几个在Linux下的后门和日志工具(2)

　　（2）Tcp_wrapper
　　Tcp_wrapper是Wietse Venema开发的一个免费软件。Tcp_wrapper的诞生有个小小的故事，大约1990年，作者所在大学的服务器屡屡受到一个外来黑客侵入，因为受害主机的硬盘数据屡次被rm -rf/命令整个抹掉，所以找寻线索极为困难，直到有一天晚上作者在工作的过程中无意中发现这个黑客在不断的finger 受害主机、偷窥受害者的工作。于是，一个想法诞生了：设计一个软件，使它可以截获发起finger请求的IP，用户名等资料。Venema很快投入了工作，而Tcp_wrapper也由此诞生！此后，Tcp_wrapper随着广泛的应用逐渐成为一种标准的安全工具。通过它，管理员实现了对inetd提供的各种服务进行监控和过滤。
　　Tcp_wrapper编译安装成功后，会生成一个tcpd程序，它可以在inetd.conf这个控制文件中取代in.telnetd的位置，这样，每当有telnet的连接请求时，tcpd即会截获请求，先读取管理员所设置的访问控制文件，合乎要求，则会把这次连接原封不动的转给真正的in.telnetd程序，由in.telnetd完成后续工作。如果这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求，拒绝提供telnet服务。Tcp_wrapper访问控制的实现是依靠两个文件:hosts.allow，hosts.deny来实现的。如果我们编辑/etc/syslog.conf文件时，加入了日志纪录功能，即：
　　#tcp wrapper log
　　local3.info /var/log/tcplog
　　编辑结束后，保存文件，在/var/log下会生成tcplog文件，注意这个文件的读写属性， 应该只对root有读写权限。然后ps -ef | grep syslogd，找出syslogd的进程号，kill -HUP 重启syslogd进程使改动生效。 在这里，我们可以预先看一看以后生成的tcplog文件内容，如下：
　　Jul 31 22:00:52 in.telnetd[4365]: connect from 10.68.32.1
　　Jul 31 22:02:10 in.telnetd[4389]: connect from 10.68.32.5
　　Jul 31 22:04:58 in.ftpd[4429]: connect from 10.68.32.3
　　Aug 2 02:11:07 in.rshd[13660]: connect from 10.68.32.5
　　Aug 2 02:11:07 in.rlogind[13659]: connect from 10.68.32.1
　　从上面我们可以看到，在安装了Tcp_wrapper的主机上，系统的每一次连接，Tcp_wrapper都做了纪录，它的内容包括时间、服务、状态、ip等，对攻击这有很大的参考价值，不过，一定要记得清除日志了。