Monday, April 21, 2014

Cách sử dụng /etc/hosts.allow và /etc/hosts.deny

Hai tập tin này định nghĩa các quy tắt(luật) truy cập vào hệ thống ở tầng ứng dụng mạng. Dựa trên điều khiển TCPWappers và tôi thường gọi nó là một dạng tường lửa ở tầng ứng dụng. Số khác thì gọi là ACL(ACCESS CONTROL LIST).v.v.
IP access deny
Giới hạn truy cập vào hệ thống với hosts.deny

Thứ tự ưu tiên của /etc/hosts.allow trước, rồi đến /etc/hosts.deny. Nghĩa là nếu có trong hosts.allow thì không cần tìm trong hosts.deny nữa.
Cú pháp trong hosts.allow và hosts.deny như sau:
deamon: client [tùy chọn1: tùy chọn 2:...]
Trong đó:
  • deamon: là dịch vụ cần áp đặt luật. Nếu để là ALL sẽ áp dụng cho mọi dịch vụ.
  • client: là địa chỉ ip nguồn, host nguồn
  • phần tùy chọn sẽ trình bày trong bài viết sau
Ta chỉ cần nhớ nếu luật được ghi vào hosts.allow thì đồng nghĩa với việc cho phép, ngược lại ghi vào hosts.deny thì không cho phép.
Ví dụ:
Cho phép client 192.168.1.20 truy cập vào ssh.

Cách thực hiện
Bước 1: Mở tập tin /etc/hosts.allow, có thể sử dụng vi, nano, ee .v.v.
vi /etc/hosts.allow
Bước 2: Thêm dòng sau vào cuối tập tin
sshd: 192.168.1.20
Bước 3: Lưu lại nội dung tập tin ở trên.
Các ví dụ sau cách thực hiện cũng tương tự, có thể cần thay đổi tập tin hosts.allow hoặc hosts.deny tùy vào từng trường hợp như đã giải thích ở trên.
Mẹo:
Nếu có nhiều client ta sử dụng dấu ‘,’ để ngăn cách
Nếu muốn áp đặt cho một lớp mạng ta khai báo lớp mạng và kết thúc với dấu ‘.’
Ví dụ:
sshd: 192.168.1. , 192.168.3.2
Áp dụng luật trên với lớp mạng 192.168.1.0 và IP 192.168.3.2
Ví dụ:
Chặn mọi truy cập từ client có IP 192.168.10.10
ALL: 192.168.10.10
Ở đây deamon đã được thay thành ALL, tương đương với tất cả. Nghĩa là dịch vụ nào cũng chịu ảnh hưởng từ luật này. Nhớ là thêm nội dung đó vào tập tin hosts.deny nhé.
Gợi ý:
ALL có thể sử dụng cho deamon lẫn client.
Ví dụ:
Chặn tất cả client truy cập vào vsftp
vsftpd: ALL

Để bài viết ngắn gọn và truyền tải được nội dung, tôi xin dừng bài viết ở đây để đúc kết lại vài ý:
  • Cách sử dụng hosts.allow và hosts.deny cũng khá tương tự như các khái niệm ACL trên Cisco .v.v. Nói chung đây là một dạng điều khiển truy cập vào hệ thống ở mức ứng dụng.
  • Cũng có thể gọi đây là một dạng firewall đơn giản, vì đúng bản chất nó rất đơn giản.
  • Ngoài ra nếu muốn tìm hiểu thêm về firewall trên Linux ta nên tìm hiểu về netfilter và iptables. (Sẽ mất nhiều thời gian đào bới kiến thức về thằng firewall này đó :)) )
Link:http://phanquocly.com/networking/cach-su-dung-etc-hosts-allow-va-etc-hosts-deny/

Related Posts:

  • Cài đặt công cụ giám sát web server apache Bạn đã có cho mình một web server từ những bài trước. Bạn là admin của web server thì vấn đề giám sát hoạt động của các website là không thể thiếu. Chúng ta cần phải biết có bao nhiêu lượt truy cập, bao nhiêu dung lượng được… Read More
  • SGID and SUID What is SGID? SGID (Set Group ID up on execution) is a special type of file permissions given to a file/folder. Normally in Linux/Unix when a program runs, it inherits access permissions from the logged in use… Read More
  • BigDumpSử dụng Bigdump rất đơn giản, hãy làm theo các bước sau và tới 99% bạn có thể upload data lên hosting. 1, Tải Bigdump phiên bản mới nhất tại blog này. 2, Giải nén bạn sẽ được file bigdump.php. Upload lên host sao cho bạn có t… Read More
  • Quản lý user trên linux1. Các khái niệm cơ bản về quản lý account của Linux và Unix - Account trên Linux/Unix bao gồm nhiều thông tin trong đó hai phần liên quan đến việc sử dụng là username và userID: username: khi sử dụng để login, gán quyền, v… Read More
  • Cấu hình ftp server với vsftpdFTP là 1 dịch vụ dùng để chia sẻ tài nguyên  bài viết này sẻ hướng dẫn các bạn cài đặt cấu hình ftp server với vsftpd 1. Giới thiệu - Là 1 dịch vụ dùng để chia sẻ tài nguyên. - FTP là FTP server chạy trên môi trường L… Read More