skip to main
|
skip to sidebar
梓華﹋ € ﹏≧ . ≦
2007年12月5日 星期三
2007年10月24日 星期三
2007年10月17日 星期三
較新的文章
首頁
訂閱:
文章 (Atom)
§前言§ 這篇文章介紹 TCP Wrapper 的快速安裝方法,並且示範一個簡單的 連線規則(rule)設定方式。目前 TCP Wrapper 最新的版本是 7.6 版, 可以在 http://www.cert.org/ftp/tools/tcp_wrappers/ 取得最新 的版本。 這邊我以 DECunix 4.0 (俗稱為 osf) 為安裝的作業系統,其他的 作業系統安裝步驟也非常類似。很容易就可以舉一反三 ^_^ FreeBSD 有現成的套件可以裝,用 /stand/sysinstall 來加入 packages 就可以,或是由 /usr/ports/security 下面找找也有。 因此,使用 FreeBSD 的人可以直接跳到後面設定範例那部份。 LINUX 就非常混亂,RedHat Slackware ... 各種版本方法都不同, 用 LINUX 的人請自求多福,或是乖乖的依照下面的說明自己安裝 ^_^ §安裝§ 我把抓回來的 tcp_wrappers_7.6.tar.gz 放在 /usr/local/src/ 目錄下。並且觀察 /etc/inetd.conf 知道大部分的 tcp daemon 程式都位在 /usr/sbin/ 下面。(不同的系統可能位在不同的目錄, 例如 FreeBSD 就把大部分的 tcp daemon 放在 /usr/libexec/ 下面。用下列指令就能編譯 TCP Wrapper 的程式 (請小心大小寫) # cd /usr/local/src # gzip -dfc tcp_wrappers_7.6.tar.gz tar xvf - # cd tcp_wrappers_7.6 # 編輯 Makefile (下面有詳細說明) # make STYLE=-DHOSTS_ACCESS REAL_DAEMON_DIR=/usr/sbin osf 如果你用的是 FreeBSD 請把最後一行的 osf 換成 freebsd 其他的作業系統請自行參考 Makefile 裡面的說明。 上面編輯 Makefile 的部份,主要是要修改關於 tcpd 的連線紀錄 資料,tcpd 預設是把連線紀錄以 LOG_MAIL:LOG_INFO 的方式送出, 但這樣一來就會與 sendmail 的郵件流通紀錄混在一起,造成日後 追查的困難(在成千上萬的的郵件流通紀錄裡面尋找 tcpd 的紀錄 簡直是不可能的任務 :p) 我們希望改用 LOG_DAEMON:LOG_INFO 的方式來紀錄,因為 LOG_DAEMON:LOG_INFO 是系統內最少被使用的紀錄方式。找到 Makefile 裡面的 FACILITY= LOG_MAIL 改成 FACILITY= LOG_DAEMON 這樣就可以了。 因為這一版的 TCP Wrapper 並沒有提供安裝的輔助程式(好奇怪), 所以必須要自己慢慢把編譯好的程式歸定位,使用下面指令,就能 把 TCP Wrapper 的主程式 tcpd 與說明文件 man pages 放到系統 的正確位置。另外也把程式庫 libwrap.a 以及標頭檔 tcpd.h 放到 系統內相關的位置。以後如果有需要,可以使用 libwrap.a 與 tcpd.h 來發展自己的程式。 # mkdir /usr/local/sbin # cp tcpd /usr/local/sbin/ # cp *.3 /usr/man/man3/ # cp *.5 /usr/man/man5/ # cp *.8 /usr/man/man8/ # cp libwrap.a /usr/lib/ # cp tcpd.h /usr/include/ # touch /etc/hosts.allow # touch /etc/hosts.deny 進行到這邊,安裝的工作已經完成。可以把 tcp_wrappers_7.6 這個目錄砍了,節省硬碟的空間。 下一次,我會說明如何讓 TCP Wrapper 把每一個連線都記錄下來, 以便發生意外之後可以追查(:p)。也會說明如何撰寫連線規則(rule) 以及相關注意的事項。-------------- ^_^ --------------
計數器
誰最38??˙w˙(不要打我
網誌存檔
▼
2007
(3)
▼
12月
(1)
無標題
►
10月
(2)
無標題
無標題
關於我自己
梓華﹋ € ﹏≧ . ≦
檢視我的完整簡介