sudo tcp_wrappe

一、sudo

   一） sudo能做什么？
    1、限制指定用戶(hù)在指定主機(jī)主機(jī)上運(yùn)行指定的管理命令；
    2、詳細(xì)記錄用戶(hù)基于sudo執(zhí)行的命令的相關(guān)日志信息；
    3、“檢票系統(tǒng)”：用戶(hù)第一次執(zhí)行sudo會(huì)要求輸入密碼，用戶(hù)會(huì)獲得一個(gè)有固定存活時(shí)長(zhǎng)的“入場(chǎng)券”；默認(rèn)為5分鐘；

   通過(guò)編輯方式實(shí)現(xiàn)以上功能：

    /etc/sudoers: 只能由管理編輯以實(shí)現(xiàn)授權(quán)；

    專(zhuān)用編輯命令：visudo

    /etc/sudoers:

   授權(quán)格式：

    who  whichhost  dosomething

   who可為：用戶(hù)，組，Alias也就是別名

   host可為：ip地址，主機(jī)名，host_alias

   dosomething 可為： 可執(zhí)行命令（絕對(duì)路徑），CMD_ALIAS

  二）sudo命令：
    -l: 查看當(dāng)前用戶(hù)可執(zhí)行的sudo命令
    -u 用戶(hù)名  命令：以指定用戶(hù)的身份運(yùn)行后面的“命令”；
    -k: 清除“入場(chǎng)券”；
    -b 命令：在后臺(tái)運(yùn)行指定的命令
    -p 提示語(yǔ)：可以更改詢(xún)問(wèn)密碼的提示語(yǔ)，其可用%u變量來(lái)替換為用戶(hù)名，%h替換為主機(jī)名；
    -e 文件路徑：不是執(zhí)行命令，而修改指定的文件

  三）練習(xí)

   1、授權(quán)centos用戶(hù)可以運(yùn)行fdisk命令完成磁盤(pán)管理，以及使用mkfs或mke2fs實(shí)現(xiàn)文件系統(tǒng)管理?

   centos  ALL=(ALL)    /sbin/mke2fs,/sbin/fdisk,/sbin/mkfs,/sbin/partx

2、授權(quán)gentoo用戶(hù)可以運(yùn)行邏輯卷管理的相關(guān)命令

gentoo  ALL=(ALL)   /bin/mount,/bin/umount,/sbin/pvcreate,/sbin/pvdisplay,/sbin/vgcreate,/sbin/vgdisplay,/sbin/lvcreate,/sbin/lvdisplay,/bin/df

二、tcp_wrapper

   一)TCP＿Wrapper軟件包是一種基于TCP/IP協(xié)議之上的、運(yùn)行于UNIX/Linux系統(tǒng)、基于訪問(wèn)控制技術(shù)的一種網(wǎng)絡(luò)防火墻軟件。

   判斷服務(wù)是否能夠由tcp_wrapper控制：
        1、動(dòng)態(tài)編譯：ldd命令來(lái)檢測(cè)其所依賴(lài)庫(kù)是否有l(wèi)ibwrap
            libwrap.so.0 => /lib64/libwrap.so.0
        2、靜態(tài)編譯：strings /path/to/program
            其顯示結(jié)果中，如果有類(lèi)似如下內(nèi)容：
                hosts.allow
                hosts.deny

        3、tcp_wrapper通過(guò)讀取配置文件中的規(guī)則來(lái)判定某服務(wù)是否可被訪問(wèn)：
        /etc/hosts.allow
        /etc/hosts.deny

        文件中的規(guī)則是即時(shí)生效的；

       4、

       5、配置文件的語(yǔ)法:
        daemon_list: client_list [:options]

        daemon_list可為：

            應(yīng)用程序程序名稱(chēng)
            應(yīng)用程序程序名稱(chēng)列表：使用逗號(hào)分隔
                例如sshd, in.telnetd
            ALL：所有受控進(jìn)程

        client_list可為：

           IP地址
            主機(jī)名
            網(wǎng)絡(luò)地址：必須使用完整格式掩碼，不能使用長(zhǎng)度掩碼，172.16.0.0/16不合用；
            簡(jiǎn)短的網(wǎng)絡(luò)地址：172.16. 表示為 172.16.0.0/255.255.0.0

            ALL: 所有客戶(hù)端地址；
            KNOWN: 知道的ip地址
            UNKNOWN：不知道的ip地址
            PARANOID：主機(jī)名和IP地址的各自的正反解析結(jié)果不匹配；

         特殊的變量：
                EXCEPT：除了

        [:options]可為：
            deny: 通常用于在hosts.allow文件實(shí)現(xiàn)拒絕的規(guī)則；
            allow: 通常用于在hosts.deny文件實(shí)現(xiàn)允許的規(guī)則；
            spawn: 啟動(dòng)一個(gè)額外命令

   二）練習(xí)

      控制vsftpd僅允許172.16.0.0/255.255.0.0網(wǎng)絡(luò)中的主機(jī)訪問(wèn)，但172.16.100.3除外；對(duì)所被被拒絕的訪問(wèn)嘗試都記錄在/var/log/tcp_wrapper.log日志文件中；

      答：1）vim /etc/host.allow

    vsftpd: 192.168.3.20-192.168.3.120 EXCEPT 192.168.3.52

vsftpd: 192.168.3.0/255.255.255.0  EXCEPT 192.168.3.50,192.168.3.103

          2）vsftpd: ALL : spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log