آموزش پیشرفته نصب و پیکربندی سرویس امنیتی TCP Wrappers (hosts.allow, hosts.deny) جلد اول

این ابزار در لایه‌ی Transport Layer از مدل OSI کار می‌کند و به‌عنوان یک ACL (Access Control List) برای برنامه‌هایی مانند SSH, FTP, Telnet و دیگر سرویس‌های تحت TCP عمل می‌کند.

نحوه کار TCP Wrappers

TCP Wrappers بر پایه‌ی دو فایل اصلی عمل می‌کند:

• /etc/hosts.allow : تعیین می‌کند که کدام کلاینت‌ها مجاز به اتصال هستند.
• /etc/hosts.deny : تعیین می‌کند که کدام کلاینت‌ها مجاز به اتصال نیستند.

هنگامی که یک کلاینت سعی در برقراری ارتباط با یک سرویس محافظت‌شده دارد، فرآیند زیر اتفاق می‌افتد:

1. بررسی می‌شود که آیا برنامه‌ی موردنظر از libwrap پشتیبانی می‌کند یا نه.
2. سیستم ابتدا فایل /etc/hosts.allow را بررسی می‌کند.
   • اگر یک قانون منطبق یافت شود، اتصال مجاز است.
3. اگر در hosts.allow موردی پیدا نشود، فایل /etc/hosts.deny بررسی می‌شود.
   • اگر در این فایل نیز موردی وجود داشته باشد، اتصال رد می‌شود.
4. در صورت عدم وجود هیچ‌گونه قانون در هر دو فایل، اتصال برقرار می‌شود.

مثال‌هایی از پیکربندی TCP Wrappers

اجازه دسترسی به یک IP خاص برای SSH:

فایل /etc/hosts.allow را ویرایش کنید:

sshd: 192.168.1.100

مسدود کردن تمام دسترسی‌های دیگر:

فایل /etc/hosts.deny را ویرایش کنید:

ALL: ALL

اجازه دسترسی به یک رنج IP برای FTP:

vsftpd: 192.168.1.

ثبت تمامی تلاش‌های ناموفق:

می‌توان دستورات لاگ‌گیری را برای ثبت تلاش‌های ناموفق استفاده کرد:

sshd: ALL: /bin/echo "Unauthorized access attempt detected!" >> /var/log/tcpwrappers.log

بررسی وضعیت سرویس‌های تحت کنترل TCP Wrappers

برای بررسی اینکه یک برنامه از libwrap پشتیبانی می‌کند یا نه، می‌توان از دستور زیر استفاده کرد:

ldd /usr/sbin/sshd | grep libwrap

اگر خروجی شامل libwrap.so باشد، یعنی سرویس موردنظر از TCP Wrappers پشتیبانی می‌کند.

جمع‌بندی

TCP Wrappers یکی از روش‌های قدیمی و مؤثر برای کنترل دسترسی به سرویس‌های شبکه‌ای در لینوکس است. با این حال، امروزه اغلب از فایروال‌هایی مانند iptables و firewalld برای مدیریت دسترسی‌ها استفاده می‌شود. با این وجود، در سیستم‌های قدیمی که هنوز از TCP Wrappers پشتیبانی می‌کنند، می‌تواند یک لایه امنیتی اضافی مفید باشد.

ارتباط TCP Wrappers با سایر لایه‌های امنیتی

مدل امنیتی لینوکس شامل چندین لایه است که هرکدام در بخش‌های مختلفی از سیستم عمل می‌کنند. جایگاه TCP Wrappers در این مدل به‌صورت زیر مشخص می‌شود:

1. کنترل سطح دسترسی به سرویس‌ها (Application Layer Security)
   • TCP Wrappers در لایه کاربردی (Application Layer) کار می‌کند و به برنامه‌ها این امکان را می‌دهد که قبل از قبول یک اتصال، آن را فیلتر کنند.
   • برای برنامه‌هایی که از libwrap استفاده می‌کنند، یک فیلتر اولیه برای درخواست‌های ورودی ایجاد می‌کند.
2. قبل از پردازش توسط سرویس‌ها
   • در حالی که iptables و firewalld ترافیک را در سطح کرنل و بسته‌های شبکه‌ای (Packet Filtering) کنترل می‌کنند، TCP Wrappers قبل از پردازش درخواست توسط سرویس‌های کاربر (User-Space Services) اجرا می‌شود.
   • به‌عبارت دیگر، اگر یک درخواست در TCP Wrappers مسدود شود، هرگز به برنامه اصلی مانند SSH یا FTP نخواهد رسید.
3. هماهنگی با سایر مکانیزم‌های امنیتی
   • TCP Wrappers می‌تواند در کنار iptables و firewalld برای ارائه‌ی یک لایه امنیتی مضاعف استفاده شود.
   • در کنار ابزارهایی مانند fail2ban برای جلوگیری از حملات brute-force مفید است.
   • در صورتی که SELinux یا AppArmor فعال باشد، آن‌ها می‌توانند از اجرای غیرمجاز سرویس‌های محافظت‌شده جلوگیری کنند، اما TCP Wrappers مشخص می‌کند که کدام کلاینت‌ها مجاز به استفاده از سرویس‌ها هستند.

تفاوت TCP Wrappers با فایروال‌های مبتنی بر کرنل

کاربرد TCP Wrappers در کنار فایروال‌ها

در محیط‌هایی که از فایروال‌هایی مانند iptables یا firewalld استفاده می‌شود، همچنان می‌توان از TCP Wrappers برای کنترل دقیق‌تر دسترسی به سرویس‌ها بهره برد. این ترکیب امنیتی می‌تواند به شکل زیر پیاده‌سازی شود:

1. مسدود کردن آی‌پی‌های ناشناس در فایروال

   iptables -A INPUT -s 203.0.113.0/24 -j DROP
   

2. اجازه دسترسی به یک IP خاص برای SSH در TCP Wrappers

   echo "sshd: 192.168.1.100" >> /etc/hosts.allow
   echo "sshd: ALL" >> /etc/hosts.deny
   

3. استفاده از fail2ban برای جلوگیری از حملات brute-force

   apt install fail2ban
   

جمع‌بندی

TCP Wrappers به‌عنوان یک لایه امنیتی اضافی در سطح برنامه‌های شبکه‌ای عمل می‌کند و به مدیران سیستم امکان می‌دهد که کنترل دقیق‌تری بر دسترسی کلاینت‌ها داشته باشند. اگرچه امروزه ابزارهایی مانند iptables، firewalld و SELinux جایگزین بهتری برای کنترل دسترسی در سطح سیستم‌عامل هستند، اما در برخی موارد استفاده از TCP Wrappers به‌همراه این ابزارها می‌تواند امنیت شبکه را بهبود بخشد.

نحوه عملکرد TCP Wrappers

TCP Wrappers به کمک کتابخانه‌ی libwrap کار می‌کند و برای برنامه‌هایی که از این کتابخانه پشتیبانی می‌کنند، قبل از برقراری ارتباط، یک مرحله احراز هویت و بررسی دسترسی را اجرا می‌کند. مراحل عملکرد آن به‌صورت زیر است:

1. دریافت درخواست اتصال به سرویس
   • وقتی یک کلاینت سعی می‌کند به یک سرویس شبکه‌ای (مانند SSH، FTP یا Telnet) متصل شود، ابتدا درخواست آن توسط TCP Wrappers بررسی می‌شود.
2. بررسی فایل‌های کنترل دسترسی
   • TCP Wrappers از دو فایل مهم برای تعیین مجوز دسترسی استفاده می‌کند:
     • /etc/hosts.allow → مشخص می‌کند که کدام کلاینت‌ها اجازه دسترسی دارند.
     • /etc/hosts.deny → مشخص می‌کند که کدام کلاینت‌ها مسدود شوند.
   • ابتدا فایل /etc/hosts.allow بررسی می‌شود؛ اگر کلاینت در این فایل مجاز باشد، اجازه دسترسی داده می‌شود.
   • اگر کلاینت در فایل /etc/hosts.allow نباشد، فایل /etc/hosts.deny بررسی شده و در صورت یافتن تطابق، اتصال رد می‌شود.
   • اگر هیچ قانونی برای کلاینت در این دو فایل وجود نداشته باشد، معمولاً دسترسی داده می‌شود.
3. اجازه یا رد درخواست
   • اگر کلاینت در لیست مجازها (hosts.allow) باشد، سرویس موردنظر اجازه دسترسی را صادر می‌کند.
   • اگر کلاینت در لیست ممنوع‌ها (hosts.deny) باشد، اتصال رد شده و پیام مناسب در سیستم لاگ ذخیره می‌شود.

مثال‌هایی از کنترل دسترسی با TCP Wrappers

۱. اجازه دسترسی فقط به یک IP خاص برای سرویس SSH

echo "sshd: 192.168.1.100" >> /etc/hosts.allow
echo "sshd: ALL" >> /etc/hosts.deny

توضیح:

• فقط آدرس 192.168.1.100 اجازه اتصال به SSH را دارد.
• تمامی کلاینت‌های دیگر مسدود می‌شوند.

۲. اجازه دسترسی به کلاینت‌های یک شبکه خاص

echo "vsftpd: 192.168.1." >> /etc/hosts.allow
echo "vsftpd: ALL" >> /etc/hosts.deny

توضیح:

• فقط کلاینت‌هایی که آدرس آن‌ها با 192.168.1. شروع می‌شود، مجاز به اتصال به FTP Server (vsftpd) هستند.

۳. جلوگیری از دسترسی یک آدرس خاص

echo "telnetd: 203.0.113.50" >> /etc/hosts.deny

توضیح:

• کلاینتی با IP 203.0.113.50 اجازه اتصال به Telnet Server را ندارد.

۴. ثبت ورودهای غیرمجاز در فایل لاگ

echo "sshd: ALL: spawn /bin/echo \"Unauthorized access from %h\" >> /var/log/tcpwrappers.log" >> /etc/hosts.deny

توضیح:

• هر درخواست SSH که رد شود، پیامی در لاگ /var/log/tcpwrappers.log ثبت می‌شود.

جمع‌بندی

TCP Wrappers یک لایه امنیتی در سطح سرویس‌های شبکه‌ای ایجاد می‌کند و به مدیران سیستم امکان می‌دهد که دسترسی کلاینت‌ها را بر اساس IP، نام میزبان و سایر فیلترها مدیریت کنند. با اینکه امروزه ابزارهای مدرن‌تر مانند iptables، firewalld و fail2ban برای کنترل دسترسی به شبکه پیشنهاد می‌شوند، اما TCP Wrappers همچنان در برخی سناریوهای امنیتی مفید است و می‌تواند در کنار فایروال‌ها برای افزایش امنیت شبکه مورد استفاده قرار گیرد.

یکی از مهم‌ترین ابزارهایی که Wietse Venema توسعه داد، TCP Wrappers است که تأثیر قابل‌توجهی در افزایش امنیت سرویس‌های شبکه‌ای داشت.

توسعه اولیه TCP Wrappers

۱. انگیزه توسعه

در اواخر دهه ۱۹۸۰ و اوایل ۱۹۹۰، بسیاری از سرویس‌های شبکه‌ای در سیستم‌عامل‌های یونیکس امنیت ضعیفی داشتند و فاقد مکانیزم کنترل دسترسی داخلی بودند. در آن دوران، مهاجمان به‌راحتی می‌توانستند از طریق سرویس‌های ناامن مانند Telnet و RSH به سیستم‌ها نفوذ کنند. Venema که در آن زمان در مؤسسه Eindhoven University of Technology فعالیت داشت، متوجه شد که بسیاری از حملات نفوذ از طریق پورت‌های باز سیستم انجام می‌شود.

او برای نظارت و کنترل این دسترسی‌های ناخواسته، ابزاری به نام TCP Wrappers توسعه داد که به مدیران سیستم اجازه می‌داد که دسترسی به سرویس‌های شبکه‌ای را بر اساس IP و نام میزبان کنترل کنند.

۲. نحوه توسعه اولیه

TCP Wrappers در ابتدا به‌عنوان یک لایه امنیتی اضافی برای سرویس‌های اینترنتی یونیکس طراحی شد. این ابزار به کمک یک کتابخانه‌ی خاص به نام libwrap توسعه داده شد که بین کلاینت و سرویس موردنظر قرار می‌گرفت و قبل از برقراری ارتباط، مجوزهای دسترسی را بررسی می‌کرد.

۳. انتشار اولیه و تأثیرگذاری

اولین نسخه از TCP Wrappers در اوایل دهه ۱۹۹۰ منتشر شد و به‌سرعت در سیستم‌عامل‌های یونیکس و لینوکس مورد استفاده قرار گرفت. بسیاری از توزیع‌های لینوکسی این ابزار را به‌صورت پیش‌فرض در کنار سرویس‌های Telnet، SSH، FTP و RSH قرار دادند تا کنترل دقیق‌تری بر روی دسترسی‌های شبکه‌ای داشته باشند.

پروژه‌های دیگر Wietse Venema

علاوه بر TCP Wrappers، Venema پروژه‌های مهم دیگری را در حوزه امنیت توسعه داده است، از جمله:

• Postfix → یکی از محبوب‌ترین و امن‌ترین سرویس‌های Mail Server که به‌عنوان جایگزینی برای Sendmail طراحی شد.
• SATAN (Security Administrator Tool for Analyzing Networks) → یکی از اولین ابزارهای امنیتی برای تحلیل آسیب‌پذیری‌های شبکه‌ای در دهه ۱۹۹۰.
• The Coroner’s Toolkit (TCT) → مجموعه‌ای از ابزارهای جرم‌شناسی دیجیتال برای تحلیل سیستم‌های آلوده.
• PORTUS → ابزاری برای تحلیل حملات به سرورها و لاگ‌های امنیتی.

جمع‌بندی

Wietse Venema یکی از چهره‌های کلیدی در امنیت سیستم‌های یونیکس و لینوکس است. توسعه TCP Wrappers تأثیر زیادی در افزایش امنیت سرویس‌های شبکه‌ای داشت و مبنای بسیاری از راهکارهای مدرن امنیتی مانند iptables و fail2ban شد. با اینکه امروزه فایروال‌ها جایگزین این ابزار شده‌اند، اما TCP Wrappers همچنان در برخی از توزیع‌های لینوکسی قابل استفاده است.

۱. مشکلات امنیتی سرویس‌های شبکه‌ای

یکی از اصلی‌ترین مشکلات امنیتی، عدم وجود کنترل دقیق بر دسترسی‌های شبکه‌ای به سرویس‌ها بود. بسیاری از این سرویس‌ها به‌طور پیش‌فرض به همه میزبان‌ها اجازه اتصال می‌دادند بدون اینکه محدودیتی برای کاربران یا آدرس‌های IP خاص اعمال شود. به همین دلیل، مهاجمان می‌توانستند به راحتی با اسکن کردن پورت‌ها و استفاده از آسیب‌پذیری‌ها به سیستم‌های هدف نفوذ کنند. در نتیجه، نیاز به ابزاری برای کنترل دسترسی دقیق و بررسی تهدیدات شبکه‌ای احساس می‌شد.

۲. انگیزه توسعه TCP Wrappers

Wietse Venema که در آن زمان به‌عنوان متخصص امنیت سیستم‌ها در دانشگاه Eindhoven هلند فعالیت می‌کرد، متوجه شد که باید ابزاری برای کنترل دسترسی به سرویس‌های شبکه‌ای ایجاد کند. این ابزار باید بتواند به مدیران سیستم کمک کند تا قبل از برقراری ارتباط، دسترسی‌ها را بررسی کنند و از حملات نفوذ جلوگیری کنند. در همین راستا، او شروع به توسعه TCP Wrappers کرد که به‌طور خاص برای مدیریت دسترسی به سرویس‌های شبکه‌ای و شناسایی تهدیدات طراحی شده بود.

۳. ویژگی‌های کلیدی TCP Wrappers

TCP Wrappers با استفاده از یک کتابخانه به نام libwrap عمل می‌کند که به‌طور میان‌افزار بین سرویس‌ها و کاربران عمل می‌کند. این کتابخانه به‌مدیران سیستم اجازه می‌دهد تا دسترسی‌های ورودی به سرویس‌های شبکه‌ای را براساس آدرس‌های IP و نام میزبان محدود کنند و فقط به آدرس‌های مجاز اجازه اتصال بدهند. ویژگی‌های کلیدی این ابزار شامل موارد زیر است:

• بررسی و فیلتر کردن دسترسی‌ها: TCP Wrappers به‌طور خودکار بررسی می‌کند که آیا درخواست اتصال به آدرس‌های IP مجاز مربوط می‌شود یا خیر.
• پشتیبانی از فایل‌های تنظیمات: فایل‌هایی مانند /etc/hosts.allow و /etc/hosts.deny به مدیران سیستم این امکان را می‌دهند که به‌صورت دقیق و ساده دسترسی به سرویس‌ها را مدیریت کنند.
• یکپارچگی با سرویس‌های مختلف: این ابزار به‌طور مستقیم با سرویس‌هایی مانند SSH، Telnet، FTP و RSH یکپارچه می‌شود و به مدیران این امکان را می‌دهد که تمام این سرویس‌ها را در یک محیط امن کنترل کنند.

۴. پاسخ به نیازهای امنیتی

هدف اصلی طراحی TCP Wrappers، فراهم کردن یک لایه امنیتی اضافی برای سرویس‌های شبکه‌ای بود. این ابزار به مدیران سیستم این امکان را می‌دهد که با محدود کردن دسترسی‌ها، ایجاد فیلترهای دقیق‌تر و بررسی تهدیدات، امنیت سیستم‌ها را به‌طور چشمگیری افزایش دهند. به این ترتیب، TCP Wrappers به ابزاری حیاتی برای جلوگیری از حملات نفوذ، تشخیص حملات DoS (Denial of Service) و محافظت در برابر دسترسی‌های غیرمجاز تبدیل شد.

جمع‌بندی

انگیزه اصلی طراحی TCP Wrappers، پاسخ به نیازهای امنیتی ناشی از ضعف در کنترل دسترسی به سرویس‌های شبکه‌ای و آسیب‌پذیری‌های موجود در سیستم‌های یونیکس بود. این ابزار با ارائه یک روش ساده و مؤثر برای مدیریت دسترسی به سرویس‌های شبکه‌ای، به مدیران سیستم کمک کرد تا از حملات نفوذ جلوگیری کنند و امنیت سیستم‌های خود را افزایش دهند. TCP Wrappers به‌عنوان یکی از اولین ابزارهای امنیتی در این حوزه، تأثیر بزرگی در ارتقاء سطح امنیت شبکه‌های یونیکس و لینوکس داشته است.

۱. جایگاه تاریخی TCP Wrappers

TCP Wrappers در دهه ۱۹۹۰، زمانی که سرویس‌های شبکه‌ای زیادی در حال رشد بودند، به‌عنوان یک ابزار ساده و مؤثر طراحی شد. این ابزار به‌طور خاص برای کنترل دسترسی به سرویس‌های شبکه‌ای در سیستم‌های یونیکس و لینوکس کاربرد داشت. برای مثال، ابزارهایی مانند Telnet، FTP، RSH، SSH، و NFS به‌طور مستقیم به پورت‌های شبکه متصل می‌شدند و در صورت نداشتن کنترل دسترسی مناسب می‌توانستند به حملات نفوذ منجر شوند. TCP Wrappers این مشکل را با استفاده از فیلتر کردن دسترسی‌ها به‌وسیله فایل‌های پیکربندی ساده مانند /etc/hosts.allow و /etc/hosts.deny حل می‌کرد.

