Tcp Wrapper Nedir?
TCP Wrappers hangi servislere hangi istemcilerin erişebileceğini belirleyen ve erişimler ile ilgili kayıtların tutulmasını sağlayan bir güvenlik yazılımıdır.
Tcp Wrappers iptables güvenlik duvarından sonra ek önlem almak için kullanılabilir.
Kullanımı
Tcp wrappers ile kullanılabilen servisleri (yani tcp wrappers’ı destekleyen servisler) /etc/host.allow ve /etc/host.deny dosyalarını kullanarak istediğimiz kısıtlamaları getirebiliriz.
Önce host.allow dosyasına bakılır burada herhangi bir servis varsa buna izin verilir. Daha sonra host.deny dosyasına bakılır burada kısıtlama olan servisler kısıtlanır. (eğer bir servis önce host.allow ile izin verildiyse host.deny dosyasında izin verilip verilmediğine bakılmaz.)
Programların Tcp Wrappers Destekleyip Desteklemediğinin Kontrol Edilmesi
Tcp Wrappers kullanılacak ise önce kural eklemek istediğimiz servis tcpwrappers destekliyor mu kontrol etmek gerekir.
ldd /usr/sbin/sshd |grep libwrap
komutu ile ssh’ın destekleyip desteklemediğini görebiliriz.
Kural Tanımlamaları
Kurallar yazılırken aşağıdaki yapı kullanılır.
<servis.listesi>:<itemci listesi>[:<seçenekler>:<seçenekler>:]
Aşağıdaki ifadeler /etc/host.allow dosyasına eklenirse izin verilen servis-istemci ikilisini ifade etmiş olur.
ALL:ALL
//Tüm kullanıcılar ve servisler
Not : Burada ALL ifadesi özel anlamı olan bir ifadedir. Servisler tarafında kullanıldığında tüm servisleri, istemci tarafında kullanılırsa da tüm istemcileri fiade eder.. Bu tarz özel ifadelere “wildcard” denir.
ALL: .example.com
//Tüm servisler ‘example.com’ ile biten kullanıcılar
ALL : 192.168.
//Tüm servisler ve IP adresi 192.168. ile başlayan bilgisayarlar
ALL : 192.168.0.0/255.255.254.0
//Tüm servisler ve bir ağa ait tüm kullanıcılar
vsftpd : 192.168.252.
//IP adresi 192.168.252. ile başlayan bilgisayarlardan ‘vsftpd’ servisi kullananlar
Sshd: 192.168.252.
//İp adresi 192.168.252. ile başlayan bilgisayarlardan ‘sshd’ servisini kullananlar
WildCard Kullanımı
TCP Wrappers ile kullanılaiblecek wildcard’lar
ALL => Hem işlemci hem servis alanında kullanılabilir. Servisler için tüm servislere, istemciler için tüm istemcilere karşılık gelir.
LOCAL => İçinde “,” bulunmayan istemciler
KNOWN => Konak ismi veya kullanıcının sistem tarafından bilindiği durumlar
UNKNOWN => Konak ismi veya kullanıcının sistem tarafından bilinmediği durumlar
PARANOID => Konak isminin konak adresi ile aynı olup olmadığı kontrol edilir.
Kuralın Loglanması
sshd : ALL : spawn (/bin/echo %a from %h %d >> \
/var/log/tcpwrappersaccess.log) \
//ssh servisi için herkese izin verilir ayrıca sshd.log dosyasına bu kuralla eşleşen tüm paketler loglanır.
Daha Fazlası
Bilinmesi Gereken 50 GNU/Linux Komutu
Suid ve Sgid Bitleri Aktif Dosyaların Bulunması
Red Hat Sistem Kaynaklarının İzlenmesi (Top, Free, Vmstat Komutları)