tcp_wrapper：tcp包装器

tcp_wrapper：tcp包装器

对基于tcp协议开发并提供服务的应用程序，提供的一层访问控制工具；
基于库调用实现其功能：
    libwrap

判断服务是否能够由tcp_wrapper进行访问控制：
    (1) 动态编译：ldd命令；
    (2) 静态编译：strings命令查看应用程序文件，其结果中如果出现
        hosts.allow
        hosts.deny

在配置文件在为各服务分别定义访问控制规则实现访问控制：
    /etc/hosts.allow
    /etc/hosts.deny

    配置文件语法：
        daemon_list: client_list [:options]

        daemon_list:
            应用程序的文件名称，而非服务名；
            应用程序文件名称列表，彼此间使用逗号分隔；
                例如：sshd, vsftpd:
                    ALL表示所有服务；

        client_list：
            IP地址；
            主机名；
            网络地址：必须使用完整格式的掩码，不使用前缀格式掩码；所以类似于172.16.0.0/16不合法；
            简短格式的网络地址：例如172.16. 表示 172.16.0.0/255.255.0.0；
            ALL：所有主机；
            KNOWN: 
            UNKNOWN
            PARANOID

            例如：vsftpd服务不允许172.16.100.1访问

        EXCEPT: 除了
            hosts.allow
                vsftpd: 172.16. EXCEPT 172.16.100.0/255.255.255.0 EXCEPT 172.16.100.1

        [:options]
            deny: 拒绝，主要用于hosts.allow文件中
            allow：允许，用于hosts.deny文件，实现allow的功能
            spawn: 启动额外应用程序：
                vsftpd: ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/vsftpd.deny.log
                    %c: client ip
                    %s: server ip
                    %d: daemon name

    练习：控制telnet服务仅允许172.16.0.0网络中的主机访问，但不包括172.16.100.0/255.255.255.0中的主机；
        对所有正常登录的主机都记录于/var/log/telnet.allow.log中；
        所有未授权访问尝试都记录于/var/log/telnet.deny.log中；