این ابزار به‌عنوان یک لایه امنیتی اضافی برای کنترل دسترسی‌ها به سرویس‌ها عمل می‌کرد و مدیران سیستم می‌توانستند به‌طور ساده و سریع دسترسی به سرویس‌ها را برای آدرس‌های IP مشخص مجاز یا غیرمجاز کنند. TCP Wrappers در زمان خود ابزاری موثر بود که نیاز به امنیت سرویس‌های شبکه‌ای را برطرف می‌کرد.

۲. معرفی روش‌های نوین: Firewalld و iptables

در حالی که TCP Wrappers یک ابزار مؤثر برای کنترل دسترسی به سرویس‌ها بود، با گذشت زمان و پیچیده‌تر شدن نیازهای امنیتی شبکه‌ها، ابزارهای قدرتمندتری مانند iptables و Firewalld توسعه یافتند.

• iptables:
  iptables به‌عنوان یک ابزار فیلترینگ بسته در سیستم‌عامل لینوکس معرفی شد و از زمان کرنل ۲.۴ به بعد به‌عنوان ابزاری برای مدیریت ترافیک شبکه در سیستم‌های لینوکس استفاده می‌شود. این ابزار به‌طور مؤثر می‌تواند بسته‌های ورودی و خروجی را بر اساس آدرس IP، پورت‌ها، پروتکل‌ها و سایر ویژگی‌ها فیلتر کند. iptables به‌عنوان یکی از قدرتمندترین ابزارها برای مدیریت امنیت شبکه، نه‌تنها امکان کنترل دسترسی به سرویس‌ها، بلکه قابلیت‌های پیشرفته‌ای مانند ترکیب قوانین، فیلتر کردن بسته‌ها بر اساس معیارهای مختلف و مدیریت NAT (ترجمه آدرس شبکه) را نیز فراهم می‌کند.
• Firewalld:
  Firewalld ابزاری است که به‌طور خاص برای مدیریت فایروال‌ها در سیستم‌عامل لینوکس طراحی شده و استفاده از آن راحت‌تر از iptables است. Firewalld در سیستم‌عامل‌های مدرن مانند Fedora و RHEL استفاده می‌شود و قابلیت مدیریت فایروال‌ها به‌صورت داینامیک را فراهم می‌کند. برخلاف iptables که باید پیکربندی‌های پیچیده‌ای داشته باشد، Firewalld به‌طور خودکار می‌تواند با تنظیمات پیش‌فرض کار کند و به‌طور زنده تنظیمات فایروال را اعمال کند.

۳. مقایسه TCP Wrappers با iptables و Firewalld

• سطح کنترل:
  TCP Wrappers تنها به کنترل دسترسی به سرویس‌ها می‌پردازد، یعنی تنها می‌تواند تعیین کند که کدام آدرس‌های IP یا میزبان‌ها به سرویس‌های خاص دسترسی داشته باشند. این در حالی است که iptables و Firewalld کنترل بیشتری دارند و می‌توانند بسته‌های شبکه را بر اساس ویژگی‌های مختلف فیلتر کنند. این ابزارها می‌توانند پروتکل‌ها، پورت‌ها، و آدرس‌های IP را کنترل کنند و به‌طور کلی مدیریت بهتری بر ترافیک شبکه دارند.
• مقیاس‌پذیری و انعطاف‌پذیری:
  TCP Wrappers بیشتر برای سیستم‌های کوچک و متوسط طراحی شده بود و به دلیل اینکه تنها دسترسی به سرویس‌ها را فیلتر می‌کرد، در مقایسه با iptables و Firewalld که امکان مدیریت کامل ترافیک شبکه را دارند، محدودیت‌های زیادی داشت. iptables و Firewalld به‌عنوان ابزارهایی با قابلیت‌های گسترده‌تر، می‌توانند در مقیاس‌های بزرگتر و پیچیده‌تر نیز عمل کنند.
• پیکربندی و سهولت استفاده:
  پیکربندی TCP Wrappers به‌دلیل استفاده از فایل‌های پیکربندی ساده مانند /etc/hosts.allow و /etc/hosts.deny آسان بود. در مقابل، پیکربندی iptables و Firewalld پیچیده‌تر است و نیازمند درک دقیق‌تری از اصول فیلترینگ بسته‌ها و نحوه مدیریت شبکه است. Firewalld سعی کرده است این پیچیدگی را کاهش دهد و به‌عنوان ابزاری کاربرپسندتر برای پیکربندی فایروال‌ها طراحی شده است.

جمع‌بندی

در مقایسه با iptables و Firewalld، TCP Wrappers ابزاری ساده و مؤثر برای کنترل دسترسی به سرویس‌های شبکه‌ای بود که در زمان خود نقشی حیاتی در مدیریت امنیت ایفا می‌کرد. اما با پیچیده‌تر شدن نیازهای امنیتی و افزایش سطح حملات، ابزارهای جدیدتر مانند iptables و Firewalld به‌عنوان گزینه‌های پیشرفته‌تری برای مدیریت ترافیک شبکه و کنترل دسترسی به سرویس‌ها ظهور کردند. این ابزارها امکانات بیشتر و انعطاف‌پذیری بیشتری دارند و به مدیران سیستم این امکان را می‌دهند که به‌طور دقیق‌تر و پیچیده‌تر شبکه را مدیریت کنند.

در این بخش، نحوه استفاده از TCP Wrappers برای محدود کردن دسترسی به سرویس‌های حساس را با استفاده از پیکربندی‌های کامندی توضیح خواهیم داد.

۱. پیکربندی TCP Wrappers برای محدود کردن دسترسی به سرویس‌های حساس

برای استفاده از TCP Wrappers به‌منظور محدود کردن دسترسی به سرویس‌های حساس، باید فایل‌های پیکربندی زیر را ویرایش کنید:

• /etc/hosts.allow: در این فایل، آدرس‌های IP یا نام میزبان‌هایی که به سرویس‌ها دسترسی دارند، مشخص می‌شود.
• /etc/hosts.deny: در این فایل، آدرس‌های IP یا نام میزبان‌هایی که دسترسی به سرویس‌ها برای آنها مسدود است، مشخص می‌شود.

۲. محدود کردن دسترسی به سرویس SSH

برای مثال، اگر بخواهید دسترسی به سرویس SSH فقط از یک آدرس IP خاص را مجاز کنید، می‌توانید فایل‌های پیکربندی TCP Wrappers را به این شکل تنظیم کنید:

1. ویرایش فایل /etc/hosts.allow برای مجاز کردن دسترسی به سرویس SSH فقط از یک IP خاص (مثلاً 192.168.1.100):

sudo nano /etc/hosts.allow

در این فایل، خط زیر را اضافه کنید:

sshd: 192.168.1.100

این دستور باعث می‌شود که تنها آدرس IP 192.168.1.100 بتواند به سرویس SSH دسترسی داشته باشد.

2. ویرایش فایل /etc/hosts.deny برای مسدود کردن دسترسی به سرویس SSH از سایر آدرس‌ها:

sudo nano /etc/hosts.deny

در این فایل، خط زیر را اضافه کنید:

sshd: ALL

این خط باعث می‌شود که همه آدرس‌های IP دیگر از دسترسی به سرویس SSH جلوگیری شوند.

۳. محدود کردن دسترسی به سرویس FTP

برای محدود کردن دسترسی به سرویس FTP تنها از یک دامنه خاص، مراحل زیر را دنبال کنید:

1. ویرایش فایل /etc/hosts.allow برای مجاز کردن دسترسی به سرویس FTP از دامنه خاص (مثلاً example.com):

sudo nano /etc/hosts.allow

در این فایل، خط زیر را اضافه کنید:

vsftpd: .example.com

2. ویرایش فایل /etc/hosts.deny برای مسدود کردن دسترسی به سرویس FTP از سایر دامنه‌ها:

sudo nano /etc/hosts.deny

در این فایل، خط زیر را اضافه کنید:

vsftpd: ALL

۴. محدود کردن دسترسی به سرویس Telnet

برای محدود کردن دسترسی به Telnet از یک آدرس IP خاص، مشابه با روش‌های قبلی، ابتدا فایل /etc/hosts.allow را ویرایش کرده و خط زیر را اضافه کنید:

sudo nano /etc/hosts.allow

در این فایل، خط زیر را اضافه کنید:

in.telnetd: 192.168.1.100

سپس، در فایل /etc/hosts.deny دسترسی سایر آدرس‌ها را مسدود کنید:

sudo nano /etc/hosts.deny

و خط زیر را اضافه کنید:

in.telnetd: ALL

۵. بررسی پیکربندی‌ها

برای بررسی این تنظیمات و اطمینان از درست بودن پیکربندی‌ها، می‌توانید با استفاده از دستورات زیر تلاش کنید که از آدرس‌های IP مختلف به سرویس‌ها متصل شوید و ببینید که آیا دسترسی به درستی مسدود یا مجاز شده است:

برای تست دسترسی به SSH از یک IP مجاز:

ssh user@192.168.1.100

برای تست دسترسی به FTP از یک دامنه مجاز:

ftp ftp.example.com

برای تست دسترسی به Telnet از یک IP مجاز:

telnet 192.168.1.100

اگر همه چیز به درستی تنظیم شده باشد، تنها آدرس‌های مجاز باید قادر به دسترسی به این سرویس‌ها باشند.

جمع‌بندی

استفاده از TCP Wrappers برای محدود کردن دسترسی به سرویس‌های حساس ابزاری ساده و مؤثر است که به شما این امکان را می‌دهد که تنها آدرس‌های IP خاص یا دامنه‌های مشخص را به سرویس‌های حساس مانند SSH، FTP، و Telnet دسترسی بدهید. این تنظیمات به‌ویژه در مواقعی که می‌خواهید امنیت سرویس‌ها را افزایش دهید و دسترسی به سیستم را به حداقل برسانید، بسیار مفید هستند. TCP Wrappers به‌عنوان یک لایه اضافی امنیتی، با پیکربندی ساده در فایل‌های /etc/hosts.allow و /etc/hosts.deny می‌تواند کنترل دقیقی بر دسترسی به سرویس‌ها اعمال کند.

در این بخش، نحوه ترکیب TCP Wrappers با ابزارهای امنیتی مختلف را بررسی خواهیم کرد و نشان می‌دهیم که چگونه این ابزارها به‌طور هماهنگ کار می‌کنند تا امنیت شبکه را تقویت کنند.

۱. ترکیب TCP Wrappers با iptables

یکی از متداول‌ترین روش‌ها برای تقویت امنیت شبکه، ترکیب TCP Wrappers با iptables است. در حالی که TCP Wrappers به شما این امکان را می‌دهد که دسترسی به سرویس‌ها را در سطح بازیابی شبکه محدود کنید، iptables یک فایروال سطح بسته است که می‌تواند ترافیک ورودی و خروجی به سیستم را فیلتر کند.

پیکربندی iptables برای تقویت امنیت شبکه

1. ابتدا بررسی کنید که iptables نصب و فعال باشد:

sudo systemctl status iptables

2. سپس می‌توانید iptables را برای مسدود کردن تمام ترافیک به سرویس‌ها به جز آدرس‌های IP خاص پیکربندی کنید. به‌عنوان مثال، برای محدود کردن دسترسی به SSH به آدرس‌های IP خاص، دستورات زیر را وارد کنید:

sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

3. برای ذخیره تغییرات، از دستور زیر استفاده کنید:

sudo service iptables save

این دستورات به‌طور مؤثری ترافیک SSH را فقط از آدرس IP 192.168.1.100 مجاز می‌کنند و دسترسی از سایر آدرس‌ها را مسدود می‌کنند.

۲. ترکیب TCP Wrappers با firewalld

firewalld یک ابزار فایروال برای کنترل ترافیک شبکه است که امکان پیکربندی آسان‌تر و به‌روزرسانی‌های پویا را نسبت به iptables فراهم می‌آورد. ترکیب firewalld و TCP Wrappers می‌تواند انعطاف‌پذیری و امنیت بیشتری برای کنترل دسترسی به سرویس‌ها فراهم کند.

پیکربندی firewalld برای استفاده همراه با TCP Wrappers

1. ابتدا مطمئن شوید که firewalld فعال است:

sudo systemctl status firewalld

2. سپس می‌توانید از دستور زیر برای مسدود کردن دسترسی به SSH برای تمام IP‌ها استفاده کنید:

sudo firewall-cmd --zone=public --add-port=22/tcp --permanent
sudo firewall-cmd --zone=public --remove-port=22/tcp --permanent

3. در ترکیب با TCP Wrappers، شما می‌توانید دسترسی به SSH را فقط از IP خاص مجاز کنید. برای مثال:

sudo firewall-cmd --zone=public --add-source=192.168.1.100 --permanent

بعد از انجام این تنظیمات، firewalld به‌طور مؤثری دسترسی به SSH را فقط از IP 192.168.1.100 مجاز خواهد کرد و سایر آدرس‌ها از آن مسدود می‌شوند.

۳. ترکیب TCP Wrappers با SELinux

SELinux (Security-Enhanced Linux) یک ابزار امنیتی است که کنترل دسترسی دقیق‌تری به منابع سیستم فراهم می‌آورد. این ابزار می‌تواند به‌ویژه در ترکیب با TCP Wrappers برای افزایش امنیت سرویس‌ها و جلوگیری از دسترسی غیرمجاز مفید باشد.

پیکربندی SELinux برای ترکیب با TCP Wrappers

1. ابتدا وضعیت SELinux را بررسی کنید:

getenforce

2. اگر SELinux غیرفعال است، آن را به حالت Enforcing تغییر دهید:

sudo setenforce 1

3. برای کنترل دقیق دسترسی به سرویس‌های مختلف با SELinux، می‌توانید تنظیمات خاصی برای سرویس‌ها اعمال کنید. به‌عنوان مثال، برای محدود کردن دسترسی به SSH تنها به کاربران خاص، از دستور زیر استفاده کنید:

sudo semanage port -a -t ssh_port_t -p tcp 2222

این دستور باعث می‌شود که SSH به پورت 2222 منتقل شده و دسترسی به پورت‌های پیش‌فرض برای دیگر کاربران محدود شود.

۴. ترکیب TCP Wrappers با ابزارهای مانیتورینگ و شناسایی تهدیدات

استفاده از TCP Wrappers می‌تواند به همراه ابزارهای مانیتورینگ و شناسایی تهدیدات مانند Fail2Ban و OSSEC مؤثر باشد. این ابزارها می‌توانند تلاش‌های دسترسی غیرمجاز را شناسایی کرده و به‌طور خودکار آی‌پی‌های مهاجم را مسدود کنند.

پیکربندی Fail2Ban برای استفاده با TCP Wrappers

1. نصب Fail2Ban:

sudo apt install fail2ban

2. سپس می‌توانید پیکربندی‌های لازم را برای Fail2Ban انجام دهید تا در صورت تلاش‌های مکرر برای دسترسی غیرمجاز، TCP Wrappers وارد عمل شده و دسترسی‌ها را مسدود کند.

sudo nano /etc/fail2ban/jail.local

در فایل پیکربندی، بخش‌های مربوط به سرویس‌های مختلف مانند SSH را به‌صورت زیر تنظیم کنید:

[sshd]
enabled = true
port    = ssh
filter  = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 600

3. برای راه‌اندازی مجدد Fail2Ban:

sudo systemctl restart fail2ban

این پیکربندی باعث می‌شود که تلاش‌های ناموفق برای دسترسی به SSH بعد از تعداد مشخصی تلاش، به‌طور خودکار مسدود شوند.

جمع‌بندی

ترکیب TCP Wrappers با ابزارهای امنیتی دیگر مانند iptables، firewalld، SELinux و Fail2Ban می‌تواند لایه‌های اضافی امنیتی را برای شبکه فراهم کند. این ابزارها هرکدام نقش خاص خود را دارند و در کنار یکدیگر می‌توانند امنیت سیستم را به طور چشمگیری افزایش دهند. TCP Wrappers کنترل دسترسی به سرویس‌ها را در سطح شبکه فراهم می‌کند، در حالی که ابزارهایی مانند iptables و firewalld به کنترل ترافیک ورودی و خروجی کمک می‌کنند و SELinux امنیت سیستم را با کنترل دقیق دسترسی به منابع بهبود می‌بخشد.

یکی از روش‌های مؤثر برای مقابله با این تهدیدات، استفاده از ابزارهایی مانند TCP Wrappers است. این ابزار می‌تواند به‌طور مؤثری دسترسی به سرویس‌ها را محدود کرده و از سوءاستفاده و حملات Brute Force جلوگیری کند.

۱. استفاده از TCP Wrappers برای محدود کردن دسترسی به سرویس‌ها

TCP Wrappers به شما این امکان را می‌دهد که دسترسی به سرویس‌های مختلف مانند SSH را تنها برای آدرس‌های IP خاص یا دامنه‌های مشخص محدود کنید. این روش به‌ویژه در برابر حملات Brute Force مؤثر است، زیرا مهاجم برای انجام حملات باید از آدرس‌های IP مختلف استفاده کند و این کار باعث ایجاد محدودیت‌های مهمی می‌شود.

پیکربندی TCP Wrappers برای محدود کردن دسترسی به SSH

1. فایل پیکربندی TCP Wrappers، یعنی /etc/hosts.allow و /etc/hosts.deny، را ویرایش کنید تا دسترسی به سرویس‌های حساس مانند SSH فقط از آدرس‌های IP مجاز انجام شود.
2. برای باز کردن دسترسی به SSH از آدرس‌های IP خاص در فایل /etc/hosts.allow:

sudo nano /etc/hosts.allow

سطر زیر را اضافه کنید:

sshd: 192.168.1.100

این دستور باعث می‌شود که فقط آدرس IP 192.168.1.100 بتواند به SSH دسترسی داشته باشد.

3. سپس، برای مسدود کردن دسترسی به SSH از سایر آدرس‌ها، فایل /etc/hosts.deny را ویرایش کنید:

sudo nano /etc/hosts.deny

سطر زیر را اضافه کنید:

sshd: ALL

این پیکربندی به‌طور مؤثری دسترسی به SSH را برای همه آدرس‌ها مسدود می‌کند، مگر اینکه در فایل /etc/hosts.allow اجازه داده شده باشد.

۲. جلوگیری از حملات Brute Force با استفاده از Fail2Ban و TCP Wrappers

Fail2Ban ابزاری است که می‌تواند تلاش‌های ناموفق برای ورود به سیستم را شناسایی کند و پس از تعداد معینی تلاش، IP مهاجم را مسدود کند. ترکیب Fail2Ban با TCP Wrappers می‌تواند امنیت بیشتری برای مقابله با حملات Brute Force فراهم کند.

پیکربندی Fail2Ban برای مسدود کردن حملات Brute Force

1. ابتدا Fail2Ban را نصب کنید:

sudo apt install fail2ban

2. پیکربندی Fail2Ban را برای سرویس SSH انجام دهید. برای این کار، فایل پیکربندی /etc/fail2ban/jail.local را ویرایش کنید:

sudo nano /etc/fail2ban/jail.local

3. بخش مربوط به SSH را به‌صورت زیر تنظیم کنید:

[sshd]
enabled = true
port    = ssh
filter  = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 600

این پیکربندی باعث می‌شود که بعد از ۵ تلاش ناموفق برای ورود به SSH، IP مهاجم به مدت ۱۰ دقیقه مسدود شود.

4. برای راه‌اندازی مجدد Fail2Ban، از دستور زیر استفاده کنید:

sudo systemctl restart fail2ban

این تنظیمات به‌طور مؤثری از حملات Brute Force جلوگیری کرده و مهاجمان را از تلاش‌های ناموفق برای ورود به سیستم باز می‌دارد.

۳. محدود کردن سرویس‌های دیگر برای جلوگیری از سوءاستفاده

TCP Wrappers علاوه بر SSH، می‌تواند برای کنترل دسترسی به سایر سرویس‌های حساس مانند FTP، HTTP و Telnet نیز استفاده شود. برای مثال، می‌توانید دسترسی به سرویس FTP را فقط برای آدرس‌های IP خاص محدود کنید تا از سوءاستفاده از این سرویس‌ها جلوگیری شود.

