? ?tcpwrapper：工作在第四層（傳輸層），能夠?qū)τ袪顟B(tài)連接的服務(wù)進(jìn)行安全檢測(cè)并實(shí)現(xiàn)訪問控制的工具。部分功能上跟iptables重疊。

???? 對(duì)于進(jìn)出本主機(jī)訪問某特定服務(wù)的連接基于規(guī)則進(jìn)行檢查的一個(gè)訪問控制工具，這個(gè)訪問控制工具以庫文件形式實(shí)現(xiàn)；某進(jìn)程是否接受libwrap的控制取決于發(fā)起此進(jìn)程的程序在編譯時(shí)是否針對(duì)libwrap進(jìn)行編譯的。

??????? tcpwrapper的作用是對(duì)基于tcp的程序進(jìn)行安全控制。它通過使用/usr/sbin/tcpd這樣一個(gè)進(jìn)程來代為監(jiān)聽任何一個(gè)使用了tcpwrapper的發(fā)起連接的tcp請(qǐng)求。假設(shè)sshd接受tcpwrapper的驗(yàn)證，當(dāng)有一個(gè)連接發(fā)起ssh連接時(shí)先有tcpwrapper進(jìn)行身份驗(yàn)證，如果通過了驗(yàn)證，則將連接轉(zhuǎn)向sshd，否則直接拒絕連接。

??????? tcpwrapper只能為tcp的連接進(jìn)行驗(yàn)證。它實(shí)際是通過庫文件libwrap.so來實(shí)現(xiàn)控制的，并不是所有的tcp連接都接受其控制。其次，主要針對(duì)基于tcp并且在編譯（兩種編譯方式：靜態(tài)和動(dòng)態(tài)）時(shí)鏈接到libwrap庫上的程序才能生效。

所以tcpwrapper的功能并沒有iptables強(qiáng)大。

一、如何判斷一個(gè)程序是否可以tcpwrapper控制：

判斷一個(gè)二進(jìn)制程序是否接受tcpwrapper的控制，只需檢查二進(jìn)制程序在編譯的時(shí)候是否依賴libwrap.so庫

[root@station39 ~]# ldd `which sshd` | grep libwrap

??????? libwrap.so.0 => /lib/libwrap.so.0 (0x00c5a000)

某些二進(jìn)制文件在編譯時(shí)直接以靜態(tài)的方式將對(duì)libwrap庫的依賴性編譯到文件中去，此時(shí)需要使用string來檢查

[root@station39 ~]# strings `which sshd` | grep hosts

[root@station39 ~]# strings `which portmap` | grep hosts???? //**提供RPC服務(wù)的進(jìn)程

hosts_access_verbose

hosts_allow_table

hosts_deny_table

/etc/hosts.allow

/etc/hosts.deny

鏈接到libwrap.so的獨(dú)立進(jìn)程有：sendmail,slapd,sshd,stunnel,xinetd,gdm,gnome-session,vsftpd,

