Centos 中 TCPWrappers訪問控制

博文目錄
1、TCP Wrappers概述
2、TCP Wrappers的訪問策略
一、策略的配置格式
二、訪問控制的基本原則
三、TCP Wrappers配置實例

1、TCP Wrappers概述

TCP Wrappers將TCP服務程序「包裹」起來，代爲監聽TCP服務程序的端口，增長了一個安全檢測過程，外來的鏈接請求必須先經過這層安全檢測，得到許可後才能訪問真正的服務程序，以下圖所示，TCP Wrappers還能夠記錄全部企圖訪問被保護服務的行爲，爲管理員提供豐富的安全分析資料。

2、TCP Wrappers的訪問策略

TCP Wrappers機制的保護對象爲各類網絡服務程序，針對訪問服務的客戶端地址進行訪問控制。對應的兩個策略文件爲/etc/hosts.allow和/etc/hosts.deny，分別用來設置容許和拒絕的策略。

一、策略的配置格式

兩個策略文件的做用相反，但配置記錄的格式相同，以下所示：
<服務程序列表>: <客戶端地址列表>

服務程序列表、客戶端地址列表之間以冒號分隔，在每一個列表內的多個項之間以逗號分隔。

1）服務程序列表

• ALL：表明全部的服務；
• 單個服務程序：如「vsftpd」；
• 多個服務程序組成的列表：如「vsftpd.sshd」；

2）客戶端地址列表

• ALL：表明任何客戶端地址；
• LOCAL：表明本機地址；
• 單個IP地址：如「192.1668.10.1」；
• 網段地址：如「192.168.10.0/255.255.255.0」；
• 以「.」開始的域名：如「benet.com」匹配benet.com域中的全部主機；
• 以「.」結束的網絡地址：如「192.168.10.」匹配整個192.168.10.0/24網段；
• 嵌入通配符「」「？」：前者表明任意長度字符，後者僅表明一個字符，如「192.168.10.1」匹配以192.168.10.1開頭的全部IP地址。不可與以「.」開始或結束的模式混用；
• 多個客戶端地址組成的列表：如「192.168.1. ，172.16.16. ，.benet.com」；

二、訪問控制的基本原則

關於TCP Wrappers機制的訪問策略，應用時遵循如下順序和原則：首先檢查/etc/hosts.allow文件，若是找到相匹配的策略，則容許訪問；不然繼續檢查/etc/hosts.deny文件，若是找到相匹配的策略，則拒絕訪問；若是檢查上述兩個文件都找不到相匹配的策略，則容許訪問。

三、TCP Wrappers配置實例

實際使用TCP Wrappers機制時，較寬鬆的策略能夠是「容許全部，拒絕個別」，較嚴格的策略是「容許個別，拒絕全部」。前者只須要在hosts.deny文件中添加相應的拒絕策略就能夠了；後者則除了在host.allow中添加容許策略以外，還須要在hosts.deny文件中設置「ALL：ALL」的拒絕策略。

示例以下：
如今只但願從IP地址爲192.168.10.1的主機或者位於172.16.16網段的主機訪問sshd服務，其餘地址被拒絕，能夠執行如下操做：

[root@centos01 ~]# vim /etc/hosts.allow 
sshd:192.168.10.1 172.16.16.*
[root@centos01 ~]# vim /etc/hosts.deny 
sshd:ALL

—————— 本文至此結束，感謝閱讀 ——————