پیکربندی TCP Wrappers برای محدود کردن دسترسی به FTP

1. فایل /etc/hosts.allow را ویرایش کرده و آدرس‌های IP مجاز برای دسترسی به سرویس FTP را اضافه کنید:

sudo nano /etc/hosts.allow

سطر زیر را اضافه کنید:

vsftpd: 192.168.1.100

2. سپس برای مسدود کردن دسترسی به سرویس FTP از سایر آدرس‌ها، فایل /etc/hosts.deny را ویرایش کنید:

sudo nano /etc/hosts.deny

سطر زیر را اضافه کنید:

vsftpd: ALL

این پیکربندی به‌طور مؤثری دسترسی به FTP را فقط از آدرس IP 192.168.1.100 مجاز کرده و از سایر آدرس‌ها مسدود می‌کند.

۴. استفاده از فایروال‌ها برای مسدود کردن ترافیک مخرب

در کنار استفاده از TCP Wrappers، فایروال‌ها مانند iptables یا firewalld نیز می‌توانند برای مقابله با حملات Brute Force و سوءاستفاده از سرویس‌ها مفید باشند. با مسدود کردن پورت‌های ناخواسته و فیلتر کردن ترافیک ورودی، می‌توان از بسیاری از حملات احتمالی جلوگیری کرد.

پیکربندی iptables برای مسدود کردن تلاش‌های Brute Force

1. برای مسدود کردن SSH برای آدرس‌های IP مشکوک، از دستور زیر استفاده کنید:

sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.200 -j DROP

2. برای ذخیره تغییرات، از دستور زیر استفاده کنید:

sudo service iptables save

این تنظیمات به‌طور مؤثری دسترسی به SSH را از آدرس IP 192.168.1.200 مسدود می‌کند و از تلاش‌های Brute Force جلوگیری می‌کند.

جمع‌بندی

ترکیب TCP Wrappers با ابزارهای امنیتی دیگر مانند Fail2Ban و iptables می‌تواند یک راهکار مؤثر برای مقابله با حملات Brute Force و سوءاستفاده از سرویس‌ها فراهم کند. با محدود کردن دسترسی به سرویس‌های حساس و شناسایی و مسدود کردن تلاش‌های ناموفق، می‌توان امنیت شبکه را به‌طور قابل‌توجهی افزایش داد.

1. /etc/hosts.allow
2. /etc/hosts.deny

این دو فایل نقش اصلی را در تعیین دسترسی‌ها ایفا می‌کنند. همچنین، TCP Wrappers از فیلتر کردن بر اساس IP، نام دامنه و سایر پارامترها پشتیبانی می‌کند.

نحوه تعامل با daemonهای مختلف

TCP Wrappers با بسیاری از daemonهای شبکه‌ای (خدماتی که به درخواست‌های شبکه پاسخ می‌دهند) کار می‌کند. این خدمات یا daemons معمولاً درخواست‌های شبکه را می‌پذیرند و پردازش می‌کنند. به‌طور مثال، سرویس‌های SSH، FTP، Telnet و HTTP معمولاً می‌توانند توسط TCP Wrappers کنترل شوند.

در زیر نحوه تعامل TCP Wrappers با daemonهای مختلف و نحوه استفاده از این ابزار برای محدود کردن دسترسی به این سرویس‌ها توضیح داده شده است:

۱. نحوه تعامل با SSH (Secure Shell)

در سیستم‌های لینوکسی، SSH یکی از سرویس‌های پرکاربرد برای دسترسی از راه دور به سرور است. شما می‌توانید دسترسی به SSH را با استفاده از TCP Wrappers محدود کنید.

برای کنترل دسترسی به SSH، می‌توانید فایل‌های /etc/hosts.allow و /etc/hosts.deny را پیکربندی کنید.

• در فایل /etc/hosts.allow، می‌توانید اجازه دهید تا فقط آدرس‌های IP خاص به SSH دسترسی داشته باشند:

sshd: 192.168.1.100

این تنظیمات باعث می‌شود که تنها دستگاه با IP 192.168.1.100 مجاز به استفاده از SSH باشد.

• در فایل /etc/hosts.deny، شما می‌توانید دسترسی به SSH را از دیگر دستگاه‌ها مسدود کنید:

sshd: ALL

این پیکربندی باعث می‌شود که تمام آدرس‌های IP به‌جز آن‌هایی که در فایل /etc/hosts.allow ذکر شده‌اند، از دسترسی به SSH مسدود شوند.

۲. نحوه تعامل با FTP (File Transfer Protocol)

برای محدود کردن دسترسی به FTP نیز می‌توانید از TCP Wrappers استفاده کنید. به‌طور مشابه، فایل‌های /etc/hosts.allow و /etc/hosts.deny برای این سرویس نیز کاربرد دارند.

• در فایل /etc/hosts.allow، شما می‌توانید دسترسی به FTP را از یک آدرس IP خاص مجاز کنید:

vsftpd: 192.168.1.100

• در فایل /etc/hosts.deny، می‌توانید دسترسی به FTP را از دیگر آدرس‌ها مسدود کنید:

vsftpd: ALL

این پیکربندی باعث می‌شود که فقط آدرس IP 192.168.1.100 اجازه دسترسی به FTP را داشته باشد.

۳. نحوه تعامل با Telnet

سرویس Telnet معمولاً به‌طور امن‌تری نسبت به SSH استفاده نمی‌شود، اما در برخی موارد ممکن است به‌طور موقت برای مدیریت از راه دور به کار رود. محدود کردن دسترسی به Telnet نیز مشابه روش‌های بالا است.

• در فایل /etc/hosts.allow می‌توانید دسترسی به Telnet را از یک آدرس IP خاص مجاز کنید:

telnetd: 192.168.1.100

• و در فایل /etc/hosts.deny، برای مسدود کردن دسترسی از دیگر آدرس‌ها می‌توانید دستور زیر را اضافه کنید:

telnetd: ALL

۴. نحوه تعامل با HTTP (Hypertext Transfer Protocol)

در برخی موارد، ممکن است بخواهید دسترسی به سرویس‌های HTTP یا HTTPS را نیز محدود کنید. برای این کار، می‌توانید تنظیمات مشابهی را در فایل‌های /etc/hosts.allow و /etc/hosts.deny برای سرویس‌های وب‌سایت خود اعمال کنید.

• برای مجاز کردن دسترسی به HTTP از یک آدرس IP خاص:

httpd: 192.168.1.100

• برای مسدود کردن دسترسی به HTTP از دیگر آدرس‌ها:

httpd: ALL

۵. نحوه تعامل با سایر Daemonها

علاوه بر سرویس‌های فوق، TCP Wrappers با بسیاری از دیگر daemons شبکه‌ای نیز تعامل دارد. به‌عنوان مثال، سرویس‌هایی مانند smtp (برای ارسال ایمیل)، pop3 (برای دریافت ایمیل) و imap (برای مدیریت ایمیل) می‌توانند از TCP Wrappers استفاده کنند.

برای کنترل دسترسی به این سرویس‌ها به‌صورت مشابه با روش‌های قبلی عمل می‌کنید:

• برای مجاز کردن دسترسی به یک سرویس خاص:

smtp: 192.168.1.100

• برای مسدود کردن دسترسی به آن سرویس از سایر آدرس‌ها:

smtp: ALL

جمع بندی

TCP Wrappers ابزاری قدرتمند برای کنترل دسترسی به سرویس‌های شبکه‌ای است که با بسیاری از daemons شبکه‌ای از جمله SSH، FTP، Telnet و HTTP کار می‌کند. با استفاده از فایل‌های پیکربندی /etc/hosts.allow و /etc/hosts.deny، شما می‌توانید دسترسی به سرویس‌های مختلف را براساس آدرس‌های IP، دامنه‌ها یا نام‌ها محدود کنید. این ابزار به‌ویژه برای مقابله با تهدیدات امنیتی و کنترل دسترسی به سرویس‌های حساس مفید است.

وابستگی به libwrap

هنگامی که یک سرویس شبکه‌ای مانند SSH، FTP یا HTTP با TCP Wrappers تنظیم می‌شود، این سرویس نیاز به اتصال به کتابخانه libwrap دارد تا فرآیند کنترل دسترسی را انجام دهد. به عبارت دیگر، libwrap این مسئولیت را دارد که بررسی کند آیا درخواست‌های ورودی به سیستم مجاز هستند یا خیر.

هر زمانی که یک درخواست ورودی به یک سرویس می‌رسد که از libwrap استفاده می‌کند، درخواست ابتدا به این کتابخانه ارسال می‌شود تا بررسی شود که آیا این درخواست با تنظیمات hosts.allow یا hosts.deny تطبیق دارد یا نه. اگر تطابقی یافت شود، درخواست اجازه یا عدم اجازه برای ادامه اتصال به سرویس را دریافت می‌کند. این فرآیند نیاز به پردازش اضافی دارد که می‌تواند بر عملکرد سیستم تأثیر بگذارد.

تأثیر بر عملکرد سیستم

در حالی که libwrap به‌طور عمومی ابزاری سبک و کارآمد است، استفاده از آن می‌تواند تأثیرات زیر را بر عملکرد سیستم داشته باشد:

1. افزایش زمان تأخیر در پردازش درخواست‌ها:
   • وقتی یک سرویس شبکه‌ای از TCP Wrappers استفاده می‌کند، هر درخواست ورودی باید ابتدا به کتابخانه libwrap ارسال شود تا بررسی‌های دسترسی انجام شود. این فرآیند می‌تواند باعث تاخیر جزئی در پردازش درخواست‌ها شود.
   • در سیستم‌هایی که ترافیک شبکه بالا است یا درخواست‌های زیادی برای دسترسی به سرویس‌ها وجود دارد، این تأخیر می‌تواند محسوس باشد.
2. مصرف منابع سیستم:
   • libwrap برای هر درخواست ورودی که به آن ارسال می‌شود، باید منابعی را مصرف کند. این منابع شامل پردازش CPU و حافظه است. در مواقعی که حجم درخواست‌ها زیاد باشد، ممکن است این منابع به میزان قابل توجهی مصرف شوند و باعث کاهش کارایی کلی سیستم شوند.
3. افزایش زمان بارگذاری daemonها:
   • سرویس‌هایی که از libwrap استفاده می‌کنند ممکن است هنگام راه‌اندازی کمی بیشتر از سرویس‌های بدون این کتابخانه بارگذاری شوند. این به‌ویژه زمانی قابل توجه است که تعداد زیادی سرویس نیاز به بررسی دسترسی داشته باشند.
4. عدم تأثیر بر عملکرد در سیستم‌های کم‌ترافیک:
   • در محیط‌های با ترافیک کم و سیستم‌هایی که نیاز به کنترل دسترسی‌های پیچیده ندارند، تأثیر استفاده از libwrap و TCP Wrappers در عملکرد ممکن است ناچیز باشد. در این حالت، مزایای امنیتی آن می‌تواند از تأثیرات جزئی در عملکرد پیشی بگیرد.
5. امنیت بهتر در مقابل تهدیدات:
   • با وجود تأثیرات احتمالی بر عملکرد، استفاده از libwrap می‌تواند مزایای امنیتی بزرگی برای سیستم به ارمغان بیاورد. محدود کردن دسترسی به سرویس‌ها از طریق TCP Wrappers می‌تواند خطر حملات غیرمجاز و دسترسی به منابع سیستم را کاهش دهد.

چگونه تأثیرات منفی را کاهش دهیم؟

اگر از TCP Wrappers و libwrap استفاده می‌کنید و نگران تأثیر آن بر عملکرد هستید، می‌توانید چندین روش برای کاهش اثرات منفی در نظر بگیرید:

1. محدود کردن تعداد سرویس‌های استفاده‌کننده از TCP Wrappers:
   • فقط سرویس‌هایی که نیاز به کنترل دسترسی دقیق دارند را از TCP Wrappers استفاده کنید و برای سرویس‌های دیگر که نیازی به محدودیت دسترسی ندارند، این ابزار را غیرفعال کنید.
2. استفاده از قوانین فایروال:
   • به‌جای استفاده از TCP Wrappers برای کنترل دسترسی به همه سرویس‌ها، می‌توانید از firewall ها (مانند iptables یا firewalld) برای اعمال قوانین دسترسی استفاده کنید. این روش می‌تواند عملکرد بهتری داشته باشد و فشار کمتری به سیستم وارد کند.
3. بهینه‌سازی فایل‌های پیکربندی:
   • با بهینه‌سازی فایل‌های /etc/hosts.allow و /etc/hosts.deny می‌توانید از درخواست‌های اضافی و بررسی‌های غیرضروری جلوگیری کنید. به‌عنوان مثال، برای دسترسی‌های پرتکرار از قواعد دقیق‌تری استفاده کنید.
4. نظارت و بررسی بار سیستم:
   • به‌طور مداوم عملکرد سیستم را بررسی کنید تا ببینید که آیا استفاده از libwrap و TCP Wrappers تأثیر منفی بر عملکرد دارد یا خیر. در صورت نیاز، می‌توانید تنظیمات را تغییر داده یا راهکارهای جایگزین را پیاده‌سازی کنید.

جمع‌بندی

استفاده از libwrap و TCP Wrappers در کنترل دسترسی به سرویس‌های شبکه‌ای می‌تواند مزایای امنیتی زیادی را به ارمغان بیاورد، اما ممکن است تأثیراتی بر عملکرد سیستم داشته باشد. این تأثیرات به‌ویژه در سیستم‌های با ترافیک بالا محسوس‌تر خواهند بود. در عین حال، با بهینه‌سازی پیکربندی‌ها و استفاده از راه‌حل‌های جایگزین مانند فایروال‌ها، می‌توان این تأثیرات را کاهش داد.

محدودیت‌های TCP Wrappers

1. کنترل محدود فقط بر دسترسی به سرویس‌ها
   • TCP Wrappers تنها می‌تواند دسترسی به daemons خاصی را کنترل کند. این ابزار تنها قادر به محدود کردن اتصال به سرویس‌های شبکه‌ای است که به‌طور صریح از آن استفاده می‌کنند.
   • این بدان معناست که TCP Wrappers نمی‌تواند برای محدود کردن دسترسی به سیستم به‌طور کلی یا بر روی ترافیک‌های شبکه‌ای خارج از سرویس‌های مشخص کاربرد داشته باشد.
2. پیکربندی دستی و مقیاس‌پذیری محدود
   • پیکربندی TCP Wrappers در فایل‌های hosts.allow و hosts.deny انجام می‌شود که نیاز به ویرایش دستی دارند. برای سازمان‌هایی که نیاز به مدیریت تعداد زیادی سرویس یا دستگاه دارند، این فرآیند می‌تواند زمان‌بر و مستعد اشتباه باشد.
   • در مقایسه با فایروال‌های مدرن، که از ابزارهایی مانند firewalld یا iptables برای اعمال قوانین به‌صورت خودکار و بدون نیاز به تغییرات دستی در هر سرویس استفاده می‌کنند، TCP Wrappers کمتر مقیاس‌پذیر است.
3. عدم بررسی بسته‌های داده و ترافیک
   • TCP Wrappers نمی‌تواند بسته‌های داده یا محتوای ترافیک شبکه‌ای را بررسی کند. این ابزار تنها به آدرس‌های IP، نام‌های دامنه و اطلاعات متا در مورد اتصال‌ها توجه می‌کند.
   • فایروال‌های مدرن، مانند iptables یا nftables، می‌توانند بسته‌های شبکه را بررسی کرده و با استفاده از فیلترهای پیچیده، به طور کامل ترافیک شبکه را مدیریت کنند.
4. پشتیبانی ضعیف از پروتکل‌های جدید و ویژگی‌های پیشرفته
   • TCP Wrappers عمدتاً برای پروتکل‌های قدیمی مانند SSH و FTP طراحی شده است و پشتیبانی کمتری از پروتکل‌های جدید یا ویژگی‌های پیشرفته مانند IPv6 یا QoS دارد.
   • فایروال‌های مدرن به‌طور کامل از پروتکل‌های جدید و ویژگی‌های پیشرفته پشتیبانی می‌کنند و می‌توانند بسته‌های IPv6 را فیلتر کرده و انواع مختلفی از ترافیک شبکه را بر اساس اولویت‌ها و سیاست‌های امنیتی اعمال کنند.
5. عدم توانایی در مقابله با حملات DDoS و تهدیدات پیچیده
   • TCP Wrappers قادر به جلوگیری از حملات Distributed Denial of Service (DDoS) یا سایر تهدیدات پیچیده نیست. این ابزار تنها برای محدود کردن دسترسی بر اساس آدرس‌های IP یا دامنه‌ها طراحی شده است.
   • فایروال‌های مدرن می‌توانند بسته‌ها را بر اساس پروتکل، پورت، آدرس‌های IP و حتی بارگذاری محتوا فیلتر کنند و قابلیت‌هایی برای جلوگیری از حملات DDoS دارند.
6. محدودیت در ثبت و گزارش‌گیری
   • گزارش‌گیری در TCP Wrappers محدود است و بیشتر بر روی ذخیره اطلاعات ورودی به hosts.allow و hosts.deny متمرکز است. این محدودیت ممکن است نظارت دقیق بر ترافیک و فعالیت‌های مشکوک را دشوار کند.
   • فایروال‌های مدرن معمولاً ویژگی‌های گزارش‌گیری و نظارت پیشرفته‌ای دارند که به مدیران سیستم کمک می‌کند تا ترافیک شبکه را تجزیه و تحلیل کرده و حملات را شناسایی کنند.

مقایسه با فایروال‌های مدرن

در حالی که TCP Wrappers همچنان یک ابزار مفید برای مدیریت دسترسی به سرویس‌ها است، فایروال‌های مدرن از ویژگی‌های پیشرفته‌تری برخوردارند که می‌توانند امنیت شبکه را به سطح بالاتری برسانند. برخی از ویژگی‌های فایروال‌های مدرن که TCP Wrappers قادر به ارائه آن‌ها نیست عبارتند از:

1. مدیریت پیچیده ترافیک شبکه
   • فایروال‌های مدرن مانند iptables و nftables توانایی بررسی و فیلتر کردن بسته‌های شبکه را دارند. این فایروال‌ها می‌توانند به‌طور دقیق بسته‌ها را بر اساس ویژگی‌هایی مانند آدرس‌های IP، پروتکل‌ها، پورت‌ها و محتوا فیلتر کنند.
   • این ویژگی به فایروال‌ها اجازه می‌دهد که تهدیدات پیچیده‌تری مانند DoS و DDoS را شناسایی و مسدود کنند.
2. پشتیبانی از پروتکل‌های پیشرفته
   • فایروال‌های مدرن از IPv6 و پروتکل‌های پیچیده‌تر به‌طور کامل پشتیبانی می‌کنند و می‌توانند از ویژگی‌های پیشرفته‌ای مانند Quality of Service (QoS) و VPN برای مدیریت ترافیک شبکه استفاده کنند.
   • این در حالی است که TCP Wrappers تنها برای کنترل دسترسی به سرویس‌های خاص طراحی شده است و از ویژگی‌های پیشرفته مانند IPv6 پشتیبانی نمی‌کند.
3. قابلیت اتوماسیون و مدیریت متمرکز
   • فایروال‌های مدرن، به‌ویژه ابزارهایی مانند firewalld، از قوانین اتوماسیون پشتیبانی می‌کنند که می‌توانند به‌طور خودکار بر اساس ترافیک یا شرایط خاص، قوانین امنیتی را اعمال کنند.
   • این در حالی است که برای TCP Wrappers نیاز به پیکربندی دستی و دخالت انسانی بیشتر است.
4. پشتیبانی از عملکردهای پیشرفته‌تر
   • فایروال‌های مدرن همچنین قادر به پشتیبانی از ویژگی‌هایی مانند Stateful Inspection هستند که به آن‌ها اجازه می‌دهد تا وضعیت جلسات و اتصال‌ها را پیگیری کنند. این ویژگی کمک می‌کند که فقط اتصالات معتبر و مورد تایید وارد شبکه شوند.
   • TCP Wrappers به سادگی بررسی‌هایی ابتدایی برای تعیین اینکه آیا اتصال مجاز است یا خیر، انجام می‌دهد و از هیچ نوع نظارت پیچیده‌تری پشتیبانی نمی‌کند.

