“包袱”保护原理

TCP Wrappers概述_第1张图片


保护机制的实现方式

  • 方式1:通过tcpd主程序对其他服务程序进行包装

  • 方式2:由其他服务程序调用libwrap.so.*链接库

访问控制策略的配置文件

  • /etc/hosts.allow

  • /etc/hosts.deny


设置访问控制策略

  • 策略格式:服务列表:客户机地址列表

服务列表 ——

  • 多个服务以逗号分隔,ALL 表示所有服务

客户机地址列表

  • 多个地址以逗号分隔,ALL表示所有地址

  • 允许使用通配符 ? 和 *

  • 网段地址,如 192.168.4. 或者 192.168.4.0/255.255.255.0

  • 区域地址,如 .steven.com


策略的应用顺序

  • 先检查hosts.allow,找到匹配则允许访问

  • 否则再检查hosts.deny,找到则拒绝访问

  • 若两个文件中均无匹配策略,则默认允许访问


策略应用示例

仅允许从以下地址访问sshd服务

  • 主机61.63.65.67

  • 网段192.168.2.0/24

禁止其他所有地址访问受保护的服务


[root@steven ~]# vi /etc/hosts.allow
sshd:61.63.65.67,192.168.2.*
[root@steven ~]# vi /etc/hosts.deny
sshd:ALL