2.針對系統程序來做限制的
====
====
====
====
====
====
====
====
====
====
====
====
====
====
====
====
====
====
====
====
====
====
=1./etc/hosts.allow --允許
2./etc/hosts.deny --拒絕
tcpwarpper要看該應用是否依賴libwrap.so這個庫檔案。
實戰環境
準備兩台機器:
wrap-server----192.168.246.188
test-1----192.168.246.158
#所有機器關閉防火牆和selinux
[root@localhost ~]
# systemctl stop firewalld #關閉防火牆
[root@localhost ~]
# systemctl disable firewalld
removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
removed symlink /etc/systemd/system/dbus-org.fedoraproject.firewalld1.service.
[root@localhost ~]
# setenforce 0 #臨時關閉selinux
[root@wrap-server ~]
# ldd `which sshd` | grep wrap
libwrap.so.0 =
> /lib64/libwrap.so.0 (0x00007f9ec5c26000)
[root@wrap-server ~]
# ldd `which httpd` | grep wrap #httpd就不用,所以不支援
[root@wrap-server ~]
#實戰案例:
三颱虛擬機器
1.允許192.168.62.231這台機器訪問我的伺服器,其他禁止掉
[root@server1 ~]
# cat /etc/hosts.allow
sshd:192.168.62.231 #允許某個
[root@server1 ~]
# vim /etc/hosts.deny #在檔案後面新增一行
sshd:all #拒絕所有
sshd:192.168.62.238 #拒絕某個ip
ssh管理與攻防
測試:
1.首先我們用192.168.62.231的機器去ssh連線
[root@server2 ~]
# ssh 192.168.62.237
[email protected]'s password:
2.在用其他機器連線
1.通過finalshell連線。 ---連線拒絕
2.或者通過第三台機器去連線
[root@test-2 ~]
# ssh 192.168.246.188
ssh_exchange_identification: read: connection reset by peer #拒絕連線
測試1:
[外鏈轉存失敗,源站可能有防盜煉機制,建議將儲存下來直接上傳(img-oaqiefqy-1584797685481)(assets/1578039305652.png)]
任何伺服器無法連線到此伺服器
測試2:
伺服器檔案內容:
[外鏈轉存失敗,源站可能有防盜煉機制,建議將儲存下來直接上傳(img-47mduuh7-1584797685482)(assets/1578039578849.png)]
用兩台伺服器分別進行測試:
可以看到,192.168.62.231可以連線,其餘的不可以
[外鏈轉存失敗,源站可能有防盜煉機制,建議將儲存下來直接上傳(img-4ynj1uor-1584797685483)(assets/1578039594237.png)]
[外鏈轉存失敗,源站可能有防盜煉機制,建議將儲存下來直接上傳(img-arwwfuoj-1584797685483)(assets/1578039605238.png)]
[root@localhost ~]
# cat /etc/hosts.allow
sshd:192.168.62.0/24 #允許某個網段連線
[root@localhost ~]
# cat /etc/hosts.deny
sshd:192.168.62.0/24 #拒絕某個網段連線
訪問控制模型 強制訪問控制
強制安全訪問控制基於安全標籤的讀寫策略使資料庫管理系統能夠跟蹤資料的流動,可以避免和防止大多數對資料庫有意或無意的侵害,因而,可以為木馬程式問題提供一定程度的保護,在資料庫管理系統中有很大的應用價值。其典型代表是bell la padula模型 簡稱 blp模型 和 biba 模型,也是目前應用最為...
關於linux訪問控制(ACL訪問控制)
由於linux系統的基本許可權控制是針對文件所有者或其他賬戶來進行控制的,無法對單獨賬戶控制,這是acl訪問控制許可權,使用acl我們可以針對單一賬戶設定文件的訪問許可權 描述 檢視文件的acl全新啊 用法 通過getfacl對檔案或目錄進行acl許可權檢視 用來對檔案進行訪問控制 用法 setfa...
OPENLDAP 訪問控制
1 語法 access to by 其中,access to指示啟用訪問控制,上句大致可以理解為 access to 對什麼目標進行控制 by 作用於哪些訪問者 授予什麼樣的訪問許可權 採取什麼樣的匹配控制動作 2 剖析 2.1 控制目標這一域主要是實現對acl應用物件的指定,物件可以是記錄和屬性。...