portmap等等。

二、配置文件介紹

???1.TCP Wrappers配置文件

?? 要決定一個(gè)客戶是否被允許連接一項(xiàng)服務(wù),TCP Wrappers會(huì)參考以下兩個(gè)文件,這兩個(gè)文件通常被稱為主機(jī)訪問文件:
??????????????? /etc/hosts.allow
??????????????? /etc/hosts.deny
?? 當(dāng)一個(gè)TCP Wrappers接收到一個(gè)客戶請(qǐng)求時(shí),它會(huì)運(yùn)行以下幾個(gè)步驟:
?????? A.檢查/etc/hosts.allow.TCP會(huì)繞服務(wù)會(huì)循序地解釋/etc/hosts.allow文件并應(yīng)用第一個(gè)為這個(gè)服務(wù)所指定的規(guī)則.如果找到了一個(gè)匹配的規(guī)則,則允許連接.如果找不到匹配的規(guī)則,就會(huì)進(jìn)行下一個(gè)步驟.
?????? B.檢查/etc/hosts.deny.TCP會(huì)繞的服務(wù)會(huì)循序地來解釋/etc/hosts.deny文件.如果找到一個(gè)匹配的規(guī)則,則拒絕這個(gè)連接.如果找不到匹配的規(guī)則,則允許連接到這個(gè)服務(wù).
???? 在使用TCP Wrappers保護(hù)網(wǎng)絡(luò)服務(wù)時(shí)應(yīng)該考慮以下幾個(gè)要點(diǎn):
?????? A.因?yàn)閔osts.allow中的規(guī)則會(huì)首先被應(yīng)用,所以比hosts.deny中指定的規(guī)則有優(yōu)先權(quán).因此,如果訪問一項(xiàng)服務(wù)在hosts.allow中設(shè)置為允許,那么在hosts.deny中同一項(xiàng)服務(wù)的拒絕訪問設(shè)置則被忽略.
?????? B.每個(gè)文件中的各項(xiàng)規(guī)則是由上到下被讀取的,第一個(gè)匹配的規(guī)則是唯一被應(yīng)用的規(guī)則.因此,規(guī)則的排列順序極其重要.
?????? C.如果在這兩個(gè)文件中都沒有找到匹配的規(guī)則,或這兩個(gè)文件都不存在,那么就授予訪問這項(xiàng)服務(wù)的權(quán)限.
?????? D.TCP會(huì)繞的服務(wù)并不緩存主機(jī)訪問文件中的規(guī)則,因此對(duì)hosts.allow或hosts.deny的配置改變都無需重新啟動(dòng)網(wǎng)絡(luò)服務(wù)便會(huì)馬上起作用.????2.格式化訪問規(guī)則
?? /etc/hosts.allow和/etc/hosts.deny文件的格式是完全相同的.每個(gè)規(guī)則都必須位于其正確的行位.空行或以井字號(hào)(#)開始的行會(huì)被忽略.
?? 每條規(guī)則都使用以下基本格式來對(duì)網(wǎng)絡(luò)服務(wù)的訪問進(jìn)行控制:
???????? <daemon list>: <client list> [: <option>: <option>: ...]
?? 字段解釋如下:
????? <daemon list>,一個(gè)由逗號(hào)分隔的進(jìn)程名(不是服務(wù)名)列表,或ALL通配符.守護(hù)進(jìn)程列表也接受運(yùn)算符來提供更大的靈活性.
????? <client list>,一個(gè)由逗號(hào)分隔的主機(jī)名,主機(jī)IP地址,特殊模式或通配符列表,該列表用來識(shí)別受這項(xiàng)規(guī)則影響的主機(jī).客戶列表也接受運(yùn)算符來允許更大的靈活性.
?????? <option>,這項(xiàng)規(guī)則被觸發(fā)時(shí)要運(yùn)行一個(gè)動(dòng)作選項(xiàng)或由冒號(hào)分隔開動(dòng)作列表.選項(xiàng)領(lǐng)域支持?jǐn)U展式,發(fā)布shell命令,允許或拒絕訪問以及修改日志記錄.
?? 下面是一個(gè)基本的主機(jī)訪問規(guī)則示例:
??????? vsftpd : .example.com
?? 這條規(guī)則指示TCP Wrappers監(jiān)測(cè)在example.com域內(nèi)的任何主機(jī)向FTP守護(hù)進(jìn)程(vsftpd)發(fā)出的連接.如果這條規(guī)則出現(xiàn)在hosts.allow 中,連接則被接受.如果這條規(guī)則出現(xiàn)在hosts.deny中,連接則被拒絕.
?? 下面的主機(jī)訪問規(guī)則比較復(fù)雜,而且使用兩個(gè)選項(xiàng)領(lǐng)域:
??????? sshd : .example.com? \ :spawn /bin/echo `/bin/date` access denied>>/var/log/sshd.log \ :deny