جمع‌بندی

در حالی که TCP Wrappers یک ابزار مفید و ساده برای کنترل دسترسی به سرویس‌های شبکه‌ای است، فایروال‌های مدرن ویژگی‌های بیشتری را در اختیار دارند و می‌توانند به‌طور کامل‌تر و پیچیده‌تری امنیت شبکه را مدیریت کنند. از جمله مزایای فایروال‌های مدرن می‌توان به پشتیبانی از پروتکل‌های جدید، قابلیت فیلتر کردن دقیق‌تر بسته‌ها، توانایی مقابله با حملات پیچیده، و امکان اتوماسیون اشاره کرد. بنابراین، برای سازمان‌ها و سیستم‌هایی که نیاز به امنیت پیشرفته و مقیاس‌پذیری دارند، استفاده از فایروال‌های مدرن به‌طور چشمگیری بهتر از استفاده از TCP Wrappers است.

معرفی دو فایل اصلی تنظیمات

1. hosts.allow:
   • فایل hosts.allow به‌طور مشخص تعیین می‌کند که چه میزبان‌هایی (hosts) مجاز به دسترسی به سرویس‌های خاص باشند. زمانی که یک اتصال جدید وارد سیستم می‌شود، TCP Wrappers ابتدا این فایل را بررسی می‌کند تا ببیند که آیا آدرس IP یا نام دامنه درخواست‌کننده در لیست مجازها قرار دارد یا خیر.
   • اگر درخواست ورودی در این فایل موجود باشد و شرایط آن درست باشد، دسترسی به سرویس به‌طور مجاز برقرار خواهد شد.
2. hosts.deny:
   • فایل hosts.deny برعکس hosts.allow عمل می‌کند. این فایل تعیین می‌کند که چه میزبان‌هایی (hosts) اجازه دسترسی به سرویس‌ها را نداشته باشند. اگر درخواستی از یک میزبان مشخص در این فایل پیدا شود و شرایط آن درست باشد، درخواست ورودی مسدود خواهد شد.
   • این فایل به‌طور معمول در کنار hosts.allow برای ایجاد قوانین امنیتی قوی‌تر و برای محدود کردن دسترسی به سیستم‌ها استفاده می‌شود.

نحوه پردازش درخواست‌ها بر اساس ترتیب بررسی این فایل‌ها

TCP Wrappers هنگام دریافت درخواست‌های ورودی، ابتدا فایل hosts.allow را بررسی می‌کند و سپس فایل hosts.deny را برای تصمیم‌گیری نهایی بررسی می‌کند. ترتیب پردازش به‌صورت زیر است:

1. hosts.allow بررسی می‌شود:
   • اگر درخواست ورودی مطابق با یکی از قوانین در hosts.allow باشد، به‌طور مستقیم مجاز به دسترسی خواهد بود.
   • TCP Wrappers به محض پیدا کردن یک تطابق مجاز در این فایل، دسترسی را تأیید کرده و دیگر به hosts.deny نمی‌رود.
2. hosts.deny بررسی می‌شود:
   • اگر درخواست ورودی در فایل hosts.allow پیدا نشد، سیستم به سراغ فایل hosts.deny می‌رود.
   • اگر آدرس IP یا نام دامنه درخواست‌کننده در این فایل موجود باشد، درخواست مسدود خواهد شد.
3. مورد عدم وجود هر دو فایل:
   • اگر هیچ‌کدام از فایل‌های hosts.allow و hosts.deny وجود نداشته باشند یا خالی باشند، TCP Wrappers به‌طور پیش‌فرض به هیچ‌کس اجازه دسترسی نخواهد داد.
   • بنابراین، در صورت عدم وجود هر دو فایل، هیچ‌کسی نمی‌تواند به سرویس‌ها متصل شود.

تأثیر وجود یا عدم وجود هر کدام از این فایل‌ها در تصمیم‌گیری دسترسی

1. وجود فایل hosts.allow:
   • اگر فقط فایل hosts.allow وجود داشته باشد و فایل hosts.deny موجود نباشد، هر درخواستی که در hosts.allow مشخص شده باشد، مجاز به دسترسی خواهد بود و تمام درخواست‌های دیگر بدون مسدود شدن پذیرفته خواهند شد.
   • به این معنی که دسترسی به سرویس‌ها به‌طور مشخص محدود به آدرس‌های مشخص شده در hosts.allow خواهد بود.
2. وجود فایل hosts.deny:
   • اگر فقط فایل hosts.deny وجود داشته باشد و فایل hosts.allow غیرفعال باشد، تمام درخواست‌ها به‌طور پیش‌فرض رد خواهند شد، مگر آنکه در hosts.deny مجوز خاصی داده شده باشد.
   • این فایل برای مسدود کردن دسترسی به سرویس‌ها از آدرس‌های مشخص بسیار مفید است.
3. وجود هر دو فایل:
   • زمانی که هر دو فایل hosts.allow و hosts.deny وجود داشته باشند، TCP Wrappers اول فایل hosts.allow را بررسی کرده و اگر درخواست مجاز باشد، دسترسی تأیید خواهد شد. در صورتی که در این فایل چیزی پیدا نشود، فایل hosts.deny بررسی خواهد شد.
   • در صورتی که آدرس IP یا دامنه در hosts.deny قرار داشته باشد، دسترسی مسدود خواهد شد.

مثال‌هایی از پیکربندی فایل‌های hosts.allow و hosts.deny

1. محتویات فایل hosts.allow:

   sshd: 192.168.1.0/24
   vsftpd: .example.com
   

   این پیکربندی نشان می‌دهد که تنها میزبان‌هایی که آدرس IP آن‌ها از شبکه 192.168.1.0/24 است می‌توانند از سرویس sshd (SSH) استفاده کنند. همچنین، تنها میزبان‌هایی با دامنه example.com می‌توانند به سرویس vsftpd (FTP) دسترسی داشته باشند.

2. محتویات فایل hosts.deny:

   sshd: ALL
   vsftpd: ALL
   

   در این پیکربندی، دسترسی به سرویس‌های sshd و vsftpd برای تمام میزبان‌ها مسدود شده است.

جمع‌بندی

وجود و ترتیب فایل‌های hosts.allow و hosts.deny نقش کلیدی در تعیین دسترسی به سرویس‌های شبکه‌ای ایفا می‌کند. ابتدا فایل hosts.allow بررسی می‌شود و در صورت یافتن تطابق، دسترسی تأیید می‌شود. اگر در این فایل تطابقی یافت نشود، فایل hosts.deny بررسی خواهد شد. در صورت عدم وجود هر دو فایل، دسترسی به سرویس‌ها به‌طور پیش‌فرض مسدود می‌شود. این ویژگی به TCP Wrappers انعطاف‌پذیری زیادی در مدیریت دسترسی به سرویس‌های مختلف بر اساس آدرس IP و نام دامنه می‌دهد.

مراحل پردازش یک درخواست اتصال به سرویس تحت پوشش TCP Wrappers

فرآیند پردازش یک درخواست اتصال به سرویس تحت پوشش TCP Wrappers به چند مرحله تقسیم می‌شود. این مراحل در ادامه توضیح داده شده است:

1. دریافت درخواست اتصال:
   • زمانی که یک اتصال به سرویس مورد نظر (مثل sshd، vsftpd یا هر سرویس دیگری که توسط TCP Wrappers محافظت می‌شود) برقرار می‌شود، درخواست اتصال از یک میزبان خارجی به سیستم شما ارسال می‌شود.
   • این درخواست معمولاً شامل آدرس IP یا نام دامنه میزبان درخواست‌دهنده است.
2. بررسی فایل hosts.allow:
   • پس از دریافت درخواست، TCP Wrappers ابتدا فایل hosts.allow را بررسی می‌کند.
   • TCP Wrappers به‌طور دقیق بررسی می‌کند که آیا آدرس IP یا نام دامنه میزبان درخواست‌کننده در این فایل و مطابق با شرایط تعیین‌شده موجود است یا خیر.
   • اگر میزبان درخواست‌دهنده در hosts.allow موجود باشد، درخواست به‌طور خودکار مجاز و دسترسی برقرار می‌شود. در این مرحله، پردازش به پایان می‌رسد و هیچ‌گونه بررسی دیگری صورت نمی‌گیرد.

   مثال پیکربندی در فایل hosts.allow:

   sshd: 192.168.1.0/24
   vsftpd: .example.com
   

   در این مثال، آدرس‌های IP از شبکه 192.168.1.0/24 به sshd (SSH) دسترسی دارند و فقط میزبان‌هایی که دامنه‌شان به example.com ختم می‌شود، به سرویس vsftpd (FTP) دسترسی خواهند داشت.

3. بررسی فایل hosts.deny:
   • اگر میزبان درخواست‌دهنده در فایل hosts.allow پیدا نشد یا هیچ تطابقی نداشت، TCP Wrappers به بررسی فایل hosts.deny می‌پردازد.
   • در این مرحله، بررسی می‌شود که آیا آدرس IP یا نام دامنه میزبان درخواست‌کننده در hosts.deny قرار دارد یا خیر.
   • اگر میزبان درخواست‌دهنده در فایل hosts.deny وجود داشته باشد، دسترسی به سرویس برای این میزبان مسدود می‌شود.

   مثال پیکربندی در فایل hosts.deny:

   sshd: ALL
   vsftpd: ALL
   

   در این مثال، تمام درخواست‌های اتصال به سرویس‌های sshd و vsftpd از تمام میزبان‌ها مسدود شده‌اند.

4. پردازش پیش‌فرض (اگر هیچ‌کدام از فایل‌ها موجود نباشند):
   • اگر هیچ‌کدام از فایل‌های hosts.allow و hosts.deny وجود نداشته باشند یا خالی باشند، TCP Wrappers دسترسی به تمام سرویس‌ها را مسدود می‌کند. به این معنی که هیچ میزبان خارجی قادر به دسترسی به سرویس‌ها نخواهد بود مگر آنکه فایل‌ها به‌طور دستی پیکربندی شوند.
5. اعمال تغییرات (در صورت نیاز):
   • پس از بررسی‌های لازم و تصمیم‌گیری برای مجاز یا مسدود کردن درخواست اتصال، TCP Wrappers نتیجه را برای سرویس‌گیرنده ارسال می‌کند.
   • در صورت تأیید دسترسی، ارتباط برقرار می‌شود و فرآیند اتصال انجام می‌گیرد.
   • در صورت مسدود شدن دسترسی، اتصال رد می‌شود و پیامی مبنی بر عدم دسترسی به درخواست‌دهنده ارسال می‌شود.

جمع‌بندی

فرآیند پردازش یک درخواست اتصال به سرویس تحت پوشش TCP Wrappers به‌صورت گام‌به‌گام انجام می‌شود. ابتدا فایل hosts.allow بررسی می‌شود تا در صورتی که میزبان درخواست‌دهنده مجاز باشد، دسترسی تأیید شود. اگر در این فایل تطابقی پیدا نشد، فایل hosts.deny بررسی می‌شود تا در صورت وجود میزبان در این فایل، دسترسی مسدود شود. اگر هیچ‌کدام از این فایل‌ها وجود نداشته باشند یا تطابقی پیدا نشود، TCP Wrappers دسترسی را مسدود خواهد کرد. این ساختار به TCP Wrappers این امکان را می‌دهد که به‌صورت مؤثر و دقیق دسترسی به سرویس‌ها را مدیریت کند.

1. فایل hosts.allow

فایل hosts.allow به‌طور خاص برای مجاز کردن دسترسی به سرویس‌های شبکه‌ای استفاده می‌شود. این فایل به‌عنوان یک لیست سفید عمل می‌کند که در آن شما می‌توانید مشخص کنید که کدام میزبان‌ها یا آدرس‌های IP مجاز به اتصال به سرویس‌های مختلف باشند. اگر یک درخواست اتصال از یک میزبان به سیستم شما برسد و این میزبان در فایل hosts.allow مشخص شده باشد، دسترسی به‌طور خودکار مجاز می‌شود.

ساختار فایل hosts.allow:

فایل hosts.allow معمولاً به‌صورت زیر نوشته می‌شود:

service: hosts

• service: نام سرویس یا برنامه‌ای است که باید دسترسی آن تنظیم شود، مانند sshd (SSH)، vsftpd (FTP) و غیره.
• hosts: آدرس‌های IP یا نام دامنه‌هایی هستند که اجازه دارند به سرویس متصل شوند. می‌توان از عبارات خاص مانند ALL (برای تمام میزبان‌ها) یا شبکه‌های خاصی استفاده کرد.

مثال:

sshd: 192.168.1.0/24
vsftpd: .example.com

در این مثال:

• فقط میزبان‌هایی که آدرس IP آن‌ها در محدوده 192.168.1.0/24 قرار دارد، به sshd دسترسی دارند.
• فقط میزبان‌هایی که دامنه آن‌ها به example.com ختم می‌شود، به vsftpd دسترسی خواهند داشت.

2. فایل hosts.deny

فایل hosts.deny برای مسدود کردن دسترسی به سرویس‌های شبکه‌ای استفاده می‌شود. این فایل به‌عنوان لیست سیاه عمل می‌کند که در آن می‌توان میزبان‌هایی را که باید از دسترسی به سرویس‌ها منع شوند، مشخص کرد. اگر یک درخواست اتصال از میزبان به سیستم برسد و این میزبان در فایل hosts.deny ذکر شده باشد، دسترسی به‌طور خودکار رد می‌شود.

ساختار فایل hosts.deny:

فایل hosts.deny معمولاً به‌صورت زیر نوشته می‌شود:

service: hosts

• service: نام سرویس یا برنامه‌ای است که باید دسترسی آن مسدود شود.
• hosts: آدرس‌های IP یا نام دامنه‌هایی هستند که دسترسی به سرویس‌ها از سوی آن‌ها مسدود می‌شود.

مثال:

sshd: ALL
vsftpd: ALL

در این مثال:

• تمام میزبان‌ها از دسترسی به sshd (SSH) مسدود شده‌اند.
• تمام میزبان‌ها از دسترسی به vsftpd (FTP) مسدود شده‌اند.

3. ترتیب بررسی فایل‌ها

هنگام پردازش یک درخواست اتصال به سرویس، TCP Wrappers ابتدا فایل hosts.allow را بررسی می‌کند. اگر آدرس IP یا نام دامنه میزبان درخواست‌دهنده در این فایل باشد، دسترسی به‌طور خودکار مجاز می‌شود و هیچ بررسی دیگری صورت نمی‌گیرد.

اگر درخواست در فایل hosts.allow پیدا نشد، TCP Wrappers فایل hosts.deny را بررسی می‌کند. اگر میزبان درخواست‌دهنده در فایل hosts.deny وجود داشته باشد، دسترسی رد خواهد شد.

اگر هیچ‌کدام از این فایل‌ها وجود نداشته باشند یا خالی باشند، TCP Wrappers به‌طور پیش‌فرض دسترسی را مسدود می‌کند.

4. نحوه ویرایش و موقعیت فایل‌ها

فایل‌های hosts.allow و hosts.deny معمولاً در مسیر /etc/ قرار دارند. برای ویرایش این فایل‌ها می‌توانید از یک ویرایشگر متن استفاده کنید. به‌عنوان مثال، برای ویرایش فایل hosts.allow از دستور زیر استفاده می‌شود:

sudo nano /etc/hosts.allow

و برای ویرایش فایل hosts.deny:

sudo nano /etc/hosts.deny

جمع‌بندی

• hosts.allow برای مجاز کردن دسترسی به سرویس‌ها از سمت میزبان‌های خاص استفاده می‌شود.
• hosts.deny برای مسدود کردن دسترسی به سرویس‌ها از سمت میزبان‌های خاص استفاده می‌شود.
• TCP Wrappers ابتدا فایل hosts.allow را بررسی می‌کند و در صورت عدم تطابق، فایل hosts.deny را بررسی می‌کند.
• در صورت عدم وجود یا خالی بودن این فایل‌ها، TCP Wrappers دسترسی را مسدود می‌کند.

1. تعامل TCP Wrappers با DNS

TCP Wrappers برای شناسایی میزبان‌ها و دسترسی به سرویس‌ها از طریق دو فایل اصلی hosts.allow و hosts.deny استفاده می‌کند. این فایل‌ها می‌توانند شامل آدرس‌های IP، نام‌های میزبان و حتی دامنه‌های خاص باشند. در صورتی که نام میزبان به‌طور مستقیم در این فایل‌ها ذکر شده باشد، TCP Wrappers برای تطابق و شناسایی درخواست‌ها از DNS استفاده می‌کند.

فرآیند name resolution در اینجا به‌این‌صورت عمل می‌کند:

1. نام دامنه به آدرس IP تبدیل می‌شود: وقتی که یک نام دامنه (مثلاً example.com) در فایل‌های hosts.allow یا hosts.deny قرار دارد، سیستم از DNS resolver برای تبدیل نام دامنه به آدرس IP واقعی استفاده می‌کند.
2. آدرس IP مورد بررسی قرار می‌گیرد: پس از تبدیل نام دامنه به آدرس IP، TCP Wrappers این آدرس IP را با مقادیر موجود در فایل‌ها مقایسه می‌کند و تصمیم می‌گیرد که آیا دسترسی به سرویس مجاز است یا خیر.

در این فرآیند، هرگونه مشکل در name resolution می‌تواند منجر به مشکل در تعیین دسترسی به سرویس‌ها شود.

2. مشکلات احتمالی در name resolution

مشکلات مختلفی می‌تواند در فرآیند name resolution ایجاد شود که تأثیر مستقیمی بر عملکرد TCP Wrappers دارد. برخی از این مشکلات عبارتند از:

1. خطا در پیکربندی DNS:
   • اگر DNS resolver به‌درستی پیکربندی نشده باشد، تبدیل نام دامنه به آدرس IP ممکن است انجام نشود.
   • برای بررسی این مشکل، می‌توان از دستور nslookup یا dig برای بررسی صحت عملکرد DNS استفاده کرد.

   مثال:

   nslookup example.com
   

   اگر این دستور نتایج مناسبی را برنگرداند، نشان‌دهنده مشکل در تنظیمات DNS است.

2. DNS Cache و مشکلات مربوط به آن:
   • سیستم‌ها معمولاً دارای کش DNS هستند که نتایج جستجوهای قبلی را ذخیره می‌کند. اگر این کش منقضی شود یا تغییراتی در DNS اعمال شود، ممکن است درخواست‌ها به آدرس‌های قدیمی یا نادرست هدایت شوند.
   • برای پاک‌سازی کش DNS در سیستم‌های لینوکسی می‌توانید از دستور زیر استفاده کنید:

   sudo systemd-resolve --flush-caches
   

3. خطا در تعریف نام‌ها در فایل‌های hosts.allow یا hosts.deny:
   • در صورتی که نام‌های دامنه در فایل‌های hosts.allow یا hosts.deny به‌درستی وارد نشده باشند یا اشتباه نوشته شده باشند، TCP Wrappers قادر به شناسایی صحیح میزبان‌ها نخواهد بود.
   • برای جلوگیری از این مشکل، می‌توان از دستور getent برای بررسی نام‌های دامنه استفاده کرد:

   getent hosts example.com
   

4. وجود فایروال‌های میانه که درخواست‌های DNS را مسدود می‌کنند:
   • برخی از فایروال‌ها ممکن است درخواست‌های DNS را مسدود کنند که این مسأله می‌تواند باعث اختلال در فرآیند name resolution شود.
   • بررسی پیکربندی فایروال و اطمینان از باز بودن پورت 53 برای UDP و TCP می‌تواند به رفع این مشکل کمک کند.

