TCP Wrapper
TCPWrapper ได้แก้ไขไฟล์ hosts.allow
ไฟล์ hosts.allow มันมี options ในการแก้ไข servcie อยู่ 5 ตัวมี sendmail exim rpcbind ypserv ftpd
สำหรับ TcpWarper นั้น ทำงานโดยการอ้างจากชื่อ Program เป็นหลัก ไม่ได้จำกัดเฉพาะ 5 โปรแกรม
ถ้าต้องการจะ Filter traffic ให้ใช้คำสั่งดังนี้
1. หา port + program ที่เปิด
โค๊ด: Select Copy
netstat -tuanp
2. ดูในส่วนของ Program โดยมองจาก State เป็น LISTEN แสดงว่าเครื่องมีการเปิด port รอเอาไว้ นำชื่อโปรแกรมดังกล่าว
ลองอ่านรายละเอียดเพิ่มใน http://www.thaicert.org
TCP Wrapper
ส่วนที่ 1#yum search openssh
#ssh ชื่อยูเซอร@ipเพื่อน ชื่อเราในเครื่องอื่นที่เพื่อนแอดให้
exit
ทำการดูแพกเกตที่มี ssh ขึ้นมา
#rpm -qa grep ssh ดูแพ็กแกต
ทำการดูลิส openssh-serverเพื่อหาไฟล์ /etc/ssh/sshd_config
#rpm -ql openssh-server
ทำการดูลิส openssh-clients เพื่อหาไฟล์ /etc/ssh/ssh_config
#rpm -ql openssh-clients
เราสามารถ vi เข้าไปในไฟล์ config /etc/ssh/sshd_config ของ server ได้
#vi /etc/ssh/sshd_config
#se nu
เอา # ออกที่บรรทัด 39 คำว่า PermitRootLogin yes ปรับให้เป็น no
สังเกตตรง protocol 2 คือประเภทตรวงจสอบ security ว่าถ้าปลอมไอพีเข้ามาจะไม่อนุญาติ
เข้าไปดูไฟล์ /etc/hosts.deny เพื่อบล๊อคไอพี
#vi /etc/hosts.deny
มีไฟล์อีกตัวนึงคือการอนุญาติ /etc/host.allow
ใน hosts.deny สามารถเขียนกฎว่า ถ้ามาจากไอพี นี้ สามารถบล๊อคแล้วเก็บลงใน logfile ได้โดยใส่ในรูปแบบ
sshd : 10.10.92.xx : spawn /bin/echo/ '/bin/date' from %h >> /var/logssh.log
ส่วนที่ 2การตรวจสอบ TCP Wrappers
[root@ns /root]# rpm -q tcp_wrappers
tcp_wrappes-7.6-19 แสดงว่าได้ติดตั้งแล้ว
packet is not install แสดงว่ายังไม่เคยติดตั้ง
การติดตั้ง TCP Wrappers
[root@ns /root]# rpm -ivh /mnt/cdrom/RedHat/RPMS/tcp_wrappers-7
การ config TCP Wrappers
การสร้าง configuration ทำได้โดย ไปแก้ไขไฟล์ชื่อ hosts.allow และ hosts.deny เช่น ถ้าไม่อนุญาต ให้ทุกคนใช้ ftp ทำดังนี้
[root@ns /root]# pico /etc/hosts.deny
ให้พิมพ์เพิ่มต่อท้ายไฟล์ด้วยข้อความดังนี้
in.ftpd: ALL
หรือถ้าต้องการไม่ให้คนภายนอกเข้าได้ทุก service แต่คนในองค์กรที่มี ip 192.168.100.xxx สามารถใช้ได้ พิมพ์ข้อความนี้
ALL: ALL EXCEPT 192.168.100.
หมายความว่าทุกช่องทาง (Port) : ทุก Domain หรือทุก IP Address ยกเว้นในกลุ่ม IP 192.168.100.xxx ยอมให้ใช้บริการได้
เพื่อความปลอดภัยลองสั่งตามตัวอย่างที่ใช้ในงานจริงดังนี้ แก้ไขไฟล์ /etc/hosts.deny
[root@ns /root]# pico /etc/hosts.deny
ให้พิมพ์เพิ่มต่อท้ายไฟล์ด้วยข้อความดังนี้ เพื่อปิดบริการทั้งหมด (เครื่องอื่นจะเข้ามาใช้ไม่ได้)
ALL: ALL
ให้บันทึกและออกจากโปรแกรม แก้ไขไฟล์ใหม่ /etc/hosts.allow
[root@ns /root]# pico /etc/hosts.allow
ให้พิมพ์เพิ่มต่อท้ายไฟล์ด้วยข้อความดังนี้
ALL: 192.168.100.
เพิ่มบรรทัดนี้ เป็นการอนุญาตให้เฉพาะลูกข่ายเข้าได้
กรณีที่มีการอนุญาต (Allow) และไม่อนุญาต (Deny) ซ้อนกัน TCP Wrapper จะทำงานตาม ไฟล์ hosts.deny แล้วจึงมาดูเงื่อนไขใน hosts.allow แต่ถ้าไม่รู้จะพิมพ์อย่างไรดี สามารถก๊อปปี้ ตัวอย่างจาก CD มาแก้ไขได้
[root@ns /root]# cp /mnt/cdrom/MyBooks/hosts.* /etc
ข้อควรระวังการสั่งงานที่ผิดพลาดอาจทำให้บาง daemon ไม่สามารถให้
บริการลูกข่ายได้ เช่น การทำ mail server หากไปปิด hosts.deny ALL: ALL จะ
ทำให้ ipop3d ไม่ทำงาน จะรับจดหมายไม่ได้ เพิ่มเติมส่วนสำคัญ
ใน Linux ที่ใช้ kernel 2.4.x จะป้องกันการทำงานร่วมกับ tcp wrappers version ใหม่ ๆ ที่ service : sendmail ,ipop3d และ imapd เพิ่มมาอีกทำให้เครื่อง Server ที่ต้องการทำ Mail Server ไม่สามารถใช้งาน Mail Server ได้ ให้เพิ่มเติมในส่วนของไฟล์ hosts.allow เป็น
sendmail : ALL
ipop3d : ALL
imapd : ALL
หรือเปลี่ยนคำว่า ALL เป็น IP Address ที่ต้องการให้ใช้บริการก็ได้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น