1.TCP Wrappers 简介
TCP_ Wrappers是- 一个工作在第四层(传输层)的的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访
问控制,界定方式是凡是调用libwrap. so库文件的的程序就可以受TCP_ Wrappers的安全控制。它的主要功能就是控制
谁可以访问,常见的程序有rpcbindl vsftpd、sshd, telnet。
判断方式:。 1. 查看对应服务命令所在位置。 which sshd 。 2.查看指定 命令执行时是否调用libwrap. so文件。 ldd /usr/ sbin/ sshd grep libwrap. so。
2 TCP Wrappers工作原理。
以ssh为例,每当有ssh的连接请求时,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,
拒绝提供ssh服务。。
1.优先查看hosts. allow,匹配即停止。
2.允许个别,拒绝所有: hosts. allow文件添加允许的策略,hosts. deny文件添加all.
3.拒绝个别,允许所有:hosts.allow文件为空,hosts.deny文件添加单个拒绝的策略。
3 TCP Wrappers的使用。
TCP_ Wrappers的使用 主要是依靠两个配置文件/etc/hosts. allow, /etc/hosts. deny,以此实现访问控制,
默认情况下,/etc/hosts. allow, /etc/hosts. deny什么都没有添加,此时没有限制。
配置文件编写规则:。
service_ listghost: client_ list。
service_ list:是程序(服务)的列表,可以是多个,多个时,使用,隔开。
@host:设置允许或禁止他人从自己的哪个网口进入。这-项不写,就代表全部。
client_ list: 是访问者的地址,如果需要控制的用户较多,可以使用空格或,隔开。
格式如下:。
基于IP地址: 192. 168. 88.1 192. 168. 88.。
基于主机名: www. atguigu. com . atguigu. com较少用。
基于网络/掩码:
192.168. 0.0/255.255.255. 0。
▲拒绝单个IP使用sshI远程连接:。 配置文件:。 hosts. allow:空着。 hosts. deny: sshd:192. 168. 88. 20。 ■拒绝某- -网段使用ssh远程连接:。 hosts. allow:空着。 hosts. deny: sshd: 192.168. 88.。 ■仅允许某一IP使用ssh远程连接:。 hosts. allow: sshd: 192.168. 88. 20 hosts. deny: sshd: ALL