{"id":1063,"date":"2017-05-10T23:58:23","date_gmt":"2017-05-10T21:58:23","guid":{"rendered":"http:\/\/miroslaw.borodziuk.eu\/?p=1063"},"modified":"2017-08-01T09:52:36","modified_gmt":"2017-08-01T07:52:36","slug":"tcp-wrappers","status":"publish","type":"post","link":"http:\/\/miro.borodziuk.eu\/index.php\/2017\/05\/10\/tcp-wrappers\/","title":{"rendered":"TCP Wrappers"},"content":{"rendered":"<p><em>TCP Wrappers<\/em> to mechanizm wykorzystywany do ograniczania dost\u0119pu do us\u0142ug uruchomionych w systemie. <em>TCP Wrappers mog\u0105<\/em> kontrolowa\u0107 dost\u0119p do takich us\u0142ug jak <em>ftp<\/em>, <em>ssh<\/em>, <em>telnet<\/em>, <em>tftp<\/em>, <em>finger<\/em>, <em>rsh<\/em> i <em>talk<\/em>. Pliki konfiguracyjne tego mechanizmu to <code>\/etc\/host.allow<\/code> i <code>\/etc\/hosts.deny.<\/code> Domy\u015blnie pliki nie zawieraj\u0105 \u017cadnych restrykcji. Je\u017celi te pliki nie zawieraj\u0105 \u017cadnych wpis\u00f3w odno\u015bnie u\u017cytkownika lub \u017ar\u00f3d\u0142a, z kt\u00f3rego pochodzi po\u0142\u0105czenie, to wrappery przyznaj\u0105 dost\u0119p do us\u0142ugi.<!--more--><\/p>\n<p>Gdy klient TCP \u017c\u0105da po\u0142\u0105czenia z us\u0142ug\u0105, demon <em>tcpd<\/em> sprawdza plik .<code>allow<\/code> i zezwala na dost\u0119p do us\u0142ugi je\u017celi znajdzie w pliku wpis pasuj\u0105cy do klienta. Je\u017celi plik nie zawiera wpisu pasuj\u0105cego do klienta to demon zagl\u0105da do pliku .deny i odmawia dost\u0119pu je\u017celi tutaj znajdzie pasuj\u0105cy do klienta wpis. Je\u017celi w pliku .allow i .deny brak wpis\u00f3w dotycz\u0105cych klienta to demon przyznaje dost\u0119p do us\u0142ugi. Wrapper bierze pod uwag\u0119 tylko pierwszy znaleziony wpis we wspominanych plikach i po czym przerywa skanowanie plik\u00f3w.<\/p>\n<p>Format obu plik\u00f3w jest identyczny i oparty jest na konstrukcji:<\/p>\n<p><code>&lt;nazwa us\u0142ugi&gt; : &lt;u\u017cytkownik@host&gt;<\/code><\/p>\n<p>Je\u017celi we wpisie brak u\u017cytkownika regu\u0142a pasuje do wszystkich u\u017cytkownik\u00f3w. Brak hosta we wpisie oznacza wszystkie hosty. Wrappery obs\u0142uguj\u0105 znaki wildcard takie jak: ALL, LOCAL, KNOWN, UNKNOWN oraz EXCEPT.<\/p>\n<ul>\n<li>ALL oznacza wszystkich klient\u00f3w.<\/li>\n<li>LOCAL oznacza hosty z sieci lokalnej.<\/li>\n<li>KNOWN oznacza hosty, kt\u00f3rych nazwy domenowe mozna resolvowa\u0107 w adresy IP.<\/li>\n<li>UNKNOWN &#8211; przeciwne do KNOWN.<\/li>\n<li>\u00a0oznacza wyj\u0105tek w regule.<\/li>\n<\/ul>\n<p>Poni\u017csza tabela zawiera przyk\u0142ady.<\/p>\n<table style=\"width: 700px;\">\n<tbody>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #808080;\"><em> service :<\/em><\/span><br \/>\n<span style=\"color: #808080;\"><em>user@source<\/em><\/span><\/td>\n<td style=\"width: 262.95px;\"><span style=\"color: #808080;\"><em> \/etc\/hosts.allow<\/em><\/span><\/td>\n<td style=\"width: 266.05px;\"><span style=\"color: #808080;\"><em> \/etc\/hosts.deny<\/em><\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> ALL:ALL<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do wszystkich us\u0142ug ze wszystkich host\u00f3w.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do wszystkich us\u0142ug ze wszystkich host\u00f3w.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> ALL:user1<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do wszystkich us\u0142ug u\u017cytkownikowi user1.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do wszystkich us\u0142ug u\u017cytkownikowi user1.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> ALL:user1@server1<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do wszystkich us\u0142ug u\u017cytkownikowi user1 z hosta server1.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do wszystkich us\u0142ug u\u017cytkownikowi user1 z hosta server1.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> ALL:.example.com<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do wszystkich us\u0142ug hostom z domeny <em>example.com<\/em>.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do wszystkich us\u0142ug hostom z domeny <em>example.com<\/em>.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> ALL:192.168.0.<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">\u00a0Zezwala na dost\u0119p do wszystkich us\u0142ug hostom z podsieci 192.168.0.0\/24.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do wszystkich us\u0142ug hostom z podsieci 192.168.0.0\/24.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> sshd:ALL<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do ssh ze wszystkich host\u00f3w.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do ssh ze wszystkich host\u00f3w.