?? 請(qǐng)注意每個(gè)選項(xiàng)領(lǐng)域前面都有反斜線(\).使用反斜線可以防止由于規(guī)則太長而造成失敗.
?? 這個(gè)范例規(guī)定如果example.com中的某個(gè)主機(jī)試圖向SSH守護(hù)進(jìn)程(sshd)發(fā)出連接請(qǐng)求,那么執(zhí)行echo命令來將這次嘗試添加到一個(gè)專用日志文件里,并且拒絕該連接.因?yàn)槭褂昧嗣钸x項(xiàng) deny,這一行拒絕訪問,即使它出現(xiàn)在 hosts.allow 文件里.???3.通配符
? 通配符使TCP Wrappers更容易匹配各種守護(hù)進(jìn)程或主機(jī).使用通配符最頻繁的是在訪問規(guī)則的客戶列表領(lǐng)域內(nèi).
? 以下是可以被使用的通配符:
???????? ALL,完全匹配,可以用在守護(hù)進(jìn)程列表和客戶列表中.
???????? LOCAL,與任何不包括圓點(diǎn)(.)的主機(jī)匹配,如localhost.
???????? KNOWN,與任何帶有已知主機(jī)名和主機(jī)地址或已知用戶的主機(jī)匹配.
???????? UNKNOWN,與任何帶有未知主機(jī)名和主機(jī)地址或未知用戶的主機(jī)匹配.
???????? PARANOID,與任何帶有主機(jī)名和主機(jī)地址不相匹配的主機(jī)匹配.???4.模式
? 模式可以用在訪問規(guī)則的客戶領(lǐng)域里,從而更準(zhǔn)確地給客戶主機(jī)指定分組.
? 下面是一個(gè)常用模式列表:
?????? A.主機(jī)名以圓點(diǎn)(.)開始,如果在一個(gè)主機(jī)名的開始放置一個(gè)圓點(diǎn),那么就與所有共享這個(gè)主機(jī)名中列出的相同組成部分的主機(jī)匹配.如:.example.com適用于example.com域內(nèi)的任何主機(jī).
?????? B.IP地址以圓點(diǎn)(.)結(jié)束,如果在一個(gè)IP地址的末尾放置一個(gè)圓點(diǎn),那么就與所有共享一個(gè)IP地址的起始數(shù)值組的主機(jī)匹配.如:192.168.適用于192.168.x.x網(wǎng)絡(luò)內(nèi)的任何主機(jī).
?????? C.IP地址/網(wǎng)絡(luò)掩碼對(duì),網(wǎng)絡(luò)掩碼表達(dá)式也可以作為一個(gè)模式用來控制對(duì)某一組特定的IP地址的訪問.如:192.168.0.0 /255.255.254.0適用于地址區(qū)間從192.168.0.0到192.168.1.255的任何主機(jī).
?????? D.[IPv6地址]/前綴長度對(duì),[網(wǎng)]/前綴長度對(duì)也可以作為一種模式用來控制對(duì)某一組特定的IPv6地址的訪問.如: [3ffe:505:2:1::]/64適用于地址區(qū)間從3ffe:505:2:1::到 3ffe:505:2:1:ffff:ffff:ffff:ffff的任何主機(jī).
?????? E.星號(hào)(*),星號(hào)可以用來匹配整個(gè)不同組別的主機(jī)名或IP地址,只要在含有其它模式類型的客戶列表中這些組不混雜在一起的話.如:*.example.com適用于example.com域內(nèi)的任何主機(jī).
?????? F.斜線(/),如果一個(gè)客戶列表以斜線開始,這個(gè)列表就被當(dāng)作一個(gè)文件名對(duì)待.若是需要指定很大數(shù)量主機(jī)的各種規(guī)則的話,這一點(diǎn)就很有用處.
?? 更多TCP Wrappers所接受的其它用到的模式.可參閱hosts_access man 5 page.
???5.Portmap(端口映射器)和TCP Wrappers
??? 實(shí)施TCP Wrappers的Portmap不支持主機(jī)查找,也就是說portmap命令不能用主機(jī)名來識(shí)別相應(yīng)的主機(jī).因此,在hosts.allow或 hosts.deny中對(duì)portmap的訪問控制規(guī)則必須使用IP地址來特指某主機(jī),或用關(guān)鍵詞ALL.
??? 對(duì)portmap訪問控制規(guī)則的修改可能不會(huì)立即起作用.可能得重新啟動(dòng)portmap服務(wù).
??? 像NIS和NFS一樣的被廣泛使用的服務(wù)都有賴于portmap來進(jìn)行運(yùn)作,所以要了解這些局限性.????6.算子(Operators)
??? 目前,訪問控制規(guī)則接受一個(gè)算子EXCEPT,這個(gè)算子可以用在一個(gè)規(guī)則的守護(hù)程序列表中,也可以用在客戶列表中.
