sudotcp_wrappe

一、sudo

资兴ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为创新互联的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18980820575(备注:SSL证书合作)期待与您的合作!

   一) sudo能做什么?
    1、限制指定用户在指定主机主机上运行指定的管理命令;
    2、详细记录用户基于sudo执行的命令的相关日志信息;
    3、“检票系统”:用户第一次执行sudo会要求输入密码,用户会获得一个有固定存活时长的“入场券”;默认为5分钟;

   通过编辑方式实现以上功能:

    /etc/sudoers: 只能由管理编辑以实现授权;

    专用编辑命令:visudo

    /etc/sudoers:

   授权格式:

    who  whichhost  dosomething

   who可为:用户,组,Alias也就是别名

   host可为:ip地址,主机名,host_alias

   dosomething 可为: 可执行命令(绝对路径),CMD_ALIAS

  二)sudo命令:
    -l: 查看当前用户可执行的sudo命令
    -u 用户名  命令:以指定用户的身份运行后面的“命令”;
    -k: 清除“入场券”;
    -b 命令:在后台运行指定的命令
    -p 提示语:可以更改询问密码的提示语,其可用%u变量来替换为用户名,%h替换为主机名;
    -e 文件路径:不是执行命令,而修改指定的文件

  三)练习

   1、授权centos用户可以运行fdisk命令完成磁盘管理,以及使用mkfs或mke2fs实现文件系统管理?

   centos  ALL=(ALL)    /sbin/mke2fs,/sbin/fdisk,/sbin/mkfs,/sbin/partx

 sudo tcp_wrappe

2、授权gentoo用户可以运行逻辑卷管理的相关命令

gentoo  ALL=(ALL)   /bin/mount,/bin/umount,/sbin/pvcreate,/sbin/pvdisplay,/sbin/vgcreate,/sbin/vgdisplay,/sbin/lvcreate,/sbin/lvdisplay,/bin/df

sudo tcp_wrappe

二、tcp_wrapper

   一)TCP_Wrapper软件包是一种基于TCP/IP协议之上的、运行于UNIX/Linux系统、基于访问控制技术的一种网络防火墙软件。

   判断服务是否能够由tcp_wrapper控制:
        1、动态编译:ldd命令来检测其所依赖库是否有libwrap
            libwrap.so.0 => /lib64/libwrap.so.0
        2、静态编译:strings /path/to/program
            其显示结果中,如果有类似如下内容:
                hosts.allow
                hosts.deny

        3、tcp_wrapper通过读取配置文件中的规则来判定某服务是否可被访问:
        /etc/hosts.allow
        /etc/hosts.deny

        文件中的规则是即时生效的;

       4、sudo tcp_wrappe

       5、配置文件的语法:
        daemon_list: client_list [:options]

        daemon_list可为:

            应用程序程序名称
            应用程序程序名称列表:使用逗号分隔
                例如sshd, in.telnetd
            ALL:所有受控进程

        client_list可为:

           IP地址
            主机名
            网络地址:必须使用完整格式掩码,不能使用长度掩码,172.16.0.0/16不合用;
            简短的网络地址:172.16. 表示为 172.16.0.0/255.255.0.0

            ALL: 所有客户端地址;
            KNOWN: 知道的ip地址
            UNKNOWN:不知道的ip地址
            PARANOID:主机名和IP地址的各自的正反解析结果不匹配;

         特殊的变量:
                EXCEPT:除了

        [:options]可为:
            deny: 通常用于在hosts.allow文件实现拒绝的规则;
            allow: 通常用于在hosts.deny文件实现允许的规则;
            spawn: 启动一个额外命令

   二)练习

      控制vsftpd仅允许172.16.0.0/255.255.0.0网络中的主机访问,但172.16.100.3除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中;

      答:1)vim /etc/host.allow

    vsftpd: 192.168.3.20-192.168.3.120 EXCEPT 192.168.3.52

vsftpd: 192.168.3.0/255.255.255.0  EXCEPT 192.168.3.50,192.168.3.103

          2)vsftpd: ALL : spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log

       sudo tcp_wrappe


名称栏目:sudotcp_wrappe
网址分享:http://cdiso.cn/article/jjjcii.html

其他资讯