   برای بررسی وضعیت پورت‌های باز می‌توانید از دستور netstat استفاده کنید:

   sudo netstat -tuln | grep :53
   

5. تنظیمات اشتباه در فایل /etc/hosts:
   • گاهی اوقات مشکلات مربوط به name resolution ممکن است به دلیل پیکربندی نادرست فایل /etc/hosts رخ دهند. این فایل برای حل مسائل DNS محلی و تعیین IP برای نام‌های دامنه به کار می‌رود.
   • اگر فایل /etc/hosts به‌درستی پیکربندی نشده باشد، درخواست‌ها به میزبان‌های موردنظر ممکن است به‌درستی مسیریابی نشوند.

   مثال پیکربندی صحیح /etc/hosts:

   127.0.0.1   localhost
   192.168.1.10 example.com
   

3. تأثیر مشکلات name resolution بر TCP Wrappers

اگر مشکلاتی در فرآیند name resolution وجود داشته باشد، TCP Wrappers نمی‌تواند آدرس IP را به‌درستی شناسایی کند و این ممکن است منجر به مسدود شدن یا مجاز شدن دسترسی به سرویس‌ها به‌طور اشتباه شود. این مسأله به‌ویژه در مواقعی که سرویس‌ها به نام دامنه‌ها وابسته هستند، تأثیرگذار خواهد بود.

برای رفع مشکلات ممکن، توصیه می‌شود که:

• پیکربندی DNS resolver و /etc/hosts به‌دقت بررسی شود.
• کش DNS به‌طور منظم پاک‌سازی شود.
• از ابزارهایی نظیر nslookup، dig و getent برای بررسی صحت عملکرد DNS استفاده گردد.

جمع‌بندی

• TCP Wrappers از DNS برای پردازش نام دامنه‌ها و تبدیل آن‌ها به آدرس IP استفاده می‌کند.
• مشکلات در فرآیند name resolution می‌تواند منجر به اختلال در عملکرد TCP Wrappers و تعیین دسترسی به سرویس‌ها شود.
• برای رفع مشکلات مربوط به DNS، پیکربندی صحیح DNS، کش DNS و فایل‌های hosts.allow و hosts.deny باید بررسی شوند.

1. نحوه عملکرد بدون نیاز به راه‌اندازی مجدد سرویس

TCP Wrappers به‌طور مستقیم با Deny/Allow files (یعنی hosts.allow و hosts.deny) تعامل دارد. این فایل‌ها در زمان درخواست اتصال به سرویس، بررسی می‌شوند و نیازی به راه‌اندازی مجدد سرویس برای اعمال تغییرات در این فایل‌ها وجود ندارد. دلیل این امر این است که TCP Wrappers در هر درخواست اتصال به‌صورت زنده و لحظه‌ای این فایل‌ها را بررسی می‌کند.

در واقع، زمانی که یک اتصال به سرویس برقرار می‌شود، TCP Wrappers فایل‌های hosts.allow و hosts.deny را بررسی کرده و بر اساس آن‌ها تصمیم می‌گیرد که آیا دسترسی مجاز است یا خیر. به همین دلیل، در صورتی که تغییراتی در این فایل‌ها اعمال شود، تأثیر آن‌ها بلافاصله پس از ذخیره تغییرات و بدون نیاز به راه‌اندازی مجدد سرویس اعمال خواهد شد.

2. اعمال تغییرات در فایل‌های hosts.allow و hosts.deny

برای اعمال تغییرات در TCP Wrappers، کافی است که شما فایل‌های hosts.allow و hosts.deny را ویرایش کرده و تغییرات خود را ذخیره کنید. در این حالت، سیستم به‌طور خودکار فایل‌ها را هنگام پردازش هر درخواست بررسی خواهد کرد.

مثال:

1. ویرایش فایل hosts.allow: برای دادن دسترسی به یک آدرس IP خاص به سرویس SSH (به‌عنوان مثال آدرس IP 192.168.1.100)، کافی است فایل /etc/hosts.allow را ویرایش کنید:

   sudo nano /etc/hosts.allow
   

   سپس خط زیر را به فایل اضافه کنید:

   sshd: 192.168.1.100
   

2. ویرایش فایل hosts.deny: برای مسدود کردن دسترسی از یک آدرس IP خاص به سرویس SSH (به‌عنوان مثال آدرس IP 192.168.1.101)، کافی است فایل /etc/hosts.deny را ویرایش کنید:

   sudo nano /etc/hosts.deny
   

   سپس خط زیر را به فایل اضافه کنید:

   sshd: 192.168.1.101
   

بعد از ذخیره این تغییرات، TCP Wrappers به‌طور خودکار این فایل‌ها را در هر درخواست بررسی کرده و اعمال می‌کند. نیازی به راه‌اندازی مجدد سرویس SSH یا هر سرویس دیگری نیست.

3. تأثیر تغییرات لحظه‌ای در دیگر سرویس‌ها

این ویژگی که تغییرات به‌صورت لحظه‌ای اعمال می‌شوند، به این معنی است که حتی اگر چندین سرویس مختلف تحت پوشش TCP Wrappers قرار داشته باشند، تمامی تغییرات اعمال‌شده در فایل‌های hosts.allow و hosts.deny بلافاصله و بدون وقفه در دسترسی به سرویس‌ها تأثیر می‌گذارند. این ویژگی به‌ویژه برای مدیریت دسترسی‌ها در شرایط بحرانی و یا زمان‌هایی که نیاز به تغییرات فوری دارید، بسیار مفید است.

4. ابزارهایی برای بررسی و تأثیر فوری تغییرات

برای اطمینان از اعمال تغییرات، می‌توانید از ابزارهایی نظیر telnet یا nc برای آزمایش اتصال به سرویس‌ها و بررسی تأثیر تغییرات استفاده کنید.

مثال: برای بررسی اینکه آیا آدرس IP خاص به سرویس SSH دسترسی دارد یا خیر، از دستور telnet استفاده کنید:

telnet <IP_SSH_SERVER> 22

اگر آدرس IP شما در hosts.allow باشد، اتصال برقرار خواهد شد، در غیر این صورت، اتصال مسدود می‌شود.

جمع‌بندی

• TCP Wrappers تغییرات اعمال‌شده در فایل‌های hosts.allow و hosts.deny را بلافاصله و بدون نیاز به راه‌اندازی مجدد سرویس‌ها اعمال می‌کند.
• نیازی به راه‌اندازی مجدد سرویس‌های شبکه‌ای نیست، زیرا TCP Wrappers هر درخواست اتصال را به‌طور زنده و آنی بررسی می‌کند.
• برای اعمال تغییرات کافی است فایل‌های hosts.allow و hosts.deny را ویرایش کرده و آن‌ها را ذخیره کنید.
• ابزارهایی مانند telnet و nc می‌توانند برای بررسی تأثیر تغییرات و صحت عملکرد استفاده شوند.

نقاط قوت در مدیریت امنیت

1. امکان کنترل دسترسی به‌صورت منعطف

یکی از مهم‌ترین ویژگی‌های TCP Wrappers این است که می‌توانید دسترسی به سرویس‌ها را به‌صورت دقیق و انعطاف‌پذیر مدیریت کنید. این ابزار با استفاده از فایل‌های hosts.allow و hosts.deny اجازه می‌دهد که شما دسترسی به سرویس‌ها را بر اساس IP‌های خاص، دامنه‌ها یا حتی شبکه‌ها محدود کنید.

مثال: برای این که به آدرس IP خاص اجازه دسترسی به سرویس SSH را بدهید، می‌توانید از دستور زیر استفاده کنید:

sudo nano /etc/hosts.allow

سپس خط زیر را اضافه کنید:

sshd: 192.168.1.100

این دستور به IP 192.168.1.100 اجازه دسترسی به سرویس SSH را می‌دهد.

2. تنظیمات ساده و بدون نیاز به نصب ابزارهای اضافی

یکی از مزایای اصلی TCP Wrappers این است که به‌راحتی و با استفاده از تنظیمات ساده و بدون نیاز به نصب ابزارهای اضافی می‌توان از آن استفاده کرد. TCP Wrappers به‌طور پیش‌فرض روی اکثر توزیع‌های لینوکس نصب شده است و تنها کافی است فایل‌های تنظیمی مانند hosts.allow و hosts.deny را ویرایش کنید.

3. امکان ثبت لاگ‌های دقیق از دسترسی‌ها

TCP Wrappers همچنین امکان ثبت دقیق لاگ‌های دسترسی را فراهم می‌کند. این ویژگی به مدیران سیستم اجازه می‌دهد تا دقیقاً بدانند که کدام آدرس IP تلاش کرده است به سرویس دسترسی پیدا کند و این تلاش موفق بوده یا خیر.

مثال: برای فعال‌سازی لاگ‌ها در TCP Wrappers، می‌توانید گزینه log_action را در فایل /etc/hosts.allow تنظیم کنید:

sudo nano /etc/hosts.allow

و خط زیر را اضافه کنید:

sshd: ALL : allow, log

این دستور باعث می‌شود که تمامی تلاش‌های دسترسی به سرویس SSH ثبت شوند.

محدودیت‌ها و روش‌های مقابله با آن‌ها

1. عدم پشتیبانی از تمام سرویس‌ها

یکی از محدودیت‌های مهم TCP Wrappers این است که این ابزار فقط از سرویس‌هایی که از libwrap استفاده می‌کنند پشتیبانی می‌کند. این به این معناست که اگر سرویس شما از این کتابخانه استفاده نکند، TCP Wrappers قادر به کنترل دسترسی به آن نخواهد بود.

راه‌حل: برای رفع این محدودیت، می‌توانید از فایروال‌های مدرن مانند iptables یا nftables استفاده کنید که از تمامی سرویس‌ها پشتیبانی می‌کنند.

2. تأثیر عملکردی هنگام استفاده در محیط‌های بزرگ

در محیط‌های بزرگ و پر ترافیک، TCP Wrappers ممکن است عملکرد سیستم را تحت تأثیر قرار دهد، به‌ویژه اگر تعداد زیادی درخواست اتصال به سرویس‌ها وجود داشته باشد. به دلیل پردازش دسترسی‌ها از طریق فایل‌های hosts.allow و hosts.deny، این کار می‌تواند منابع سیستمی را مصرف کرده و باعث کاهش عملکرد شود.

راه‌حل: برای مقابله با این مشکل، می‌توان از ابزارهایی مانند nftables که سرعت بالاتری دارند استفاده کرد. همچنین، در صورت استفاده از TCP Wrappers در محیط‌های بزرگ، باید تعداد ورودی‌ها و درخواست‌ها را مدیریت و بهینه‌سازی کنید.

3. مقایسه با ابزارهای مدرن مانند nftables و Firewalld و روش‌های ترکیبی برای جبران محدودیت‌ها

در مقایسه با ابزارهای مدرن مانند nftables و Firewalld، TCP Wrappers از نظر کارایی و امکانات به‌روز در سطح پایین‌تری قرار دارد. Firewalld و nftables قابلیت‌های بیشتری برای مدیریت پیچیده‌تر دسترسی‌ها و فیلتر کردن بسته‌ها ارائه می‌دهند. این ابزارها می‌توانند دسترسی‌ها را بر اساس معیارهای پیچیده‌تری مانند پورت‌ها، پروتکل‌ها، آدرس‌های IP و غیره مدیریت کنند.

راه‌حل ترکیبی: برای جبران محدودیت‌های TCP Wrappers، می‌توان از ترکیب آن با iptables یا nftables استفاده کرد. به‌عنوان مثال، می‌توانید TCP Wrappers را برای مدیریت دسترسی به سرویس‌ها و nftables یا Firewalld را برای فیلتر کردن بسته‌ها و کنترل دقیق‌تر شبکه استفاده کنید.

مثال: برای تنظیم فایروال با nftables به‌صورت ترکیبی با TCP Wrappers، ابتدا می‌توانید قوانینی برای nftables بنویسید که دسترسی به سرویس‌های خاص را محدود کند:

sudo nft add rule ip filter input ip daddr 192.168.1.100 tcp dport 22 accept

این دستور ترافیک ورودی به آدرس IP 192.168.1.100 را که به پورت 22 (SSH) مربوط است، مجاز می‌کند.

جمع‌بندی

• TCP Wrappers قابلیت کنترل دسترسی به سرویس‌ها به‌صورت منعطف را فراهم می‌آورد و از تنظیمات ساده و بدون نیاز به نصب ابزار اضافی بهره می‌برد.
• امکان ثبت لاگ‌های دقیق از دسترسی‌ها یکی دیگر از ویژگی‌های مفید این ابزار است.
• محدودیت‌هایی مانند عدم پشتیبانی از تمام سرویس‌ها و تأثیر عملکردی در محیط‌های بزرگ وجود دارد که می‌توان با ترکیب آن با ابزارهای مدرن مانند iptables یا nftables و Firewalld آن‌ها را جبران کرد.

در این بخش، به بررسی این موضوع خواهیم پرداخت که آیا TCP Wrappers به‌طور پیش‌فرض در توزیع‌های مدرن لینوکس فعال است یا خیر و چه تغییراتی در استفاده از آن رخ داده است.

1. پیش‌فرض بودن TCP Wrappers در توزیع‌های مدرن لینوکس

در گذشته، بسیاری از توزیع‌های لینوکس به‌طور پیش‌فرض از TCP Wrappers برای کنترل دسترسی به سرویس‌ها استفاده می‌کردند. این ابزار در بسیاری از بسته‌های نرم‌افزاری مانند OpenSSH و Telnet گنجانده شده بود و در فایل‌های پیکربندی /etc/hosts.allow و /etc/hosts.deny می‌توانستند دسترسی به سرویس‌های خاص را محدود کنند.

اما با گذشت زمان، به‌ویژه در توزیع‌های مدرن و به‌روزرسانی‌های جدید، بسیاری از توزیع‌های لینوکس دیگر به‌طور پیش‌فرض TCP Wrappers را فعال نمی‌کنند. در بسیاری از موارد، این ابزار به‌طور خودکار بر روی سیستم نصب نمی‌شود و شما باید به‌طور دستی آن را نصب و پیکربندی کنید.

برای مثال، در توزیع‌هایی مانند Ubuntu یا Debian، در حالی که برخی از سرویس‌ها ممکن است به‌طور پیش‌فرض از TCP Wrappers استفاده کنند، در توزیع‌های جدیدتر مانند CentOS 8 یا Fedora، اغلب این ابزار به‌طور پیش‌فرض غیرفعال است و بسیاری از سرویس‌ها از firewalld یا nftables برای کنترل دسترسی استفاده می‌کنند.

2. بررسی نصب و فعال‌سازی TCP Wrappers در توزیع‌های مدرن

اگر شما تمایل دارید که از TCP Wrappers در توزیع‌های مدرن استفاده کنید، باید آن را به‌طور دستی نصب کرده و تنظیمات مربوطه را پیکربندی کنید.

نصب TCP Wrappers

برای نصب TCP Wrappers در توزیع‌های مدرن لینوکس، معمولاً از دستور زیر استفاده می‌شود:

برای توزیع‌های مبتنی بر Debian/Ubuntu:

sudo apt-get update
sudo apt-get install tcpd

برای توزیع‌های مبتنی بر RHEL/CentOS:

sudo yum install tcp_wrappers

بعد از نصب، برای استفاده از این ابزار باید تنظیمات را در فایل‌های /etc/hosts.allow و /etc/hosts.deny انجام دهید.

3. پیکربندی TCP Wrappers

بعد از نصب، برای فعال‌سازی و پیکربندی TCP Wrappers، باید فایل‌های پیکربندی را ویرایش کنید. این تنظیمات به شما این امکان را می‌دهند که دسترسی به سرویس‌ها را بر اساس آدرس‌های IP و دامنه‌های خاص محدود کنید.

برای پیکربندی فایل /etc/hosts.allow:

این فایل به شما امکان می‌دهد دسترسی به سرویس‌ها را به آدرس‌های IP خاص محدود کنید. به‌عنوان مثال:

sshd: 192.168.1.0/24

این تنظیمات دسترسی به سرویس SSH را فقط برای شبکه 192.168.1.0/24 مجاز می‌کند.

برای پیکربندی فایل /etc/hosts.deny:

این فایل معمولاً برای محدود کردن دسترسی به سرویس‌ها استفاده می‌شود. به‌عنوان مثال:

sshd: ALL

این تنظیمات دسترسی به سرویس SSH را برای تمام آدرس‌های IP به‌طور پیش‌فرض مسدود می‌کند.

بعد از اعمال تغییرات در این فایل‌ها، سرویس‌های تحت پوشش TCP Wrappers به این تنظیمات احترام خواهند گذاشت.

4. محدودیت‌ها و مشکلات

با اینکه TCP Wrappers ابزاری مفید برای محدود کردن دسترسی به سرویس‌هاست، محدودیت‌هایی نیز دارد که در توزیع‌های مدرن لینوکس ممکن است با آن روبه‌رو شوید:

1. عدم پشتیبانی از برخی سرویس‌ها: بسیاری از سرویس‌های جدید مانند sshd یا httpd به‌طور پیش‌فرض از TCP Wrappers استفاده نمی‌کنند.
2. نیاز به پیکربندی دستی: در توزیع‌های مدرن، TCP Wrappers به‌طور پیش‌فرض فعال نیست و باید به‌طور دستی نصب و پیکربندی شود.
3. جایگزینی با فایروال‌های مدرن: توزیع‌های جدید از فایروال‌هایی مانند firewalld و nftables برای کنترل دسترسی به سرویس‌ها استفاده می‌کنند که قابلیت‌های بیشتری نسبت به TCP Wrappers دارند.

جمع‌بندی

TCP Wrappers در توزیع‌های قدیمی‌تر لینوکس به‌طور پیش‌فرض فعال بود، اما در توزیع‌های مدرن، معمولاً غیرفعال است و باید به‌طور دستی نصب و پیکربندی شود. این ابزار همچنان می‌تواند برای محدود کردن دسترسی به سرویس‌ها مفید باشد، اما باید در نظر گرفت که با توجه به جایگزین‌های مدرن مانند firewalld و nftables، استفاده از آن در بسیاری از موارد کاهش یافته است.

در نهایت، استفاده از TCP Wrappers برای محیط‌هایی که نیاز به سادگی و کنترل دسترسی سطح پایین دارند، ممکن است مناسب باشد، اما برای مدیریت پیچیده‌تر و محیط‌های بزرگ‌تر، توصیه می‌شود از ابزارهای مدرن‌تر مانند firewalld یا nftables استفاده شود.

در این بخش، به بررسی پشتیبانی از libwrap در سرویس‌های مختلف سیستم‌های مدرن لینوکس خواهیم پرداخت، چگونگی استفاده از آن در سرویس‌ها، و اینکه کدام سرویس‌ها به‌طور پیش‌فرض از آن پشتیبانی می‌کنند و کدام‌ها نیاز به پیکربندی دستی دارند.