??? 這個(gè)EXCEPT算子允許特定的例外以用來在同一個(gè)規(guī)則中拓寬匹配的范圍.
??? 下面的例子來自一個(gè)hosts.allow文件,除cracker.example.com之外,允許所有example.com主機(jī)連接所有的服務(wù)
??????? ALL: .example.com EXCEPT cracker.example.com
??? hosts.allow文件內(nèi)的另一個(gè)例子中,來自192.168.0.x網(wǎng)絡(luò)的所有客戶都可以使用除FTP之外的所有服務(wù)
??????? ALL EXCEPT vsftpd: 192.168.0.
??? 從組織結(jié)構(gòu)上來說,避免使用EXCEPT算子更簡易一些.因?yàn)檫@樣可以讓其他的系統(tǒng)管理員能很快地掃描相關(guān)的文件以便查看哪些主機(jī)被允許或被拒絕訪問服務(wù),而無須通過EXCEPT算子來進(jìn)行排序.??? 同樣， EXCEPT可以進(jìn)行嵌套，　　　　‘a(chǎn) EXCEPT b EXCEPT c′ would parse as ‘(a EXCEPT (b EXCEPT c))′????7.記錄日志
??? 通過使用severity命令,其選項(xiàng)領(lǐng)域讓系統(tǒng)管理員能夠很容易地改變一個(gè)規(guī)則的日志設(shè)施和優(yōu)先級(jí)別.
??? 在下面的例子中,example.com域內(nèi)的任何主機(jī)向SSH守護(hù)進(jìn)程發(fā)出的各種連接會(huì)登錄到默認(rèn)的authprivsyslog設(shè)施內(nèi)(因?yàn)闆]有具體指明設(shè)施參數(shù)值),并且以emerg優(yōu)先:
????????? sshd : .example.com : severity emerg
??? 使用severity選項(xiàng)也可以指定某個(gè)設(shè)施.下面的例子將來自example.com 主機(jī)的任何SSH連接意圖登錄到local0設(shè)施,并以alert優(yōu)先.
??????????????? sshd : .example.com : severity local0.alert
??????? 實(shí)際操作中,這個(gè)例子直到syslog守護(hù)進(jìn)程(syslogd)被配置為登錄到local0設(shè)施才會(huì)起作用.???? 8.訪問控制
??? 選項(xiàng)領(lǐng)域也允許系統(tǒng)管理員通過添加allow或deny作為命令的最后選項(xiàng)來明確地以單個(gè)規(guī)則方式允許或拒絕主機(jī).
??? 例如,下面的兩個(gè)規(guī)則允許來自client-1.example.com的SSH連接但卻拒絕來自client-2.example.com的連接
?????? sshd : client-1.example.com : allow
?????? sshd : client-2.example.com : deny
??? 訪問控制以每個(gè)規(guī)則為基礎(chǔ),這樣選項(xiàng)領(lǐng)域就允許系統(tǒng)管理員把所有訪問規(guī)則寫成一個(gè)單一文件,要么是hosts.allow,要么是hosts.deny.有些系統(tǒng)管理員認(rèn)為這樣組織訪問規(guī)則更容易一些.?????9.Shell命令
??? 選項(xiàng)領(lǐng)域允許訪問規(guī)則通過下面兩個(gè)指令發(fā)出shell命令:
?????? (1).spawn,作為子進(jìn)程發(fā)出一個(gè)shell命令.這個(gè)命令可以使用/usr/sbin/safe_finger來獲取發(fā)出請(qǐng)求客戶的更多信息,或使用 echo命令來創(chuàng)建專用日志文件.在下面的例子中,試圖訪問來自example.com 域的Telnet服務(wù)的客戶被俏俏地登錄到一個(gè)專用文件.
???????????? in.telnetd : .example.com? : spawn /bin/echo `/bin/date` from %h>>/var/log/telnet.log : allow
?????? (2).twist,把要求進(jìn)行的服務(wù)轉(zhuǎn)換成特定的命令.這個(gè)命令經(jīng)常用來給外侵者設(shè)立陷阱(也叫"蜜罐兒").也可以用來向預(yù)連接的客戶發(fā)送信息.這個(gè) twist命令必須出現(xiàn)在該規(guī)則命令行的末尾.在下面的例子中,試圖訪問來自example.com域的FTP服務(wù)的客戶接收到用echo命令發(fā)送的一個(gè) 訊息.
??????????? vsftpd : .example.com : twist /bin/echo "421 This domain has been black-listed. Access denied!"?????10.擴(kuò)展式
