一、sudo

資興ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18980820575（備注：SSL證書合作）期待與您的合作！

   一） sudo能做什么？
    1、限制指定用戶在指定主機(jī)主機(jī)上運(yùn)行指定的管理命令；
    2、詳細(xì)記錄用戶基于sudo執(zhí)行的命令的相關(guān)日志信息；
    3、“檢票系統(tǒng)”：用戶第一次執(zhí)行sudo會要求輸入密碼，用戶會獲得一個有固定存活時長的“入場券”；默認(rèn)為5分鐘；

   通過編輯方式實現(xiàn)以上功能：

    /etc/sudoers: 只能由管理編輯以實現(xiàn)授權(quán)；

    專用編輯命令：visudo

    /etc/sudoers:

   授權(quán)格式：

    who  whichhost  dosomething

   who可為：用戶，組，Alias也就是別名

   host可為：ip地址，主機(jī)名，host_alias

   dosomething 可為： 可執(zhí)行命令（絕對路徑），CMD_ALIAS

  二）sudo命令：
    -l: 查看當(dāng)前用戶可執(zhí)行的sudo命令
    -u 用戶名  命令：以指定用戶的身份運(yùn)行后面的“命令”；
    -k: 清除“入場券”；
    -b 命令：在后臺運(yùn)行指定的命令
    -p 提示語：可以更改詢問密碼的提示語，其可用%u變量來替換為用戶名，%h替換為主機(jī)名；
    -e 文件路徑：不是執(zhí)行命令，而修改指定的文件

  三）練習(xí)

   1、授權(quán)centos用戶可以運(yùn)行fdisk命令完成磁盤管理，以及使用mkfs或mke2fs實現(xiàn)文件系統(tǒng)管理?

   centos  ALL=(ALL)    /sbin/mke2fs,/sbin/fdisk,/sbin/mkfs,/sbin/partx

2、授權(quán)gentoo用戶可以運(yùn)行邏輯卷管理的相關(guān)命令

gentoo  ALL=(ALL)   /bin/mount,/bin/umount,/sbin/pvcreate,/sbin/pvdisplay,/sbin/vgcreate,/sbin/vgdisplay,/sbin/lvcreate,/sbin/lvdisplay,/bin/df

二、tcp_wrapper

   一)TCP＿Wrapper軟件包是一種基于TCP/IP協(xié)議之上的、運(yùn)行于UNIX/Linux系統(tǒng)、基于訪問控制技術(shù)的一種網(wǎng)絡(luò)防火墻軟件。

   判斷服務(wù)是否能夠由tcp_wrapper控制：
        1、動態(tài)編譯：ldd命令來檢測其所依賴庫是否有l(wèi)ibwrap
            libwrap.so.0 => /lib64/libwrap.so.0
        2、靜態(tài)編譯：strings /path/to/program
            其顯示結(jié)果中，如果有類似如下內(nèi)容：
                hosts.allow
                hosts.deny

        3、tcp_wrapper通過讀取配置文件中的規(guī)則來判定某服務(wù)是否可被訪問：
        /etc/hosts.allow
        /etc/hosts.deny

        文件中的規(guī)則是即時生效的；

       4、

       5、配置文件的語法:
        daemon_list: client_list [:options]

        daemon_list可為：

            應(yīng)用程序程序名稱
            應(yīng)用程序程序名稱列表：使用逗號分隔
                例如sshd, in.telnetd
            ALL：所有受控進(jìn)程

        client_list可為：

           IP地址
            主機(jī)名
            網(wǎng)絡(luò)地址：必須使用完整格式掩碼，不能使用長度掩碼，172.16.0.0/16不合用；
            簡短的網(wǎng)絡(luò)地址：172.16. 表示為 172.16.0.0/255.255.0.0

            ALL: 所有客戶端地址；
            KNOWN: 知道的ip地址
            UNKNOWN：不知道的ip地址
            PARANOID：主機(jī)名和IP地址的各自的正反解析結(jié)果不匹配；

         特殊的變量：
                EXCEPT：除了

        [:options]可為：
            deny: 通常用于在hosts.allow文件實現(xiàn)拒絕的規(guī)則；
            allow: 通常用于在hosts.deny文件實現(xiàn)允許的規(guī)則；
            spawn: 啟動一個額外命令

   二）練習(xí)

      控制vsftpd僅允許172.16.0.0/255.255.0.0網(wǎng)絡(luò)中的主機(jī)訪問，但172.16.100.3除外；對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日志文件中；

      答：1）vim /etc/host.allow

    vsftpd: 192.168.3.20-192.168.3.120 EXCEPT 192.168.3.52

vsftpd: 192.168.3.0/255.255.255.0  EXCEPT 192.168.3.50,192.168.3.103

          2）vsftpd: ALL : spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log