TCPwrapper

简介

wrap工作在内核和用户空间中间的库层，内核收到数据后，要把数据发往用户空间的套接字，会经过库层次，对于部分应用（指依赖libwrap.so）库文件的TCP应用，会接受wrap的检测。

TCPwrapper作用范围

tcpwarpper顾名思义，只对TCP有效，但不是所有TCP应用都有效，关键要看该应用是否依赖libwrap.so这个库文件。
例如tcpper可以控制ssh服务，为什么呢？因为实现ssh协议的sshd程序依赖了libwarp.so库文件，
例如，可通过ldd命令查看应用所依赖的库文件。
来看看sshd依赖了哪些库文件。

[root@vultr ~]# ldd $(which sshd) 
linux-vdso.so.1 =>  (0x00007ffc9f4cd000)
libfipscheck.so.1 => /lib64/libfipscheck.so.1 (0x00007f7dc1152000)
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f7dc0f47000) 可以看出sshd依赖了libwrap.so文件
libaudit.so.1 => /lib64/libaudit.so.1 (0x00007f7dc0d1e000)
libpam.so.0 => /lib64/libpam.so.0 (0x00007f7dc0b0f000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007f7dc08e8000)
    ...

但有些应用程序是静态编译的，有可能把libwrap.so文件编译了程序里面了。这时可以strings命令查看，如果帅选的结果中包含了“hosts_access”或“hosts_deny”，即表示支持TCPwrapper，这两个文件正是用于放行或拒绝的配置文件。

[root@vultr ~]# strings $(which sshd) | grep "hosts"
hosts_access
[root@vultr ~]# 

TCPwrapper配置

TCPwrapper有两个配置文件。
1./etc/hosts.allow
2./etc/hosts.deny
TCPwrappers先查找/etc/hosts.allow，再查找/etc/hosts.deny，如果两个配置中有冲突，先匹配中的优先，也就是hosts.allow中的配置优先，如果两个配置都没命中，默认放行。

配置文件语法：

daemon_list : client_list[ : option : option ...]

#    daemon_list：程序文件名称列表
        (1) 单个应用程序文件名；
        (2) 程序文件名列表，以逗号分隔；
        (3) ALL：所有受tcp_wrapper控制的应用程序文件；
                
        daemon_list:必须是程序名      
                
                
#   client_list：
        (1) 单个IP地址或主机名；
        (2) 网络地址：n.n.n.n/m.m.m.m，n.n.n.；
        (3) 内建的ACL:
        ALL：所有客户端主机；
        LOCAL：Matches any host whose name does not contain a dot character.
        UNKNOWN #不能反解主机名
        KNOWN   #可以反解主机名 
        PARANOID    #反解的IP和主机名不对应
        
#    OPERATORS：
        EXCEPT
            list1 EXCEPT list2 EXCEPT list3
                        
#   option
    deny：拒绝，主要用于hosts.allow文件中定义“拒绝”规则；
                allow：允许，主要用于hosts.deny文件中定义”允许“规则；
                
                spawn：生成，发起，触发执行用户指定的任意命令，此处通常用于记录日志；

配置示例：

例子：禁止192.168.30.0/24访问SSH服务，但是192.168.30.1和192.168.30.128除外

[root@test2 ~]# vim /etc/hosts.deny
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
sshd : 192.168.30.0/255.255.255.0 EXCEPT 192.168.30.1 192.168.30.128

还可以使用spawn选项执行一些外部程序：
如

sshd : 192.168.30.0/255.255.255.0 EXCEPT 192.168.30.1 192.168.30.128 :spwan /bin/echo $(date) login form %c to %s >> /var/log/tcp_wrapper_ssh

更多的配置帮助

%c和%s是一个宏（在man手册中被称为扩展），更多的宏可以通过[root@test2 ~]# man hosts_access查看