??? 擴(kuò)展式命令與spawn和twist命令一起使用時(shí),可以提供關(guān)于客戶/服務(wù)器以及相關(guān)進(jìn)程的信息.
????? 下面是一個(gè)支持?jǐn)U展式的命令列表:
???????????? %a,返回用戶的IP地址.
???????????? %A,返回服務(wù)器的IP地址.
???????????? %c,返回大量的客戶信息,比如用戶名和主機(jī)名,或用戶名和IP地址.
???????????? %d,返回守護(hù)進(jìn)程的名稱.
???????????? %h,返回客戶的主機(jī)名(或IP地址,如果主機(jī)名沒有提供的話).
???????????? %H,返回服務(wù)器的主機(jī)名(或IP地址,如果主機(jī)名沒有提供的話).
???????????? %n,返回客戶的主機(jī)名.如果主機(jī)名沒有提供的話,屏幕上會(huì)顯示unknown.如果客戶的主機(jī)名和主機(jī)地址不匹配的話,屏幕上會(huì)顯示paranoid.
???????????? %N,返回服務(wù)器的主機(jī)名.如果主機(jī)名沒有提供的話,屏幕上會(huì)顯示unknown.如果服務(wù)器的主機(jī)名和主機(jī)地址不匹配的話,屏幕上會(huì)顯示paranoid.
???????????? %p,返回守護(hù)進(jìn)程的進(jìn)程ID.
???????????? %s,返回各種不同類型的服務(wù)器信息,比如守護(hù)進(jìn)程的進(jìn)程和服務(wù)器的主機(jī)或IP地址.
???????????? %u,返回客戶的用戶名.如果沒有提供的話,屏幕上會(huì)顯示unknown.
?? 下面用來示范的規(guī)則與spawn命令一起使用了一個(gè)擴(kuò)展式來在一個(gè)定制的日志文件中確認(rèn)客戶主機(jī).
?? 當(dāng)來自example.com域的一個(gè)主機(jī)向SSH守護(hù)進(jìn)程(sshd)發(fā)出連接意圖時(shí),執(zhí)行echo命令來把這次包括客戶主機(jī)名(通過使用%h擴(kuò)展式)的連接嘗試信息記錄到一個(gè)專用文件中.
????? sshd : .example.com : spawn /bin/echo `/bin/date` access denied to %h>>/var/log/sshd.log : deny
?? 同樣的,擴(kuò)展式也可以用來把個(gè)性化的訊息返回給客戶.在下面的例子中,試圖訪問來自example.com域的FTP服務(wù)的客戶們得到通知,他們的訪問被服務(wù)器取締了.
????? vsftpd : .example.com : twist /bin/echo "421 %h has been banned from this server!"
??????? 有關(guān)可用擴(kuò)展式的更完全的解釋,以及對(duì)附加的訪問控制選項(xiàng)的更完全的解釋,可參閱man page的第五部分,查看hosts_access(man 5 hosts_access)和hosts_options.?? 11.連接旗幟(Connection Banners)
?? 當(dāng)用戶連接到服務(wù)器時(shí),用合適的旗幟標(biāo)示顯示其連接是一種很好的方式,可以讓潛在的襲擊者知道本系統(tǒng)管理員很有警惕性.同時(shí)也可以控制關(guān)于系統(tǒng)什么樣的信 息可以呈現(xiàn)給用戶.要想為一項(xiàng)服務(wù)設(shè)置一個(gè)TCP Wrappers旗幟標(biāo)示,可使用banner選項(xiàng)。
?? 這個(gè)例子為vsftpd設(shè)置一個(gè)旗幟標(biāo)示.首先,創(chuàng)建一個(gè)旗幟標(biāo)示文件,可以儲(chǔ)存在系統(tǒng)的任何地方,但必須與其守護(hù)進(jìn)程同名.例如,該文件命名為/etc/banners/vsftpd并包含下面一行：
??????? 220-Hello, %c 220-All activity on?ftp.example.com?is logged. 220-Inappropriate use will result in your access privileges being removed.?
???? %c權(quán)標(biāo)可提供客戶的多種信息,比如用戶名和主機(jī)名,或用戶名和IP地址,也許這樣會(huì)使該連接更讓人覺得有脅迫感。
???? 要想使該旗幟在有外來連接進(jìn)入時(shí)顯示,可在/etc/hosts.allow文件上加上下面一行：
?????????? vsftpd : ALL : banners /etc/banners/