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> sshd:LOCAL<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do ssh z sieci lokalnej.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do ssh z sieci lokalnej.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> vsftpd:192.168.0.<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do ftp z podsieci 192.168.0.0\/24.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do ftp z podsieci 192.168.0.0\/24.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> vsftpd:192.168.0.0\/24<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do ftp z podsieci 192.168.0.0\/24.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do ftp z podsieci 192.168.0.0\/24.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> vsftpd:192.168.0. EXCEPT<\/code><\/span><br \/>\n<span style=\"color: #008000;\"><code>192.168.0.25<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do ftp z podsieci 192.168.0.0\/24 z wyj\u0105tkiem hosta 192.168.0.25.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do ftp z podsieci 192.168.0.0\/24 z wyj\u0105tkiem hosta 192.168.0.25.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> vsftpd:192.168.0. EXCEPT<\/code><\/span><br \/>\n<span style=\"color: #008000;\"><code>192.168.0.25, 192.168.0.26<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do ftp z podsieci 192.168.0.0\/24 z wyj\u0105tkiem host\u00f3w 192.168.0.25, 192.168.0.26.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do ftp z podsieci 192.168.0.0\/24 z wyj\u0105tkiem host\u00f3w 192.168.0.25, 192.168.0.26.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> vsftpd,sshd:user1@192.168.0. <\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do ftp i ssh u\u017cytkownikowi user1 z podsieci 192.168.0.0\/24.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do ftp i ssh u\u017cytkownikowi user1 z podsieci 192.168.0.0\/24.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> vsftpd,sshd@192.168.0.110:<\/code><\/span><br \/>\n<span style=\"color: #008000;\"><code>192.168.1.<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do ftp i ssh wszystkim u\u017cytkownikom z hosta 192.168.0.110 i podsieci 192.168.1.0\/24.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do ftp i ssh wszystkim u\u017cytkownikom z hosta 192.168.0.110 i podsieci 192.168.1.0\/24.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 135px;\"><span style=\"color: #008000;\"><code> ALL EXCEPT<\/code><\/span><br \/>\n<span style=\"color: #008000;\"><code>sshd:192.168.0.<\/code><\/span><\/td>\n<td style=\"width: 262.95px;\">Zezwala na dost\u0119p do wszystkich us\u0142ug z wyj\u0105tkiem ssh z podsieci 192.168.0.0\/24.<\/td>\n<td style=\"width: 266.05px;\">Zabrania dost\u0119pu do wszystkich us\u0142ug z wyj\u0105tkiem ssh z podsieci 192.168.0.0\/24.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Wszystkie komunikaty zwi\u0105zane z wrapperami logowane s\u0105 do pliku <i>\/var\/log\/secure.<\/i><\/p>\n","protected":false},"excerpt":{"rendered":"<p>TCP Wrappers to mechanizm wykorzystywany do ograniczania dost\u0119pu do us\u0142ug uruchomionych w systemie. TCP Wrappers mog\u0105 kontrolowa\u0107 dost\u0119p do takich us\u0142ug jak ftp, ssh, telnet, tftp, finger, rsh i talk. Pliki konfiguracyjne tego mechanizmu to \/etc\/host.allow i \/etc\/hosts.deny. Domy\u015blnie pliki nie zawieraj\u0105 \u017cadnych restrykcji. Je\u017celi te pliki nie zawieraj\u0105 \u017cadnych wpis\u00f3w odno\u015bnie u\u017cytkownika lub \u017ar\u00f3d\u0142a, &hellip; <\/p>\n<p class=\"link-more\"><a href=\"http:\/\/miro.borodziuk.eu\/index.php\/2017\/05\/10\/tcp-wrappers\/\" class=\"more-link\">Continue reading<span class=\"screen-reader-text\"> &#8220;TCP Wrappers&#8221;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1065,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[46,49],"tags":[],"_links":{"self":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts\/1063"}],"collection":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/comments?post=1063"}],"version-history":[{"count":17,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts\/1063\/revisions"}],"predecessor-version":[{"id":1192,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts\/1063\/revisions\/1192"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/media\/1065"}],"wp:attachment":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/media?parent=1063"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/categories?post=1063"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/tags?post=1063"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}