wrappers访问控制与Linux的YUM仓库

Posted 2021-12-03 谷雨道长

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了wrappers访问控制与Linux的YUM仓库相关的知识，希望对你有一定的参考价值。

@[toc]

1.TCP Wrappers访问控制

1.TCP Wrappers概述

TCP Wrappers ( TCP封套)

将TCP服务程序“包裹"起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。大多数Linux发行版，TCP Wrappers 是默认提供的功能。

rpm -q tcp_wrappers

TCP Wrappers保护机制的两种实现方式

1.直接使用tcpd程序对其他服务程序进行保护，需要运行tcpd程序。

2.由其他网络服务程序调用libwrap.o. *链接库，不需要运行tcpd 程序。此方式的应用更加广泛，也更有效率。

使用ldd命令可以查看程序的libwrap.so.*链接库
ldd $ (which ssh)

2.TCP Wrappers访问策略

TCPwrappers机制的保护对象为各种网络服务程序，针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts .deny，分别用来设置允许和拒绝的策略。

格式:
<服务程序列表>:<客户端地址列表>

服务程序列表
ALL:代表所有的服务。
单个服务程序:如"sshd"。
多个服务程序组成的列表:如“vsftpd, sshd"。

客户端地址列
ALL:代表任何客户端地址。
LOCAL:代表本机地址。
多个地址以逗号分隔
允许使用通配符“*” 和“?”，前者代表任意长度字符，后者仅代表一个字符
网段地址，如“192. 168.80.“或者192. 168.80.0/255.255.255.0
区域地址，如”.benet. com”匹配benet.com域中的所有主机。

3.TCP wrappers 机制的基本原则

首先检查/etc/hosts.allow文件，如果找到相匹配的策略，则允许访问;
否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问;
如果检查.上述两个文件都找不到相匹配的策略，则允许访问。

“允许所有，拒绝个别”
只需在/etc/hosts. deny文件中添加相应的拒绝策略

“允许个别，拒绝所有"
除了在/etc/hosts.allow中添加允许策略之外，还需要在/etc/hosts . deny文件中设置"ALL:ALL"的拒绝策略。

总结
TCP wrappers 设置白名单在/etc/hosts.deny 服务：ALL 在/etc/hosts.allow添加白名单

TCP wrappers 设置黑名单在/etc/hosts.deny 服务：对应黑名单

实例:

若只希望从IP地址为192.168.19.11的主机或者位于192.168.19.0/24网段的主机访问sshd服务，其他地址被拒绝

1.YUM概述

YUM (Yellow dog Updater Modified)
• 基于RPM包构建的软件更新机制
• 可以自动解决依赖关系
• 所有软件包由集中的YUM软件仓库提供

1.准备安装源

① 软件仓库的提供方式
• FTP服务: ftp://r…
• HTTP服务: http://…
• 本地目录: file://…

2.RPM软件包的来源

• CentOS发布的RPM包集合
• 第三方组织发布的RPM包集合
• 用户自定义的RPM包集合

3.构建FTP yum仓库

3.配置阿里云yum仓库

4.设置yum仓库优先级

首先进入repo.bak目录把之前放进repo.bak的本地local移动出来。
mv local.repo /etc/yum.repos.d/

验证安装包的数量
执行yum repolist all 可显示所有仓库包

5.yum 命令仅下载安装包

方式一：
yum install --downloadonly mariadb
#下载下来的安装包都是放在 /var/cache/yum/x86_64/7/ 目录下

方式二：
yumdownloader --destdir=/opt mariadb mariadb-server
#yumdownloader 仅下载指定软件包，参数 --destdir 是用来指定存放下载的安装包的目录（无法下载依赖包）