TCP Wrapper

TCP wrappers LAB

/etc/hosts.deny and /etc/hosts.allow 文件使用规格介绍［］为可选项

daemon_list : client_list [ : shell_command ]

daemon_list:一个或多个程序名或者通配符

所有支持TCP Wrapper的服务如（in.telnetd、sshd、in.rlogind等）
在有多网卡的情况下也可以使daemon程序名@本机网卡IP地址来在指定网卡上的服务的限制如([email protected]:192.168.99.)

client_list:一个或多个主机名，主机地址，网段或通配符
大家可以通过查看RFC931和RFC1413来配置对客户端更高级的限制

客户端描述可以包含： IP 地址（192.168.0.254 ） 
                     域名或主机名（.example.com, www.wenhua.org  ） 
                     子网掩码（192.168.0.0/255.255.255.0 或192.168.0. ） 
                     网络名（@mydomain ）

通配符表示：ALL:所有
            LOCAL：本机
            UNKNOWN：无法被解析的主机
            KNOWN：可以双向解析的主机
            PARANOID：正向解析成功但无法反向解析的主机
            EXCEPT：除....以外

shell_command:不支持PATH环境变量所以这里要指定所使用命令或脚本的绝对路径
%a(%A)      :客户端（服务器）主机IP地址
%c          :客户端信息以“用户名@客户端主机名或IP地址”来表示，如：[email protected]
%d          :daemon程序名
%h(%H)      :客户端（服务器）主机名如果无法解释时则显示IP地址
%n(%N)      :客户端（服务器）主机名如果有则显示如果没有则显示“unknown”或“paranoid”
%p          :列出本机daemon程序的PID
%s          :服务器信息以“服务名@服务器端主机名或IP地址”来表示，如：[email protected]
%u          :客户端用户名或若不知道则显示“unknown”
spawn ()    :在本地运行和script或命令（不支持变量PATH所以这里要使用脚本或命令的绝对路径）
twist       :将显示结果显示到客户端可以使用echo或script档（不支持变量PATH所以这里要使用脚本或命令的绝对路径）

****************************************************************************************************************
example:

[root@station100 ~]# cat /etc/hosts.allow
in.telnetd:192.168.99. 127.                 #设置允许192.168.99.0/24和本机使用telnet连接
ALL:192.168.99. 127. : spawn (/bin/echo "%c connected to %s" >>/var/log/allow.log)  #记录所有使用wrapper的服务并记录
                         
[root@station100 ~]# cat /etc/hosts.deny
in.telnetd:ALL:twist /var/mesg/deny          #当有非法用户使用telnet连接我的电脑时运行脚本/var/mesg/deny将结果显示给它在deny这个script当中最好不要让他运行reboot或init 6 之类的命令那样会导致本机重启 
ALL:ALL EXCEPT 192.168.99. 127. :spawn (/bin/echo "%c try connected to %s" >>/var/log/deny.log) #记录非法用户尝试的连接

 

Man page help link: http://www.squarebox.co.uk/cgi-squarebox/manServer/usr/share/man/man5/hosts.allow.5#9

本文出自 “security” 博客，谢绝转载！