1. کاربرد libwrap در سرویس‌های شبکه‌ای

libwrap به مدیران سیستم این امکان را می‌دهد که دسترسی به سرویس‌های شبکه‌ای را با استفاده از فایل‌های پیکربندی مانند /etc/hosts.allow و /etc/hosts.deny کنترل کنند. این کتابخانه معمولاً برای فیلتر کردن ترافیک ورودی به سیستم و محدود کردن دسترسی به سرویس‌های خاص استفاده می‌شود.

سرویس‌هایی که از libwrap پشتیبانی می‌کنند، به‌طور معمول از این کتابخانه برای بررسی فایل‌های پیکربندی استفاده می‌کنند تا تعیین کنند آیا درخواست اتصال به سرویس مجاز است یا خیر.

2. پشتیبانی از libwrap در سرویس‌های مختلف

بسیاری از سرویس‌ها در گذشته از libwrap به‌طور پیش‌فرض پشتیبانی می‌کردند. اما در توزیع‌های مدرن و به‌ویژه در نسخه‌های جدیدتر برخی سرویس‌ها، پشتیبانی از libwrap به‌طور پیش‌فرض غیرفعال شده است. در اینجا، بررسی می‌کنیم که کدام سرویس‌ها همچنان از این کتابخانه پشتیبانی می‌کنند و برای استفاده از آن باید چه تنظیماتی اعمال کنید.

2.1. SSH (sshd)

در نسخه‌های قدیمی‌تر OpenSSH، پشتیبانی از libwrap به‌طور پیش‌فرض فعال بود. به این معنی که SSH از فایل‌های /etc/hosts.allow و /etc/hosts.deny برای کنترل دسترسی به سرور استفاده می‌کرد.

با این حال، از نسخه‌های جدیدتر OpenSSH، این پشتیبانی به‌طور پیش‌فرض غیرفعال شده است. برای فعال‌سازی مجدد آن باید OpenSSH را با گزینه --with-libwrap کامپایل کنید.

فعال‌سازی libwrap در OpenSSH: برای فعال‌سازی مجدد libwrap در OpenSSH، باید سرویس SSH را مجدداً کامپایل کرده و گزینه --with-libwrap را هنگام نصب انتخاب کنید.

./configure --with-libwrap
make
sudo make install

بعد از این کار، فایل‌های /etc/hosts.allow و /etc/hosts.deny به‌طور کامل برای کنترل دسترسی از طریق SSH فعال خواهند شد.

2.2. FTP (vsftpd)

vsftpd، یکی از رایج‌ترین سرویس‌های FTP در لینوکس، به‌طور پیش‌فرض از libwrap پشتیبانی می‌کند. برای محدود کردن دسترسی به سرویس FTP، می‌توانید از فایل‌های /etc/hosts.allow و /etc/hosts.deny استفاده کنید.

مثال پیکربندی برای محدود کردن دسترسی FTP:

vsftpd: 192.168.1.0/24

این تنظیمات به سرویس FTP اجازه می‌دهد که فقط از شبکه داخلی 192.168.1.0/24 دسترسی داشته باشد.

2.3. Telnet

در بسیاری از سیستم‌ها، Telnet از libwrap پشتیبانی می‌کند. این پشتیبانی به‌طور پیش‌فرض فعال است و می‌توانید دسترسی به سرویس Telnet را با استفاده از فایل‌های /etc/hosts.allow و /etc/hosts.deny کنترل کنید.

مثال پیکربندی برای محدود کردن دسترسی Telnet:

telnetd: 192.168.1.0/24

این تنظیمات دسترسی به سرویس Telnet را فقط برای شبکه 192.168.1.0/24 محدود می‌کند.

2.4. NFS (Network File System)

در بسیاری از نسخه‌های NFS، libwrap به‌طور پیش‌فرض فعال است و به شما این امکان را می‌دهد که دسترسی به منابع NFS را با استفاده از فایل‌های /etc/hosts.allow و /etc/hosts.deny کنترل کنید.

با این حال، برای برخی از نسخه‌های جدیدتر NFS، ممکن است نیاز باشد که از گزینه‌های پیکربندی اضافی برای فعال‌سازی این قابلیت استفاده کنید.

مثال پیکربندی برای محدود کردن دسترسی NFS:

mountd: 192.168.1.0/24

این تنظیمات دسترسی به منابع NFS را فقط برای شبکه 192.168.1.0/24 محدود می‌کند.

3. سرویس‌هایی که از libwrap پشتیبانی نمی‌کنند

برخی از سرویس‌ها و نرم‌افزارهای جدیدتر به‌طور پیش‌فرض از libwrap پشتیبانی نمی‌کنند و به جای آن از ابزارهای جدیدتری مانند firewalld یا nftables برای کنترل دسترسی استفاده می‌کنند. برای مثال:

• HTTP Servers (Apache, Nginx): این سرویس‌ها به‌طور پیش‌فرض از libwrap پشتیبانی نمی‌کنند و به جای آن از firewalld یا iptables برای مدیریت دسترسی استفاده می‌کنند.
• Dovecot, Postfix (Mail Servers): این سرویس‌ها نیز به‌طور معمول از libwrap پشتیبانی نمی‌کنند و از ابزارهای مدرن‌تر برای کنترل دسترسی استفاده می‌کنند.

در این سرویس‌ها، به‌جای استفاده از TCP Wrappers، باید از فایروال‌های مدرن یا ابزارهای دیگر برای محدود کردن دسترسی استفاده کنید.

4. پیکربندی دستی libwrap در سرویس‌ها

برای استفاده از libwrap در سرویس‌هایی که به‌طور پیش‌فرض پشتیبانی نمی‌کنند، نیاز به پیکربندی دستی دارید. این شامل اضافه کردن تنظیمات پیکربندی به فایل‌های /etc/hosts.allow و /etc/hosts.deny است.

به‌عنوان مثال، برای کنترل دسترسی به سرویس SSH در سیستمی که پشتیبانی از libwrap غیرفعال است، باید مراحل زیر را انجام دهید:

1. نصب OpenSSH با پشتیبانی از libwrap (اگر هنوز نصب نکرده‌اید).
2. پیکربندی فایل‌های /etc/hosts.allow و /etc/hosts.deny به‌طور دستی.

مثال پیکربندی:

sshd: 192.168.1.0/24

این تنظیمات اجازه می‌دهند که تنها از شبکه 192.168.1.0/24 به سرویس SSH متصل شوند.

5. جمع‌بندی

پشتیبانی از libwrap در سرویس‌های مدرن لینوکس ممکن است تغییر کرده باشد و بسته به توزیع و نسخه‌ای که استفاده می‌کنید، فعال بودن این پشتیبانی متفاوت است. در حالی که سرویس‌های قدیمی‌تری مانند SSH، FTP و Telnet هنوز از این ابزار پشتیبانی می‌کنند، سرویس‌های جدیدتر ممکن است به‌طور پیش‌فرض از libwrap استفاده نکنند و به ابزارهای دیگری مانند firewalld و nftables روی آورده‌اند.

برای فعال‌سازی مجدد libwrap در سرویس‌ها، ممکن است نیاز به نصب مجدد یا پیکربندی دستی داشته باشید.

1. نصب TCP Wrappers از طریق مخازن رسمی

در بسیاری از توزیع‌های لینوکس، بسته TCP Wrappers به‌طور رسمی در مخازن موجود است. برای نصب این بسته، می‌توانید از ابزارهای مدیریت بسته مانند apt یا yum استفاده کنید. در صورتی که بسته در مخازن موجود نباشد، روش‌های دیگر را برای نصب دستی بررسی خواهیم کرد.

1.1. نصب در توزیع‌های مبتنی بر Debian/Ubuntu

برای نصب TCP Wrappers در توزیع‌های مبتنی بر Debian یا Ubuntu، از دستور زیر استفاده کنید:

sudo apt update
sudo apt install tcpd

این دستور بسته tcpd را که شامل TCP Wrappers است، نصب می‌کند. پس از نصب این بسته، باید فایل‌های پیکربندی مربوط به آن مانند /etc/hosts.allow و /etc/hosts.deny را ایجاد کنید و به تنظیمات مربوط به هر سرویس شبکه‌ای اشاره کنید.

1.2. نصب در توزیع‌های مبتنی بر RHEL/CentOS/Fedora

در توزیع‌های مبتنی بر RHEL و CentOS نیز می‌توان بسته TCP Wrappers را نصب کرد. دستور زیر برای نصب TCP Wrappers در این توزیع‌ها استفاده می‌شود:

sudo yum install tcp_wrappers

در Fedora، می‌توانید از دستور زیر استفاده کنید:

sudo dnf install tcp_wrappers

پس از نصب، باید فایل‌های پیکربندی مانند /etc/hosts.allow و /etc/hosts.deny را تنظیم کنید.

2. نصب از کد منبع

اگر بسته TCP Wrappers در مخازن توزیع شما موجود نباشد یا ترجیح می‌دهید از کد منبع آن استفاده کنید، می‌توانید TCP Wrappers را از سورس نصب کنید. برای این کار، مراحل زیر را دنبال کنید:

2.1. دریافت کد منبع

برای شروع، باید کد منبع TCP Wrappers را از وب‌سایت رسمی یا مخازن GitHub دریافت کنید. دستور زیر را برای دانلود کد منبع استفاده کنید:

wget https://github.com/hypertriton/tcp_wrappers/releases/download/v7.6-21/tcp_wrappers-7.6-21.tar.gz

این دستور فایل فشرده‌ای به نام tcp_wrappers-7.6-21.tar.gz را دانلود می‌کند.

2.2. استخراج و کامپایل کد

پس از دانلود کد منبع، باید آن را استخراج کرده و کامپایل کنید:

tar -xvzf tcp_wrappers-7.6-21.tar.gz
cd tcp_wrappers-7.6-21

بعد از استخراج، وارد دایرکتوری کد منبع شوید.

2.3. پیکربندی و نصب

برای پیکربندی و نصب TCP Wrappers، دستورهای زیر را به‌ترتیب اجرا کنید:

./configure
make
sudo make install

دستورات بالا بسته TCP Wrappers را برای سیستم شما کامپایل کرده و نصب می‌کنند.

3. پیکربندی فایل‌های /etc/hosts.allow و /etc/hosts.deny

بعد از نصب TCP Wrappers، برای کنترل دسترسی به سرویس‌های شبکه‌ای، باید فایل‌های /etc/hosts.allow و /etc/hosts.deny را تنظیم کنید.

3.1. فایل /etc/hosts.allow

فایل /etc/hosts.allow برای تعیین دسترسی مجاز به سرویس‌ها استفاده می‌شود. برای مثال، برای اجازه دادن به دسترسی SSH از یک شبکه خاص، فایل /etc/hosts.allow به شکل زیر خواهد بود:

sshd: 192.168.1.0/24

این تنظیمات به سرویس SSH اجازه می‌دهند که فقط از شبکه 192.168.1.0/24 دسترسی داشته باشد.

3.2. فایل /etc/hosts.deny

فایل /etc/hosts.deny برای مسدود کردن دسترسی به سرویس‌ها استفاده می‌شود. به‌عنوان مثال، برای مسدود کردن دسترسی به سرویس SSH از سایر منابع، فایل /etc/hosts.deny را به شکل زیر تنظیم کنید:

sshd: ALL

این تنظیمات دسترسی به سرویس SSH را از همه منابع مسدود می‌کند.

4. پیکربندی سرویس‌ها برای استفاده از TCP Wrappers

بعد از نصب TCP Wrappers و تنظیم فایل‌های پیکربندی hosts.allow و hosts.deny، ممکن است نیاز باشد که برخی از سرویس‌ها را پیکربندی کنید تا از TCP Wrappers استفاده کنند. برخی از سرویس‌ها به‌طور پیش‌فرض از این قابلیت پشتیبانی می‌کنند، اما در برخی موارد ممکن است نیاز به فعال‌سازی دستی داشته باشید.

4.1. پیکربندی OpenSSH برای پشتیبانی از TCP Wrappers

اگر سرویس SSH از TCP Wrappers پشتیبانی نمی‌کند، برای فعال‌سازی آن، باید OpenSSH را با گزینه --with-libwrap کامپایل کنید.

./configure --with-libwrap
make
sudo make install

سپس، پیکربندی‌های لازم را در فایل‌های /etc/hosts.allow و /etc/hosts.deny برای محدود کردن دسترسی به SSH اعمال کنید.

4.2. پیکربندی سرویس‌های دیگر

برای سرویس‌های دیگر مانند vsftpd و telnetd، معمولاً نیاز به تغییرات خاصی در فایل‌های پیکربندی ندارید. تنها کافی است که از فایل‌های /etc/hosts.allow و /etc/hosts.deny استفاده کنید تا دسترسی به این سرویس‌ها را کنترل کنید.

جمع‌بندی

نصب دستی TCP Wrappers در صورتی که بسته‌های مورد نیاز در مخازن توزیع شما موجود نباشند، از طریق کامپایل کد منبع امکان‌پذیر است. پس از نصب، برای کنترل دسترسی به سرویس‌ها باید از فایل‌های پیکربندی /etc/hosts.allow و /etc/hosts.deny استفاده کنید. این فایل‌ها به شما امکان می‌دهند که دسترسی به سرویس‌های مختلف سیستم را محدود یا مجاز کنید.

1. نصب در Debian و Ubuntu

برای نصب TCP Wrappers در توزیع‌های مبتنی بر Debian و Ubuntu، می‌توانید از مدیر بسته apt استفاده کنید. بسته مورد نیاز در مخازن رسمی این توزیع‌ها به نام tcpd موجود است. دستور نصب به صورت زیر است:

sudo apt update
sudo apt install tcpd

• پکیج tcpd شامل نرم‌افزار TCP Wrappers است.
• پس از نصب، می‌توانید از فایل‌های پیکربندی /etc/hosts.allow و /etc/hosts.deny برای کنترل دسترسی به سرویس‌ها استفاده کنید.

مسیر فایل‌های پیکربندی:

• /etc/hosts.allow: برای اجازه دادن به دسترسی
• /etc/hosts.deny: برای مسدود کردن دسترسی

2. نصب در CentOS و RHEL

در توزیع‌های CentOS و RHEL، بسته TCP Wrappers به‌طور پیش‌فرض از طریق مخازن dnf (برای RHEL 8 و نسخه‌های جدیدتر) یا yum (برای نسخه‌های قدیمی‌تر) قابل نصب است. دستور نصب به صورت زیر است:

برای نسخه‌های جدیدتر RHEL و CentOS (با استفاده از dnf):

sudo dnf install tcp_wrappers

برای نسخه‌های قدیمی‌تر RHEL و CentOS (با استفاده از yum):

sudo yum install tcp_wrappers

• نصب این بسته به شما امکان می‌دهد تا از فایل‌های /etc/hosts.allow و /etc/hosts.deny برای تنظیم قوانین دسترسی استفاده کنید.

مسیر فایل‌های پیکربندی:

• /etc/hosts.allow
• /etc/hosts.deny

3. نصب در Arch Linux

در Arch Linux و توزیع‌های مبتنی بر آن، بسته TCP Wrappers از طریق مدیر بسته pacman قابل نصب است. دستور نصب به این صورت است:

sudo pacman -S tcp_wrappers

• پس از نصب این بسته، می‌توانید از پیکربندی‌های مشابه به Debian و RHEL برای محدود کردن یا مجاز کردن دسترسی به سرویس‌ها استفاده کنید.

مسیر فایل‌های پیکربندی:

• /etc/hosts.allow
• /etc/hosts.deny

جمع‌بندی

نصب TCP Wrappers در توزیع‌های مختلف لینوکس با استفاده از ابزارهای مدیریتی بسته مختلف (apt، dnf، pacman) انجام می‌شود. پس از نصب بسته، می‌توانید دسترسی به سرویس‌ها را با استفاده از فایل‌های پیکربندی /etc/hosts.allow و /etc/hosts.deny مدیریت کنید. این ابزار به‌ویژه برای جلوگیری از دسترسی غیرمجاز به سیستم‌ها و سرویس‌ها مفید است.

1. بررسی نصب TCP Wrappers با استفاده از دستور which

یکی از ساده‌ترین روش‌ها برای بررسی نصب شدن TCP Wrappers، استفاده از دستور which است. این دستور مسیر فایل اجرایی بسته را نمایش می‌دهد.

which tcpd

• اگر TCP Wrappers به درستی نصب شده باشد، مسیر فایل اجرایی آن نمایش داده می‌شود. برای مثال، ممکن است مسیر /usr/sbin/tcpd را مشاهده کنید.
• اگر دستور خروجی نداد یا مسیر فایل اجرایی را نشان نداد، نشان‌دهنده این است که TCP Wrappers نصب نشده است.

2. بررسی نسخه TCP Wrappers با استفاده از دستور tcpd -v

برای بررسی نسخه بسته TCP Wrappers، می‌توانید از دستور tcpd -v استفاده کنید:

tcpd -v

• این دستور اطلاعات مربوط به نسخه TCP Wrappers را نمایش می‌دهد.
• اگر TCP Wrappers به درستی نصب شده باشد، خروجی مشابه زیر را دریافت خواهید کرد:

TCP Wrappers version 7.6 (Debian 7.6-1)

اگر این دستور خطا داد یا نسخه‌ای نمایش داده نشد، احتمالاً TCP Wrappers به درستی نصب نشده است.

3. استفاده از دستور dpkg (در توزیع‌های Debian/Ubuntu)

در Debian و Ubuntu، برای بررسی نصب و نسخه بسته‌ها می‌توانید از دستور dpkg استفاده کنید:

dpkg -l | grep tcpd

• این دستور تمام بسته‌های نصب شده را فهرست کرده و اگر بسته tcpd نصب شده باشد، آن را نمایش خواهد داد.
• خروجی دستور به شکل زیر خواهد بود:

ii  tcpd                7.6-1ubuntu1      amd64        Wietse Venema's TCP wrappers tools

4. استفاده از دستور rpm (در توزیع‌های RHEL/CentOS)

در RHEL و CentOS می‌توانید از دستور rpm برای بررسی نصب بسته و نسخه آن استفاده کنید:

rpm -qi tcp_wrappers

• اگر بسته نصب شده باشد، اطلاعات نسخه آن نمایش داده خواهد شد.
• خروجی نمونه می‌تواند به شکل زیر باشد:

Name        : tcp_wrappers
Version     : 7.6
Release     : 77.el8
Architecture: x86_64

5. بررسی فایل‌های پیکربندی

پس از نصب TCP Wrappers، اطمینان حاصل کنید که فایل‌های پیکربندی /etc/hosts.allow و /etc/hosts.deny وجود دارند.

برای بررسی این که فایل‌ها وجود دارند یا خیر، از دستور ls استفاده کنید:

ls /etc/hosts.allow /etc/hosts.deny

• اگر این فایل‌ها وجود داشته باشند، نشان‌دهنده نصب صحیح TCP Wrappers است.

جمع‌بندی

برای اطمینان از نصب صحیح TCP Wrappers و بررسی نسخه آن، می‌توان از دستورات مختلفی مانند which tcpd، tcpd -v، dpkg -l (در Debian/Ubuntu) و rpm -qi (در RHEL/CentOS) استفاده کرد. همچنین، بررسی وجود فایل‌های پیکربندی /etc/hosts.allow و /etc/hosts.deny می‌تواند نشانه‌ای از نصب موفق باشد.

1. استفاده از دستور ldd برای بررسی وابستگی‌ها

یکی از روش‌های اصلی برای تشخیص پشتیبانی سرویس‌ها از TCP Wrappers، استفاده از دستور ldd است که وابستگی‌های کتابخانه‌ای یک فایل اجرایی را نشان می‌دهد. اگر یک سرویس از TCP Wrappers پشتیبانی کند، باید در میان کتابخانه‌های مورد نیاز آن، کتابخانه libwrap.so دیده شود.

