Hướng dẫn cấu hình SSH TCP Wrappers trên Centos

huong-dan-cau-hinh-ssh-tren-centos-logoTCP Wrappers có thể được sử dụng để cấp phép (allow) hoặc từ chối ( deny) các mạng khác nhau đến server của bạn. Kết nối ở đây có thể là bên trong nội bộ hoặc bên ngoài mạng , bằng cách sử dụng ACL Rule bao gồm 2 file đó là: hosts.allow và hosts.deny

 

 

Cách thức hoạt động TCP Wrappers :

Khi một Client truy cập đến Server bằng kết nối SSH, phiên kết nối sẽ phải thông qua TCP Wrappers Service. Lúc này, TCP Wrappers sẽ :

Bước 1 : Kiểm tra file hosts.allow và áp dụng rule đầu tiên được thiết lập. Nếu thấy phù hợp thì kết nối được thiết lập, nếu không phù hợp sẽ chuyển sang Bước 2

Bước 2 : Tiến hành kiểm tra tiếp file hosts.deny và tìm rule phù hợp để deny

huong-dan-cau-hinh-ssh-tcp-wrapper-tren-centos-01

Quy tắc TCP Wrappers :

  • hosts.allow sẽ được ưu tiên hơn hosts.deny : Nếu xảy ra trường hợp cả 2 file này đều allow và deny cùng 1 IP, thì IP này sẽ vẫn được allow.
  • Chỉ có 1 Rule cho mỗi dịch vụ trong hosts.allow và host.deny
  • Nếu không có rule nào phù hợp trong 2 file thì kết nối SSH từ Client đến Server vẫn được thực hiện
  • Bất kì thay đổi nào trong 2 file đều có hiệu lực ngay lâp tức

Cú pháp TCP Wrappers :

daemon : client [:option1:option2:...]

daemon : Dịch vụ ssh , ftp , portmap…

client : hostname , IP…

option : Hành động

Ví dụ :

Cho phép Client có IP 192.168.1.158 kết nối SSH đến Server có IP 192.168.1.10. Các kết nối khác deny

Trên Server SSH ta cấu hình như sau :

#vi /etc/hosts.allowhuong-dan-cau-hinh-ssh-tcp-wrapper-tren-centos-02

sshd: 192.168.1.158 : allowhuong-dan-cau-hinh-ssh-tcp-wrapper-tren-centos-03

#vi /etc/hosts.denyhuong-dan-cau-hinh-ssh-tcp-wrapper-tren-centos-04

sshd: ALLhuong-dan-cau-hinh-ssh-tcp-wrapper-tren-centos-05

Lúc này, Tiến hành Test ta thấy chỉ có IP Client là : 192.168.1.158 mới kết nối được SSH.

Chúc các bạn thành công

Ads

 

Leave a Reply