2.2 Wrappers访问控制

Wrappers访问控制

一TCP Wrappers概述

・概述：TCP Wrappers将其他的TCP服务程序"包裹"起来，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真真的服务程序，如图

对于大多数版本的linux来说，TCP Wrappers是默认提供的功能

・保护机制的实现方式

方式1：通过tcpd主程序对其他服务程序进行包装

方式2：由其他服务程序调用libwrap.so.*链接库

・访问控制策略的配置文件

/etc/hosts.allow        用来允许的策略配置文件

/etc/hosts.deny        用来拒绝的策略配置文件

二配置访问控制策略

打开配置文件，按以下要求的格式添加策略条目

・策略格式：服务列表:客户机地址列表

服务列表

单个服务程序，如"vsftpd"

多个服务以逗号分隔，如"vsftpd,sshd"，

ALL 表示所有服务

客户机地址列表

1单个IP地址，如"192.168.1.1"

2多个地址以逗号分隔，如"192.168.1.1,192.168.1.254"

3网段地址，如 192.168.4. 或者 192.168.4.0/255.255.255.0

4多个网段地址以逗号分隔，如"192.168.1.，192.168.2."

5以点开头的区域地址，如 ".benet.com"表示这个域中的所有主机

6网段和区域可以混合表示，如"192.168.1.，.benet.com，192.168.4.1"

7允许使用通配符 ? （任意一个字符）和 *（任意字符），如"192.168.1.1?"代表（0-9）"192.168.1.1*"代表（0-255）；不能与3、5通用

8 ALL表示所有地址

・基本原则

先检查hosts.allow，找到匹配则允许访问

否则再检查hosts.deny，找到则拒绝访问

若两个文件中均无匹配策略，则默认允许访问

三TCP Wrappers策略应用

・宽松策略：允许所有，拒绝个别

只需在/etc/hosts.deny添加条目即可；如：禁止指定IP地址的远程连接，允许其他所有

・严格策略：允许个别，拒绝所有

在/etc/hosts.allow添加允许的条目，在/etc/hosts.deny拒绝所有；如