1.1. نحوه بررسی پشتیبانی از TCP Wrappers برای یک سرویس

برای بررسی اینکه آیا سرویس sshd از TCP Wrappers پشتیبانی می‌کند، دستور زیر را اجرا کنید:

ldd $(which sshd) | grep libwrap

• توضیح دستور:
  • ldd $(which sshd) لیست کتابخانه‌های وابسته به سرویس sshd را نمایش می‌دهد.
  • grep libwrap فیلتر می‌کند تا فقط کتابخانه‌هایی که حاوی libwrap هستند، نشان داده شوند.
• نتیجه مورد انتظار: اگر TCP Wrappers فعال باشد، باید کتابخانه libwrap.so در لیست خروجی دیده شود، به عنوان مثال:

libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x00007ff60f925000)

اگر هیچ خروجی مشابهی مشاهده نشد، سرویس از TCP Wrappers پشتیبانی نمی‌کند.

2. بررسی کد منبع سرویس

در صورتی که دستور ldd اطلاعات کافی ندهد، می‌توانید کد منبع سرویس را بررسی کنید تا ببینید آیا از TCP Wrappers پشتیبانی می‌کند یا خیر. این کار معمولاً برای سرویس‌هایی مانند sshd یا ftpd انجام می‌شود.

2.1. بررسی پیکربندی سرویس

در برخی موارد، پشتیبانی از TCP Wrappers ممکن است از طریق فایل‌های پیکربندی مشخص شود. به عنوان مثال، در سرویس sshd می‌توان گزینه UsePAM را در فایل پیکربندی sshd_config بررسی کرد.

برای این منظور، دستور زیر را اجرا کنید:

grep UsePAM /etc/ssh/sshd_config

• اگر مقدار گزینه UsePAM برابر با yes باشد، احتمالاً سرویس از TCP Wrappers پشتیبانی می‌کند.

3. بررسی فایل‌های پیکربندی سیستم

در سیستم‌هایی که از TCP Wrappers استفاده می‌کنند، دو فایل مهم برای تنظیمات دسترسی وجود دارد: /etc/hosts.allow و /etc/hosts.deny.

3.1. بررسی پیکربندی /etc/hosts.allow

فایل /etc/hosts.allow برای تعیین سرویس‌هایی که اجازه دسترسی دارند، استفاده می‌شود. برای بررسی اینکه سرویس sshd از TCP Wrappers پشتیبانی می‌کند، می‌توانید دستور زیر را اجرا کنید:

cat /etc/hosts.allow | grep sshd

• اگر این فایل شامل خطی مشابه زیر باشد، به این معنی است که سرویس sshd از TCP Wrappers پشتیبانی می‌کند:

sshd: ALL

3.2. بررسی پیکربندی /etc/hosts.deny

فایل /etc/hosts.deny برای مسدود کردن دسترسی به سرویس‌ها استفاده می‌شود. بررسی این فایل نیز می‌تواند نشان‌دهنده پشتیبانی از TCP Wrappers باشد. برای بررسی دسترسی‌ها به سرویس‌ها، دستور زیر را اجرا کنید:

cat /etc/hosts.deny | grep sshd

اگر این فایل حاوی خطی برای مسدود کردن دسترسی به سرویس‌ها باشد، آن وقت می‌توانید مطمئن شوید که TCP Wrappers در سیستم پیکربندی شده است.

4. استفاده از دستور strace

روش دیگری برای بررسی پشتیبانی از TCP Wrappers، استفاده از دستور strace است که سیستم را در زمان اجرای سرویس‌ها دنبال می‌کند و نشان می‌دهد که آیا سرویس به کتابخانه‌های libwrap وابسته است یا خیر.

4.1. اجرای strace برای بررسی سرویس

برای مثال، اگر بخواهید بررسی کنید که آیا سرویس sshd از TCP Wrappers استفاده می‌کند، می‌توانید دستور زیر را اجرا کنید:

strace -e trace=network sshd -T

• توضیح دستور:
  • دستور strace به شما امکان می‌دهد که سیستم را در زمان اجرای سرویس sshd دنبال کنید.
  • گزینه -e trace=network فقط تماس‌های شبکه‌ای را نمایش می‌دهد.
  • اگر TCP Wrappers فعال باشد، ممکن است در خروجی اطلاعاتی مربوط به libwrap مشاهده کنید.

جمع‌بندی

برای بررسی پشتیبانی یک سرویس از TCP Wrappers، می‌توان از روش‌های مختلفی استفاده کرد:

• استفاده از دستور ldd برای بررسی وابستگی به کتابخانه‌های libwrap.
• بررسی کد منبع و تنظیمات پیکربندی سرویس.
• تحلیل فایل‌های پیکربندی مانند /etc/hosts.allow و /etc/hosts.deny.
• استفاده از strace برای مشاهده تعامل سرویس با کتابخانه‌های TCP Wrappers.

این روش‌ها می‌توانند کمک کنند تا اطمینان حاصل کنید که سرویس‌ها از TCP Wrappers پشتیبانی می‌کنند و تنظیمات لازم برای مدیریت دسترسی‌ها به درستی انجام شده است.

اگر سرویس‌ها از TCP Wrappers پشتیبانی کنند، باید در میان کتابخانه‌های مورد نیاز آن سرویس، کتابخانه libwrap.so وجود داشته باشد. این کتابخانه مسئول مدیریت دسترسی به سرویس‌ها از طریق TCP Wrappers است.

1. نحوه استفاده از دستور ldd برای بررسی وابستگی‌ها

برای بررسی وابستگی‌های کتابخانه‌ای یک سرویس به TCP Wrappers، می‌توانید از دستور ldd استفاده کنید. این دستور به شما نشان می‌دهد که آیا سرویس به کتابخانه libwrap.so وابسته است یا خیر.

1.1. بررسی سرویس sshd

برای مثال، اگر بخواهید بررسی کنید که آیا سرویس sshd (OpenSSH) از TCP Wrappers استفاده می‌کند یا خیر، از دستور زیر استفاده کنید:

ldd $(which sshd) | grep libwrap

• توضیح دستور:
  • which sshd مسیر فایل اجرایی sshd را پیدا می‌کند.
  • ldd $(which sshd) لیست کتابخانه‌های وابسته به فایل اجرایی sshd را نمایش می‌دهد.
  • grep libwrap خروجی را فیلتر می‌کند و فقط خطوطی را نمایش می‌دهد که شامل libwrap باشند.

1.2. نتیجه مورد انتظار

اگر سرویس sshd از TCP Wrappers پشتیبانی کند، در لیست کتابخانه‌ها باید کتابخانه libwrap.so دیده شود. به عنوان مثال:

libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x00007f52d7bb7000)

این نشان می‌دهد که سرویس sshd به libwrap.so وابسته است و از TCP Wrappers برای مدیریت دسترسی استفاده می‌کند.

1.3. نتیجه زمانی که TCP Wrappers پشتیبانی نشود

اگر سرویس از TCP Wrappers پشتیبانی نکند یا به libwrap.so وابسته نباشد، خروجی دستور ldd هیچ نتیجه‌ای با libwrap نشان نمی‌دهد.

جمع‌بندی

استفاده از دستور ldd یکی از ساده‌ترین و سریع‌ترین روش‌ها برای بررسی وابستگی سرویس‌ها به TCP Wrappers است. با این روش، می‌توانید به راحتی بررسی کنید که آیا سرویس‌هایی مانند sshd به کتابخانه libwrap.so وابسته هستند یا خیر، و از این طریق تشخیص دهید که آیا سرویس از TCP Wrappers برای مدیریت دسترسی به سیستم استفاده می‌کند.

1. SSH (Secure Shell)

سرویس sshd (OpenSSH Daemon) از TCP Wrappers برای مدیریت دسترسی به سیستم از طریق پروتکل SSH استفاده می‌کند. این سرویس امکان اتصال امن به سرور از راه دور را فراهم می‌کند و TCP Wrappers برای محدود کردن یا اجازه دادن به IPهای خاص برای دسترسی به آن استفاده می‌شود.

• پشتیبانی TCP Wrappers: بله
• مکان فایل پیکربندی: /etc/hosts.allow و /etc/hosts.deny

2. vsftpd (Very Secure FTP Daemon)

سرویس vsftpd یک سرویس FTP امن است که از TCP Wrappers برای محدود کردن دسترسی به سرور FTP استفاده می‌کند. این سرویس برای انتقال فایل‌ها به صورت امن و با سرعت بالا طراحی شده است.

• پشتیبانی TCP Wrappers: بله
• مکان فایل پیکربندی: /etc/hosts.allow و /etc/hosts.deny

3. xinetd (Extended Internet Services Daemon)

سرویس xinetd یک دیمون است که به عنوان مدیر سرویس‌های شبکه عمل می‌کند و بسیاری از سرویس‌های قدیمی مانند FTP، Telnet و دیگر سرویس‌های شبکه را اجرا می‌کند. xinetd از TCP Wrappers برای کنترل دسترسی به این سرویس‌ها استفاده می‌کند.

• پشتیبانی TCP Wrappers: بله
• مکان فایل پیکربندی: /etc/hosts.allow و /etc/hosts.deny

4. Telnet

سرویس telnet یکی از قدیمی‌ترین پروتکل‌های شبکه است که از TCP Wrappers برای کنترل دسترسی به سیستم از طریق این پروتکل استفاده می‌کند. این سرویس معمولاً برای مدیریت از راه دور سیستم‌ها مورد استفاده قرار می‌گیرد، اما به دلیل ضعف امنیتی، کمتر مورد استفاده قرار می‌گیرد.

• پشتیبانی TCP Wrappers: بله
• مکان فایل پیکربندی: /etc/hosts.allow و /etc/hosts.deny

5. FTP (File Transfer Protocol)

سرویس‌های ftp که از پروتکل FTP برای انتقال فایل‌ها استفاده می‌کنند، می‌توانند از TCP Wrappers برای محدود کردن دسترسی به سرور FTP استفاده کنند. این سرویس‌ها می‌توانند تحت مدیریت xinetd قرار داشته باشند یا به صورت مستقل اجرا شوند.

• پشتیبانی TCP Wrappers: بله
• مکان فایل پیکربندی: /etc/hosts.allow و /etc/hosts.deny

6. SMTP (Simple Mail Transfer Protocol) – Postfix

سرویس Postfix که یکی از سرویس‌های محبوب برای ارسال ایمیل است، از TCP Wrappers برای محدود کردن دسترسی به پورت‌های ارسال ایمیل استفاده می‌کند.

• پشتیبانی TCP Wrappers: بله
• مکان فایل پیکربندی: /etc/hosts.allow و /etc/hosts.deny

7. Apache HTTP Server

اگرچه Apache HTTP Server به طور پیش‌فرض از TCP Wrappers استفاده نمی‌کند، اما می‌توان آن را با استفاده از ماژول‌های خاص برای کنترل دسترسی از طریق TCP Wrappers پیکربندی کرد.

• پشتیبانی TCP Wrappers: در صورت پیکربندی صحیح
• مکان فایل پیکربندی: /etc/hosts.allow و /etc/hosts.deny

8. IMAP (Internet Message Access Protocol) – Dovecot

سرویس‌های IMAP، مانند Dovecot، که برای دریافت ایمیل‌ها استفاده می‌شوند، از TCP Wrappers برای کنترل دسترسی به سرورهای ایمیل پشتیبانی می‌کنند.

• پشتیبانی TCP Wrappers: بله
• مکان فایل پیکربندی: /etc/hosts.allow و /etc/hosts.deny

9. Pop3 (Post Office Protocol) – Dovecot

همچنین پروتکل POP3 که برای دریافت ایمیل‌ها استفاده می‌شود، می‌تواند از TCP Wrappers برای محدود کردن دسترسی به سرورهای ایمیل استفاده کند.

• پشتیبانی TCP Wrappers: بله
• مکان فایل پیکربندی: /etc/hosts.allow و /etc/hosts.deny

جمع‌بندی

در این بخش، لیستی از سرویس‌های معروف که از TCP Wrappers پشتیبانی می‌کنند، ارائه شد. این سرویس‌ها شامل SSH، FTP، xinetd، Telnet و سایر سرویس‌های مرتبط با ایمیل و انتقال فایل می‌باشند. برای هر کدام از این سرویس‌ها می‌توانید دسترسی‌ها را از طریق فایل‌های پیکربندی TCP Wrappers مانند /etc/hosts.allow و /etc/hosts.deny مدیریت کنید تا فقط IPهای مجاز به سرویس‌ها دسترسی داشته باشند.

1. ایجاد فایل‌های اولیه hosts.allow و hosts.deny

TCP Wrappers برای کنترل دسترسی به سرویس‌ها از دو فایل پیکربندی اصلی استفاده می‌کند:

• /etc/hosts.allow: این فایل به سرویس‌ها اجازه می‌دهد که از IPهای خاص دسترسی دریافت کنند.
• /etc/hosts.deny: این فایل برای مسدود کردن دسترسی از IPهای خاص استفاده می‌شود.

در ابتدا، باید این فایل‌ها را در مسیر مناسب ایجاد کرده و تنظیمات اولیه را برای آن‌ها انجام دهیم.

2. ایجاد و پیکربندی فایل hosts.allow

ابتدا فایل hosts.allow را ایجاد کرده و تنظیمات دسترسی به سرویس‌ها را در آن وارد می‌کنیم. این فایل باید شامل IPهای مجاز باشد که اجازه دسترسی به سرویس‌ها را دارند.

دستور ایجاد فایل hosts.allow:

sudo nano /etc/hosts.allow

محتوای فایل hosts.allow (مثال):

sshd: 192.168.1.0/24
vsftpd: 10.0.0.1

در این مثال:

• فقط دستگاه‌های داخل شبکه 192.168.1.0/24 مجاز به اتصال به سرویس sshd (SSH) هستند.
• فقط آدرس IP 10.0.0.1 مجاز به اتصال به سرویس vsftpd (FTP) است.

3. ایجاد و پیکربندی فایل hosts.deny

فایل hosts.deny برای مسدود کردن دسترسی به سرویس‌ها از IPهای خاص استفاده می‌شود. اگر قصد دارید که دسترسی از برخی آدرس‌ها مسدود شود، این فایل را ویرایش کنید.

دستور ایجاد فایل hosts.deny:

sudo nano /etc/hosts.deny

محتوای فایل hosts.deny (مثال):

sshd: ALL
vsftpd: ALL

در این مثال:

• تمام آدرس‌های IP برای اتصال به سرویس sshd مسدود شده‌اند.
• تمام آدرس‌های IP برای اتصال به سرویس vsftpd مسدود شده‌اند.

4. نکات مهم در پیکربندی

• در فایل hosts.allow، اولین قانونی که وارد می‌شود، برای اجازه دسترسی است. اگر IP مورد نظر در این فایل باشد، به آن سرویس اجازه دسترسی داده می‌شود.
• در فایل hosts.deny، دسترسی به آدرس‌های IP ذکر شده مسدود می‌شود.
• اولویت اعمال قوانین: hosts.allow اولویت بیشتری نسبت به hosts.deny دارد. یعنی اگر یک IP در هر دو فایل وجود داشته باشد، دسترسی به آن IP طبق دستور موجود در hosts.allow تعیین می‌شود.

5. تست اولیه

پس از تنظیم این فایل‌ها، باید یک تست اولیه انجام دهیم تا اطمینان حاصل کنیم که TCP Wrappers به درستی پیکربندی شده است.

برای تست اولیه، می‌توانید از دستور telnet یا ssh از یک دستگاه دیگر برای اتصال به سرور استفاده کنید.

مثال تست اتصال SSH:

از یک دستگاه دیگر که IP آن داخل شبکه مجاز نیست (مثلاً خارج از 192.168.1.0/24 باشد)، دستور زیر را وارد کنید:

ssh user@your-server-ip

اگر دسترسی مسدود باشد، پیغام خطای مشابه به این نمایش داده می‌شود:

Connection refused.

تست دسترسی FTP:

در صورت تنظیم vsftpd، از یک دستگاه دیگر که IP آن در لیست مجاز نیست (مثلاً IP آن 10.0.0.1 نباشد)، دستور زیر را وارد کنید:

ftp your-server-ip

اگر دسترسی به سرور FTP مسدود باشد، پیام خطای مشابه به این نمایش داده می‌شود:

Connection refused.

6. تست تکمیلی با استفاده از syslog

برای اطمینان بیشتر از اینکه TCP Wrappers به درستی کار می‌کند، می‌توانید از لاگ‌های سیستم استفاده کنید. TCP Wrappers تمامی تلاش‌های دسترسی را در لاگ‌های سیستم ثبت می‌کند.

برای مشاهده لاگ‌ها، دستور زیر را وارد کنید:

sudo tail -f /var/log/syslog

در این لاگ‌ها، تلاش‌های ناموفق برای اتصال به سرویس‌ها نمایش داده می‌شود و شما می‌توانید مطمئن شوید که مسدودسازی یا اجازه دسترسی به درستی انجام شده است.

جمع‌بندی

در این بخش، نحوه فعال‌سازی و تست اولیه TCP Wrappers با استفاده از فایل‌های پیکربندی hosts.allow و hosts.deny توضیح داده شد. این فایل‌ها به شما این امکان را می‌دهند که دسترسی به سرویس‌ها را از طریق IPهای خاص کنترل کنید. پس از پیکربندی این فایل‌ها، تست‌های اولیه با استفاده از دستوراتی مانند ssh و ftp انجام شد تا اطمینان حاصل شود که تنظیمات به درستی اعمال شده‌اند.

1. ایجاد قانون در فایل hosts.allow

ابتدا، برای تست دسترسی یک IP خاص به یکی از سرویس‌ها، باید یک قانون به فایل hosts.allow اضافه کنیم. به‌عنوان مثال، اگر بخواهیم اجازه دسترسی به سرویس sshd (SSH) را فقط برای یک IP خاص بدهیم، این کار را در فایل hosts.allow انجام می‌دهیم.

دستور ویرایش فایل hosts.allow:

sudo nano /etc/hosts.allow

محتوای فایل hosts.allow برای تست دسترسی:

sshd: 192.168.1.10

در این مثال:

• فقط دستگاهی که IP آن 192.168.1.10 است می‌تواند به سرویس sshd (SSH) دسترسی پیدا کند.

2. ایجاد قانون در فایل hosts.deny

برای جلوگیری از دسترسی سایر دستگاه‌ها، باید فایل hosts.deny را نیز ویرایش کرده و دسترسی سایر دستگاه‌ها را مسدود کنیم.

دستور ویرایش فایل hosts.deny:

sudo nano /etc/hosts.deny

محتوای فایل hosts.deny برای مسدود کردن دسترسی سایر IPها:

sshd: ALL

در این مثال:

• تمام دستگاه‌های دیگر (به‌جز IPهای موجود در hosts.allow) به سرویس sshd دسترسی نخواهند داشت.

3. آزمایش دسترسی از IP مجاز

پس از اعمال این تنظیمات، از یک دستگاه با IP 192.168.1.10 تلاش کنید به سرور متصل شوید. برای این کار از دستور ssh استفاده کنید:

ssh user@your-server-ip

در صورتی که تنظیمات به درستی اعمال شده باشند، دستگاه با IP 192.168.1.10 باید بتواند به سرور SSH متصل شود.

4. آزمایش دسترسی از IP مسدود شده

برای اطمینان از اینکه تنها دستگاه‌هایی که در لیست مجاز هستند به سرور متصل می‌شوند، از دستگاه دیگری که IP آن در لیست مسدود شده است (مثلاً دستگاه با IP 192.168.1.20) استفاده کنید و تلاش کنید تا به سرور SSH متصل شوید.

ssh user@your-server-ip

اگر دسترسی مسدود شده باشد، پیغام خطای مشابه زیر نمایش داده خواهد شد:

Connection refused.