?

三、舉例說明：

allow? : 允許訪問
deny?? : 拒絕訪問
spwan? : 拒絕訪問 并且在自己這邊執(zhí)行后面自定義的命令或腳本
twist? : 拒絕訪問 并且在訪問者那邊執(zhí)行后面自定義的命令或腳本
serverity : 將來訪者的信息記錄到日志中，然后繼續(xù)和后面的規(guī)則做比對(duì)
banners : 顯示指定文件中的信息給client端
例如：
vsftpd : 192.168.0. : swpan /bin/echo $(date) %c %d >> /var/log/tcpwrap.log
vsftpd : 192.168.1. : twist /bin/echo “421 Connection prohibited.”
vsftpd : 192.168.2. : banners /var/banners
第一條規(guī)則，是拒絕192.168.0的網(wǎng)段訪問，并且將日期和來訪者的信息記錄到tcpwrap.log中
第二條規(guī)則，是拒絕192.168.1的網(wǎng)段訪問，并且在來訪者客戶端的那邊顯示提示信息”421 Connection prohibited.”
第三條規(guī)則，當(dāng)192.168.2的網(wǎng)段訪問，在客戶端那邊顯示提示信息，信息內(nèi)容由 /var/banners文件來指定。

?? (1). ALLOW/DENY： 可以在/etc/hosts.deny或/etc/hosts.allow 中被當(dāng)做一個(gè)選項(xiàng)來使用。

例：編輯/etc/hosts.allow

in.telnetd: 192.168.1.

in.telnetd: ALL: DENY

?? (2). spawn：在匹配到規(guī)則時(shí)重新發(fā)起一個(gè)額外的命令來執(zhí)行其他的動(dòng)作，可使用特殊展開。

在子進(jìn)程中執(zhí)行，并不影響當(dāng)前進(jìn)程。

in.telnetd: ALL : spawn echo "login? attempt? from? %c? to? %s"? | mail -s waring? root

?? (3). twist：啟動(dòng)一個(gè)額外的命令來取代當(dāng)前規(guī)則中定義的服務(wù)。

sshd： 192.168.0. twist /bin/echo "421 Connection prohibited."

???? 通過一個(gè)例子來說明二者區(qū)別：

???? 編輯/etc/hosts.allow

????????? in.telnetd: 192.168.0.: spawn /bin/echo `date`? %c accessd %d &gt;&gt; /var/log/tcpwrap.log

???? 可以正常訪問，我們來查看下日志：

???? [root@station39 xinetd.d]# cat /var/log/tcpwrap.log

?????????? Wed Mar 23 12:26:29 CST 2011 192.168.0.1 accessd in.telnetd

???? 我們使用twist來試一下：/etc/hosts.allow

?????????? in.telnetd: 192.168.0.: twist /bin/echo "421 connetcion deny!"

???? 使用物理機(jī)訪問，被拒絕：

?? (4). severity [facility.] priority

?????? 定義訪問某個(gè)服務(wù)時(shí)的日志級(jí)別，默認(rèn)authpriv.info級(jí)別

????????????????? in.telnetd:ALL: serverity local7.info

?? (5). banners

?????? 訪問某個(gè)服務(wù)時(shí)返回的信息

????????????????? in.telnetd: ALL: banners? /some/directory

?????? 編輯/etc/hosts.allow

????????????????? in.telnetd: ALL: banners /var/tcpwrap

?????? 舉例：

????????????????? [root@station39 xinetd.d]# mkdir? /var/tcpwrap

????????????????? [root@station39 xinetd.d]# vim /var/tcpwrap/in.telnetd

?????? "Welcome to 192.168.0.39"

?????? 使用物理機(jī)訪問一下：

本文轉(zhuǎn)自 lirulei90 51CTO博客，原文鏈接：http://blog.51cto.com/lee90/1944325，如需轉(zhuǎn)載請(qǐng)自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的tcpwrapper的使用方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。