua TCP).
2. Cài đặt TCP Wrappers
TCP Wrappers có sẵn trong kho chính thức của hầu hết các hệ điều hành Linux/Solaris/AIX, ví dụ cách cài đặt trong Linux- Trên các hệ thống dựa trên YUM:
yum -y install tcp_wrappers
- Trên các hệ thống dựa trên APT:
sudo apt-get install tcp_wrappers
3. Hạn chế quyền truy cập vào máy chủ Linux bằng cách sử dụng TCP Wrappers
TCP Wrappers thực hiện kiểm soát truy cập với sự trợ giúp của hai tệp cấu hình: /etc/hosts.allow và /etc/hosts.deny .Hai tệp danh sách kiểm soát truy cập này quyết định liệu các máy khách cụ thể có được phép truy cập máy chủ Linux của bạn hay không.- /etc/hosts.allow : Tệp này chứa tên của các máy chủ được phép sử dụng các dịch vụ mạng.
- /etc/hosts.deny : Tệp này chứa tên của máy chủ không thể sử dụng dịch vụ mạng.
- Nếu cùng một máy khách, người dùng hoặc ip được liệt kê trong cả hai tệp, hosts.allow có mức độ ưu tiên hơn hosts.deny, hãy cẩn thận với điều này.
Cú pháp của các tệp này như sau:list_of_service : list_of _ client [ : lệnh _ shell ]
Trong đó:- service_list là danh sách các tên tiến trình của trình nền cần xem xét.
- client_list là danh sách tên máy chủ, địa chỉ IP, mẫu đặc biệt hoặc ký tự đại diện sẽ được so sánh với từng máy khách được kết nối.
4. CÁC BƯỚC CẤU HÌNH
4.1. Tạo 2 file
vi /etc/hosts.allow
ALL:192.168.1.38 #App1
sshd:192.168.1.235 #App2
imapd : 192.168.54.0/255.255.255.0
in.ftpd: 192.168.54.0/255.255.255.0
sshd : 192.168.54.2 172.16.234.4
vsftpd: 192.168.2.*
vi /etc/hosts.deny
ALL:ALL
4.2. Enable/disable chặn
--- Check xem dịch vụ telnet có được chặn hay không
inetadm -l telnet | grep tcp_wrappers
-- Enable chan hết telnet, ssh, ftp,...:
inetadm -M tcp_wrappers=TRUE
-- Disable hết telnet, ssh, ftp,...:
inetadm -M tcp_wrappers=FALSE
Option:
--Mở riêng từng service telnet, ssh, ftp
inetadm -m network/ftp:default tcp_wrappers=TRUE
inetadm -m network/telnet:default tcp_wrappers=TRUE
--disable ftp, telnet, ssh
inetadm -m network/ftp:default tcp_wrappers=FALSE
inetadm -m network/telnet:default tcp_wrappers=FASLE
# vi /etc/hosts.deny
In.telnetd:all:banners /etc/banners.deny :spawn echo `date` "%h truying to connect by telnet" >> / var/log/telnet.log
* KHOÁ HỌC ORACLE DATABASE A-Z ENTERPRISE trực tiếp từ tôi giúp bạn bước đầu trở thành những chuyên gia DBA, đủ kinh nghiệm đi thi chứng chỉ OA/OCP, đặc biệt là rất nhiều kinh nghiệm, bí kíp thực chiến trên các hệ thống Core tại VN chỉ sau 1 khoá học.
* CÁCH ĐĂNG KÝ: Gõ (.) hoặc để lại số điện thoại hoặc inbox https://m.me/tranvanbinh.vn hoặc Hotline/Zalo 090.29.12.888
* Chi tiết tham khảo:
https://bit.ly/oaz_w
=============================
KẾT NỐI VỚI CHUYÊN GIA TRẦN VĂN BÌNH:
📧 Mail: binhoracle@gmail.com
☎️ Mobile/Zalo: 0902912888
👨 Facebook: https://www.facebook.com/BinhOracleMaster
👨 Inbox Messenger: https://m.me/101036604657441 (profile)
👨 Fanpage: https://www.facebook.com/tranvanbinh.vn
👨 Inbox Fanpage: https://m.me/tranvanbinh.vn
👨👩 Group FB: https://www.facebook.com/groups/DBAVietNam
👨 Website: https://www.tranvanbinh.vn
👨 Blogger: https://tranvanbinhmaster.blogspot.com
🎬 Youtube: http://bit.ly/ytb_binhoraclemaster
👨 Tiktok: https://www.tiktok.com/@binhoraclemaster?lang=vi
👨 Linkin: https://www.linkedin.com/in/binhoracle
👨 Twitter: https://twitter.com/binhoracle
👨 Địa chỉ: Tòa nhà Sun Square - 21 Lê Đức Thọ - Phường Mỹ Đình 1 - Quận Nam Từ Liêm - TP.Hà Nội
=============================
Cấu hình chặn IP với TCP_WRAPPER trong Linux, Solaris, AIX, oracle tutorial, học oracle database, Tự học Oracle, Tài liệu Oracle 12c tiếng Việt, Hướng dẫn sử dụng Oracle Database, Oracle SQL cơ bản, Oracle SQL là gì, Khóa học Oracle Hà Nội, Học chứng chỉ Oracle ở đầu, Khóa học Oracle online,sql tutorial, khóa học pl/sql tutorial, học dba, học dba ở việt nam, khóa học dba, khóa học dba sql, tài liệu học dba oracle, Khóa học Oracle online, học oracle sql, học oracle ở đâu tphcm, học oracle bắt đầu từ đâu, học oracle ở hà nội, oracle database tutorial, oracle database 12c, oracle database là gì, oracle database 11g, oracle download, oracle database 19c, oracle dba tutorial, oracle tunning, sql tunning , oracle 12c, oracle multitenant, Container Databases (CDB), Pluggable Databases (PDB), oracle cloud, oracle security, oracle fga, audit_trail,oracle RAC, ASM, oracle dataguard, oracle goldengate, mview, oracle exadata, oracle oca, oracle ocp, oracle ocm , oracle weblogic, postgresql tutorial, mysql tutorial, mariadb tutorial, sql server tutorial, nosql, mongodb tutorial, oci, cloud, middleware tutorial, hoc solaris tutorial, hoc linux tutorial, hoc aix tutorial, unix tutorial, securecrt, xshell, mobaxterm, putty