5. بررسی لاگ‌ها برای تأیید دسترسی

برای اطمینان بیشتر از اینکه TCP Wrappers به درستی کار می‌کند، می‌توانید از لاگ‌های سیستم استفاده کنید. این لاگ‌ها تمام تلاش‌ها برای دسترسی به سرویس‌ها را ثبت می‌کنند.

برای مشاهده لاگ‌ها از دستور زیر استفاده کنید:

sudo tail -f /var/log/syslog

در این لاگ‌ها، تلاش‌های ناموفق برای اتصال به سرویس‌ها نشان داده می‌شود. این به شما کمک می‌کند تا مطمئن شوید که قوانین TCP Wrappers به درستی اعمال شده‌اند.

جمع‌بندی

در این بخش، نحوه اضافه کردن یک قانون اولیه برای تست دسترسی به TCP Wrappers با استفاده از فایل‌های hosts.allow و hosts.deny توضیح داده شد. این تنظیمات به شما این امکان را می‌دهند که دسترسی به سرویس‌ها را از طریق آدرس‌های IP خاص مدیریت کنید. پس از اعمال این قوانین، تست‌های دسترسی از دستگاه‌های مجاز و مسدود شده انجام شد و نتایج آن‌ها با استفاده از لاگ‌ها تأیید شد.

1. تست دسترسی با ابزار Telnet

ابزار telnet به شما امکان می‌دهد تا به صورت دستی به سرویس‌های مختلف (مانند SSH، HTTP و غیره) متصل شوید و اتصال را بررسی کنید. برای تست دسترسی به یک سرویس خاص، از دستور telnet استفاده می‌کنیم.

تست اتصال به سرویس SSH از یک IP مجاز:

اگر در فایل hosts.allow اجازه دسترسی به سرویس sshd را برای یک IP خاص داده‌اید (مثلاً 192.168.1.10)، می‌توانید با استفاده از telnet اتصال به سرور را بررسی کنید:

telnet your-server-ip 22

• در صورتی که دسترسی مجاز باشد، اتصال برقرار می‌شود.
• در صورتی که دسترسی مسدود شده باشد، خطای “Connection refused” نمایش داده می‌شود.

تست اتصال به سرویس SSH از یک IP مسدود شده:

اگر دسترسی از IP‌های دیگر در فایل hosts.deny مسدود شده باشد، با استفاده از telnet از یک دستگاه با IP مسدود شده تلاش کنید تا به سرویس SSH متصل شوید:

telnet your-server-ip 22

• در این حالت، اتصال برقرار نمی‌شود و پیغام خطای “Connection refused” یا مشابه آن نشان داده می‌شود.

2. تست دسترسی با ابزار Netcat (nc)

ابزار nc (Netcat) یک ابزار قدرتمند است که برای بررسی دسترسی به پورت‌های مختلف در سیستم‌های راه دور استفاده می‌شود. این ابزار مشابه telnet است، اما امکانات بیشتری را برای تست پورت‌ها فراهم می‌کند.

تست اتصال به سرویس SSH با استفاده از nc:

برای تست اتصال به سرویس SSH از طریق nc، از دستور زیر استفاده کنید:

nc -zv your-server-ip 22

در این دستور:

• -z: برای اسکن پورت‌ها بدون ارسال داده.
• -v: برای نمایش جزئیات اتصال.

اگر اتصال برقرار باشد، پیامی مشابه زیر نمایش داده می‌شود:

Connection to your-server-ip 22 port [tcp/ssh] succeeded!

اگر اتصال مسدود شده باشد، پیامی مشابه زیر خواهید دید:

nc: connect to your-server-ip port 22 (tcp) failed: Connection refused

3. تست دسترسی با ابزار SSH

ابزار ssh برای اتصال به سرویس‌های SSH استفاده می‌شود. برای تست اتصال از یک IP مجاز و مسدود شده به سرویس SSH، از دستور زیر استفاده می‌کنیم.

تست اتصال به سرویس SSH از یک IP مجاز:

اگر IP شما در فایل hosts.allow مجاز باشد، می‌توانید از طریق دستور ssh به سرویس SSH متصل شوید:

ssh user@your-server-ip

در صورتی که دسترسی مجاز باشد، باید قادر باشید وارد سیستم شوید.

تست اتصال به سرویس SSH از یک IP مسدود شده:

اگر IP شما در فایل hosts.deny مسدود شده باشد، دستور زیر را وارد کنید:

ssh user@your-server-ip

در این حالت، باید پیغام خطای مشابه زیر را دریافت کنید:

ssh: connect to host your-server-ip port 22: Connection refused

4. بررسی لاگ‌ها برای تأیید نتایج

پس از انجام تست‌ها، برای تأیید اینکه محدودسازی‌ها به درستی اعمال شده‌اند، می‌توانید لاگ‌ها را بررسی کنید. تمام تلاش‌های اتصال به سرویس‌ها در فایل‌های لاگ ذخیره می‌شوند.

برای مشاهده لاگ‌ها از دستور زیر استفاده کنید:

sudo tail -f /var/log/auth.log

در این لاگ‌ها، می‌توانید تلاش‌های موفق و ناموفق برای اتصال به سرویس‌ها را مشاهده کنید و اطمینان حاصل کنید که محدودیت‌ها به درستی اعمال شده‌اند.

جمع‌بندی

در این بخش، نحوه تست محدودسازی دسترسی به سرویس‌ها با استفاده از ابزارهای telnet, nc (Netcat) و ssh توضیح داده شد. این ابزارها به شما کمک می‌کنند تا بررسی کنید که آیا محدودیت‌های اعمال‌شده در فایل‌های hosts.allow و hosts.deny به درستی کار می‌کنند یا خیر. پس از انجام تست‌ها، بررسی لاگ‌ها نیز به شما اطمینان می‌دهد که محدودیت‌ها به درستی اعمال شده‌اند.

1. نصب tcpdchk

اگر ابزار tcpdchk بر روی سیستم شما نصب نیست، ابتدا باید آن را نصب کنید. بسته tcpd شامل ابزار tcpdchk می‌باشد که معمولاً همراه با TCP Wrappers نصب می‌شود.

در توزیع‌های Debian/Ubuntu:

sudo apt install tcpd

در توزیع‌های CentOS/RHEL:

sudo dnf install tcp_wrappers

در توزیع‌های Arch Linux:

sudo pacman -S tcp_wrappers

2. استفاده از tcpdchk برای بررسی تنظیمات

پس از نصب، می‌توانید از tcpdchk برای بررسی فایل‌های پیکربندی hosts.allow و hosts.deny استفاده کنید. این ابزار تنظیمات موجود در این فایل‌ها را بررسی کرده و خطاها یا هشدارهای احتمالی را گزارش می‌دهد.

برای بررسی فایل‌های hosts.allow و hosts.deny، دستور زیر را وارد کنید:

sudo tcpdchk

این دستور به‌طور پیش‌فرض فایل‌های /etc/hosts.allow و /etc/hosts.deny را بررسی می‌کند و هر گونه خطا یا تنظیمات نامناسب را نشان می‌دهد.

3. محتوای گزارش tcpdchk

اگر پیکربندی صحیح باشد، خروجی مشابه زیر خواهد بود:

/etc/hosts.allow: Syntax OK
/etc/hosts.deny: Syntax OK

اگر خطایی در پیکربندی وجود داشته باشد، tcpdchk خطا یا هشدار مربوطه را گزارش خواهد کرد. به‌عنوان مثال:

/etc/hosts.allow: line 3: incorrect format
/etc/hosts.deny: line 5: duplicate entry

در این حالت، شما می‌توانید با مراجعه به خطوط مربوطه در فایل‌های hosts.allow و hosts.deny، خطاها را اصلاح کنید.

4. بررسی دسترسی به سرویس‌ها با استفاده از tcpdchk

ابزار tcpdchk تنها به بررسی صحت پیکربندی‌ها محدود نمی‌شود، بلکه به شما کمک می‌کند تا دسترسی به سرویس‌ها را نیز بررسی کنید. این ابزار بررسی می‌کند که آیا قواعد امنیتی تنظیم‌شده در فایل‌های hosts.allow و hosts.deny به درستی اعمال شده‌اند یا خیر.

برای مثال، اگر تنظیمات شما به گونه‌ای باشد که فقط از یک آدرس IP خاص به سرویس SSH دسترسی داده شده باشد، با اجرای tcpdchk می‌توانید بررسی کنید که آیا تنظیمات به درستی اعمال شده‌اند یا خیر. این ابزار از طریق بررسی قوانین موجود در این فایل‌ها، اطمینان می‌دهد که قوانین دسترسی به درستی کار می‌کنند.

5. استفاده از tcpdchk برای بررسی پیکربندی‌های سرویس‌های خاص

اگر فقط به بررسی پیکربندی یک سرویس خاص نیاز دارید (برای مثال، sshd)، می‌توانید از دستور زیر استفاده کنید:

sudo tcpdchk /etc/hosts.allow

این دستور به‌طور ویژه فایل hosts.allow را بررسی می‌کند و گزارش‌هایی را در مورد مشکلات احتمالی مربوط به این فایل ارائه می‌دهد.

جمع‌بندی

در این بخش، نحوه استفاده از ابزار tcpdchk برای بررسی تنظیمات و خطاهای احتمالی در فایل‌های hosts.allow و hosts.deny توضیح داده شد. ابزار tcpdchk می‌تواند به شناسایی خطاهای نحوی و منطقی در پیکربندی‌های TCP Wrappers کمک کند و از بروز مشکلات امنیتی جلوگیری نماید. این ابزار به شما اطمینان می‌دهد که تنظیمات دسترسی به سرویس‌ها به درستی اعمال شده‌اند و هیچ خطایی در فایل‌های پیکربندی وجود ندارد.

1. نصب tcpdmatch

اگر ابزار tcpdmatch بر روی سیستم شما نصب نیست، می‌توانید آن را از بسته‌ی tcpd نصب کنید که معمولاً به همراه TCP Wrappers نصب می‌شود.

در توزیع‌های Debian/Ubuntu:

sudo apt install tcpd

در توزیع‌های CentOS/RHEL:

sudo dnf install tcp_wrappers

در توزیع‌های Arch Linux:

sudo pacman -S tcp_wrappers

2. نحوه استفاده از tcpdmatch

پس از نصب ابزار، می‌توانید از tcpdmatch برای آزمایش یک درخواست خاص استفاده کنید. دستور کلی به‌صورت زیر است:

sudo tcpdmatch <سرویس> <آدرس IP> <پورت>

در این دستور:

• <سرویس>: نام سرویسی است که می‌خواهید دسترسی آن را آزمایش کنید (برای مثال sshd).
• <آدرس IP>: آدرس IP یا دامنه‌ای است که می‌خواهید آزمایش کنید.
• <پورت>: پورت مربوط به سرویس است (اگر سرویس از پورت پیش‌فرض استفاده می‌کند، نیازی به مشخص کردن پورت نیست).

3. مثال‌های استفاده از tcpdmatch

• آزمایش دسترسی به سرویس SSH از یک آدرس IP خاص:

  فرض کنید می‌خواهید دسترسی به سرویس SSH را از آدرس IP 192.168.1.100 آزمایش کنید. برای این کار از دستور زیر استفاده کنید:

  sudo tcpdmatch sshd 192.168.1.100
  

  این دستور بررسی می‌کند که آیا آدرس IP 192.168.1.100 مطابق با قواعد موجود در فایل‌های hosts.allow و hosts.deny مجاز به دسترسی به سرویس sshd است یا خیر.

• آزمایش دسترسی به سرویس Telnet از آدرس IP خاص:

  در اینجا، فرض می‌کنیم که می‌خواهید دسترسی به سرویس Telnet از آدرس IP 203.0.113.50 را بررسی کنید:

  sudo tcpdmatch telnet 203.0.113.50
  

  این دستور بررسی می‌کند که آیا دسترسی به سرویس Telnet برای آدرس IP 203.0.113.50 مجاز است یا خیر.

• آزمایش دسترسی به سرویس FTP از آدرس IP خاص:

  برای تست دسترسی به سرویس FTP از آدرس IP 10.1.2.3:

  sudo tcpdmatch vsftpd 10.1.2.3
  

4. خروجی دستور tcpdmatch

خروجی این دستور به شما می‌گوید که آیا دسترسی به سرویس مجاز است یا نه. اگر دسترسی مجاز باشد، خروجی مشابه زیر خواهد بود:

Matched by /etc/hosts.allow: sshd: 192.168.1.100
Access granted

اگر دسترسی رد شده باشد (به دلیل وجود یک قاعده در hosts.deny یا عدم وجود قاعده در hosts.allow)، خروجی به شکل زیر خواهد بود:

No match for sshd: 192.168.1.100
Access denied

5. مورد استفاده tcpdmatch

ابزار tcpdmatch در موارد زیر بسیار مفید است:

• تست قواعد جدید: پس از افزودن یا ویرایش یک قاعده در فایل‌های hosts.allow و hosts.deny، می‌توانید از tcpdmatch استفاده کنید تا بررسی کنید که آیا قاعده جدید به درستی اعمال شده است یا خیر.
• آزمایش دسترسی: می‌توانید به‌راحتی بررسی کنید که آیا یک آدرس IP خاص قادر به دسترسی به یک سرویس است یا خیر.
• حل مشکلات دسترسی: در صورتی که مشکل دسترسی به سرویس‌ها وجود داشته باشد، می‌توانید با استفاده از tcpdmatch به راحتی علل مشکلات را شناسایی کرده و پیکربندی را اصلاح کنید.

جمع‌بندی

در این بخش، نحوه استفاده از ابزار tcpdmatch برای تست قواعد دسترسی موجود در فایل‌های hosts.allow و hosts.deny توضیح داده شد. این ابزار به شما کمک می‌کند تا بررسی کنید که آیا درخواست‌های خاص از آدرس‌های IP مختلف به سرویس‌های مشخص شده مجاز هستند یا خیر. با استفاده از این ابزار می‌توانید مطمئن شوید که قوانین امنیتی شما به درستی پیکربندی شده و دسترسی‌ها به درستی مدیریت می‌شوند.

1. فعال‌سازی لاگ‌گیری در TCP Wrappers

در بسیاری از سیستم‌ها، پیکربندی TCP Wrappers به گونه‌ای است که خودکار لاگ‌های دسترسی به سرویس‌ها را ثبت می‌کند. برای ثبت این اطلاعات، معمولا از فایل‌های لاگ پیش‌فرض سیستم مانند syslog یا messages استفاده می‌شود. برای این کار، باید اطمینان حاصل کنید که تنظیمات صحیحی برای لاگ‌گیری در سیستم پیکربندی شده است.

توزیع‌های مختلف لینوکس به طور معمول از syslog برای مدیریت لاگ‌ها استفاده می‌کنند. برای اطمینان از ثبت صحیح لاگ‌ها، تنظیمات مربوطه باید در فایل‌های پیکربندی syslog یا rsyslog انجام شود.

2. پیکربندی لاگ در syslog

برای پیکربندی ثبت لاگ‌ها در سیستم‌های مختلف، باید اطمینان حاصل کنید که سرویس‌ها و ابزارهای مربوط به TCP Wrappers مانند tcpd و sshd به درستی به syslog ارسال می‌کنند. در اینجا نحوه پیکربندی syslog یا rsyslog برای ثبت لاگ‌های TCP Wrappers آورده شده است.

الف) پیکربندی syslog برای ثبت لاگ‌های TCP Wrappers

1. فایل /etc/rsyslog.conf یا /etc/syslog.conf را ویرایش کنید. در اینجا از /etc/rsyslog.conf استفاده می‌کنیم.

   sudo nano /etc/rsyslog.conf
   

2. بررسی کنید که خط زیر در فایل موجود باشد تا لاگ‌ها به درستی ثبت شوند:

   local6.*                         /var/log/hosts.log
   

   این خط باعث می‌شود که تمامی لاگ‌های مربوط به TCP Wrappers (که معمولاً در سطح local6 ثبت می‌شوند) به فایل /var/log/hosts.log ارسال شوند.

3. اگر خط مورد نظر وجود ندارد، آن را به فایل اضافه کنید و سپس سرویس rsyslog را ریستارت کنید:

   sudo systemctl restart rsyslog
   

ب) بررسی پیکربندی در سیستم‌های دیگر (مانند syslog)

اگر از سیستم‌هایی غیر از rsyslog استفاده می‌کنید، باید به نحوه پیکربندی سیستم لاگ‌گیری مربوطه توجه کنید و مطمئن شوید که لاگ‌های مربوط به TCP Wrappers به درستی ذخیره می‌شوند.

3. آزمایش و مشاهده لاگ‌ها

پس از پیکربندی، باید بتوانید لاگ‌های مربوط به TCP Wrappers را مشاهده کنید. برای این کار، می‌توانید از دستور tail برای مشاهده لاگ‌ها استفاده کنید:

sudo tail -f /var/log/hosts.log

این دستور آخرین لاگ‌های مربوط به TCP Wrappers را به صورت زنده نمایش می‌دهد.

4. نمونه لاگ‌های مربوط به TCP Wrappers

وقتی یک درخواست دسترسی از طریق TCP Wrappers بررسی می‌شود، معمولاً یک لاگ مشابه زیر در فایل /var/log/hosts.log ثبت می‌شود:

sshd[12345]: connect from 192.168.1.100
sshd[12345]: allowed from 192.168.1.100

• در مثال بالا، درخواست اتصال از آدرس IP 192.168.1.100 به سرویس sshd (SSH) وارد شده است و از آنجا که دسترسی به آن مجاز است، لاگ allowed نمایش داده می‌شود.

اگر دسترسی به سرویس مورد نظر رد شود، لاگ به شکل زیر خواهد بود:

sshd[12345]: connect from 192.168.1.100
sshd[12345]: denied from 192.168.1.100

5. بررسی تاثیر دستورات hosts.allow و hosts.deny در لاگ‌ها

زمانی که شما قوانین hosts.allow و hosts.deny را تنظیم می‌کنید، تأثیر آنها به وضوح در لاگ‌ها قابل مشاهده است. وقتی یک آدرس IP مجاز به دسترسی به یک سرویس می‌شود، یک ورودی مشابه به شکل زیر در لاگ‌ها ظاهر می‌شود:

sshd[12345]: connect from 192.168.1.100
sshd[12345]: allowed from 192.168.1.100

و اگر دسترسی رد شود، مانند:

sshd[12345]: connect from 192.168.1.100
sshd[12345]: denied from 192.168.1.100

6. بررسی خطاهای احتمالی در تنظیمات TCP Wrappers

در صورتی که در تنظیمات فایل‌های hosts.allow و hosts.deny خطاهایی وجود داشته باشد، ممکن است این خطاها در لاگ‌های سیستم ثبت شوند. برای بررسی این خطاها، می‌توانید از دستور زیر برای مشاهده لاگ‌های syslog استفاده کنید:

sudo tail -f /var/log/syslog

در صورت وجود خطاهای پیکربندی، خطاهایی مشابه زیر در لاگ‌ها ظاهر خواهند شد:

tcpd[12345]: invalid rule in /etc/hosts.allow

جمع‌بندی

در این بخش، نحوه پیکربندی و مانیتورینگ لاگ‌های مربوط به دسترسی‌ها از طریق TCP Wrappers و تأثیر آن‌ها در syslog شرح داده شد. با استفاده از ابزارهایی مانند rsyslog و فایل‌های لاگ، می‌توانید به‌راحتی دسترسی‌ها را رصد کرده و از تأثیر قوانین پیکربندی شده در فایل‌های hosts.allow و hosts.deny آگاه شوید. مانیتورینگ دقیق لاگ‌ها و تحلیل آن‌ها به شما کمک می‌کند تا اطمینان حاصل کنید که امنیت شبکه شما به‌درستی تأمین شده است.