TCP Wrappers概述

“包袱”保护原理

保护机制的实现方式

• 方式1：通过tcpd主程序对其他服务程序进行包装

• 方式2：由其他服务程序调用libwrap.so.*链接库

访问控制策略的配置文件

• /etc/hosts.allow

• /etc/hosts.deny

设置访问控制策略

• 策略格式：服务列表:客户机地址列表

服务列表 ——

• 多个服务以逗号分隔，ALL 表示所有服务

客户机地址列表

• 多个地址以逗号分隔，ALL表示所有地址

• 允许使用通配符 ? 和 *

• 网段地址，如 192.168.4. 或者 192.168.4.0/255.255.255.0

• 区域地址，如 .steven.com

策略的应用顺序

• 先检查hosts.allow，找到匹配则允许访问

• 否则再检查hosts.deny，找到则拒绝访问

• 若两个文件中均无匹配策略，则默认允许访问

策略应用示例

仅允许从以下地址访问sshd服务

• 主机61.63.65.67

• 网段192.168.2.0/24

禁止其他所有地址访问受保护的服务

[root@steven ~]# vi /etc/hosts.allow
sshd:61.63.65.67,192.168.2.*
[root@steven ~]# vi /etc/hosts.deny
sshd:ALL