TCP Wrappers机制说明与应用

TCP Wrappers机制的“包袱”保护原理:

其作用有点类似于机关的“传达室”、大型理发店的“服务台”等, 例如:

在一些规模较大的理发店中,会设置有服务台(前台)直接面向顾客。顾客需要指定的理发师提供服务时,需要通过前台进行预约;而当生意清淡没有顾客的时候,理发师们可能在后边休息呢,并不需要一致在前台等待。

对于少数高级的理发师来说,可能只为特定人群提供服务(如专做婴幼儿理发、女士发型等),而是否拒绝顾客的预约要求则由服务台完成

clip_image002

软件包

tcp_wrappers-7.6-40.2.1.i386.rpm

使用RHEL5系统自带的tcp_wrappers软件包

保护机制的实现方式

方式1:通过tcpd主程序对其他服务程序进行包装(需要运行tcpd主程序)

方式2:由其他网络服务程序调用libwrap.so.*链接库(无需运行tcpd主程序, 例如vsftpd、sshd、xinetd等)

主要配置文件

/etc/hosts.allow

/etc/hosts.deny

设置访问控制策略

配置格式:服务程序列表:客户机地址列表

服务程序列表

单个服务程序名

以逗号“,”分隔多个服务程序名

ALL表示所有服务程序

客户机地址列表

单个IP地址

网段地址,“192.168.4.”或“192.168.4.0/255.255.255.0”

使用通配符 ? 和 *

以逗号“,”分隔多个地址

ALL表示所有地址

TCP Wrappers的访问控制原则

首先检查 hosts.allow 文件,若找到相匹配的策略,则允许访问

否则继续检查 hosts.deny 文件,若找到相匹配的策略,则拒绝访问

如果两个文件中都没有相匹配的策略,则允许访问

应用示例:

仅允许地址为 61.63.65.67 或 176.16.16.10~19 以及 192.168.2.0/24 网段的客户机访问sshd服务

[root@localhost ~]# vi /etc/hosts.allow

sshd:61.63.65.67,192.168.2.*,176.16.16.1?

[root@localhost ~]# vi /etc/hosts.deny

sshd:ALL

你可能感兴趣的:(tcp,机制,应用,休闲,Wrappers)