Wrappers訪問控制

一TCP Wrappers概述

·概述：TCP Wrappers將其他的TCP服務(wù)程序"包裹"起來，增加了一個(gè)安全檢測(cè)過程，外來的連接請(qǐng)求必須先通過這層安全檢測(cè)，獲得許可后才能訪問真真的服務(wù)程序，如圖

對(duì)于大多數(shù)版本的linux來說，TCP Wrappers是默認(rèn)提供的功能

·保護(hù)機(jī)制的實(shí)現(xiàn)方式

方式1：通過tcpd主程序?qū)ζ渌?wù)程序進(jìn)行包裝

方式2：由其他服務(wù)程序調(diào)用libwrap.so.*鏈接庫

·訪問控制策略的配置文件

/etc/hosts.allow????????用來允許的策略配置文件

/etc/hosts.deny????????用來拒絕的策略配置文件

二配置訪問控制策略

打開配置文件，按以下要求的格式添加策略條目

·策略格式：服務(wù)列表:客戶機(jī)地址列表

服務(wù)列表

單個(gè)服務(wù)程序，如"vsftpd"

多個(gè)服務(wù)以逗號(hào)分隔，如"vsftpd,sshd"，

ALL 表示所有服務(wù)

客戶機(jī)地址列表

1單個(gè)IP地址，如"192.168.1.1"

2多個(gè)地址以逗號(hào)分隔，如"192.168.1.1,192.168.1.254"

3網(wǎng)段地址，如 192.168.4. 或者 192.168.4.0/255.255.255.0

4多個(gè)網(wǎng)段地址以逗號(hào)分隔，如"192.168.1.，192.168.2."

5以點(diǎn)開頭的區(qū)域地址，如 ".benet.com"表示這個(gè)域中的所有主機(jī)

6網(wǎng)段和區(qū)域可以混合表示，如"192.168.1.，.benet.com，192.168.4.1"

7允許使用通配符 ? （任意一個(gè)字符）和 *（任意字符），如"192.168.1.1?"代表（0-9）"192.168.1.1*"代表（0-255）；不能與3、5通用

8 ALL表示所有地址

·基本原則

先檢查hosts.allow，找到匹配則允許訪問

否則再檢查hosts.deny，找到則拒絕訪問

若兩個(gè)文件中均無匹配策略，則默認(rèn)允許訪問

三TCP Wrappers策略應(yīng)用

·寬松策略：允許所有，拒絕個(gè)別

只需在/etc/hosts.deny添加條目即可；如：禁止指定IP地址的遠(yuǎn)程連接，允許其他所有

·嚴(yán)格策略：允許個(gè)別，拒絕所有

在/etc/hosts.allow添加允許的條目，在/etc/hosts.deny拒絕所有；如

轉(zhuǎn)載于:https://blog.51cto.com/itit0/1334753

總結(jié)

以上是生活随笔為你收集整理的2.2 Wrappers访问控制的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。