Pembungkus TCP mampu lebih dari mengizinkan dan menolak akses ke layanan. Dengan argumen perintah opsional, mereka dapat mengirim spanduk koneksi, memperingatkan serangan dari host tertentu, dan meningkatkan pencatatan.
Spanduk pembungkus TCP untuk layanan
Untuk menerapkan spanduk pembungkus TCP untuk suatu layanan, gunakan opsi spanduk. Contoh ini mengimplementasikan spanduk untuk vsftpd. Anda perlu membuat file banner di mana saja di sistem, memberinya nama yang sama dengan daemon. Dalam contoh ini, file tersebut disebut /etc/banners/vsftpd dan berisi baris berikut:
220-Hello, %c 220-All activity on ftp.example.com is logged. 220-Inappropriate use results in access privileges being removed.
%c token memasok berbagai informasi klien. Token %d (tidak ditampilkan) diperluas ke nama daemon yang coba dihubungkan oleh klien. Agar spanduk ini ditampilkan ke koneksi masuk, tambahkan baris berikut ke file /etc/hosts.allow:
# vi /etc/hosts.allow vsftpd : ALL : banners /etc/banners/
Pembungkus TCP untuk memperingatkan dari potensi serangan
Pembungkus TCP dapat memperingatkan Anda tentang potensi serangan dari host atau jaringan dengan menggunakan arahan spawn. Arahan spawn mengeksekusi perintah shell apa pun. Dalam contoh ini, akses sedang dicoba dari jaringan 200.182.68.0/24. Tempatkan baris berikut di file /etc/hosts.deny untuk menolak setiap upaya koneksi dari jaringan itu, dan untuk mencatat upaya tersebut ke file khusus:
# vi /etc/hosts.deny ALL : 200.182.68.0 : spawn /bin/echo `date` %c %d >> /var/log/intruder_alert
Untuk mengizinkan koneksi dan mencatatnya, tempatkan perintah spawn di file /etc/hosts.allow.
Tolak akses dan upayakan koneksi log
Entri berikut di /etc/hosts.deny menolak semua akses klien ke semua layanan (kecuali diizinkan secara khusus di /etc/hosts.allow) dan mencatat upaya koneksi:
# vi /etc/hosts.deny ALL : ALL : spawn /bin/echo “%c tried to connect to %d and was blocked” >> /var/log/tcpwrappers.log
Level log dapat ditingkatkan dengan menggunakan opsi keparahan. Asumsikan bahwa siapa pun yang mencoba ssh ke server FTP adalah penyusup. Untuk menunjukkan hal ini, tempatkan flag emerg di file log alih-alih flag default, info, dan tolak koneksi. Untuk melakukannya, tempatkan baris berikut di /etc/hosts.deny:
# vi /etc/hosts.deny sshd : ALL : severity emerg
Ini menggunakan fasilitas logging authpriv default, tetapi meningkatkan prioritas dari nilai default info menjadi emerg, yang memposting pesan log langsung ke konsol.
Tolak akses dari domain tertentu
Contoh berikut menyatakan bahwa jika koneksi ke daemon SSH (sshd) dicoba dari host di domain example.com, jalankan perintah echo untuk menambahkan upaya ke file log khusus, dan tolak koneksi. Karena direktif penolakan opsional digunakan, baris ini menolak akses meskipun muncul di file /etc/hosts.allow:
# vi /etc/hosts.allow sshd : .example.com \ : spawn /bin/echo `/bin/date` access denied >> /var/log/sshd.log \ : deny
Setiap bidang opsi (spawn dan deny) didahului oleh garis miring terbalik (\) untuk mencegah kegagalan aturan karena panjangnya.
Memahami Pembungkus TCP (/etc/hosts.allow &/etc/hosts.deny) di Linux