TCP-Wrappers存取控制

標籤：TCP-Wrappers   Linux   安全   

  TCP Wrappers將其他的TCP服務程式包裹起來，增加了一個安全檢測過程，外來的串連請求必須先通過這層安全檢測，才能訪問真正的服務程式。

  對於大多數Linux發行版，TCP Wrappers是預設提供的功能。TCP Wrappers機制的保護對象為各種網路服務程式，針對訪問服務的客戶機地址進行存取控制，對應的兩個策略檔案為/etc/hosts.allow和/etc/hosts.deny，分別用來設定允許和拒絕的策略。

  

  兩個檔案的格式相同：<服務程式列表>:<客戶機地址清單>

1>服務程式列表

  服務程式列表分為以下幾類：(1)ALL：代表所有的服務；(2)單個服務程式：如"vsftpd"；(3)多個服務程式組成的列表：如"vsftpd,sshd"。

2>客戶機地址清單

  客戶機地址清單分為以下幾類：(1)ALL：代表所有客戶機地址；(2)LOCAL：代表本機地址；(3)單個IP地址：如"192.168.1.1"；(4)網路段地址：如"192.168.1.0/255.255.255.0"；(5)以"."開始的網域名稱：如".baidu.com"匹配baidu.com域中的所有主機；(6)以"."結束的網路地址：如"192.168.1."匹配整個192.168.1.0/24網段；(7)嵌入萬用字元*、?：前者代表任意長度的字元，後者僅代表一個字元，如"10.0.8.2*"匹配以10.0.8.2開頭的所有IP地址。不可以與"."開始或結束的模式混用；(8)多個客戶機地址組成的列表：如"192.168.1.,172.17.17.,.baidu.com"。

  關於TCP Wrappers機制的存取原則，應用時遵循以下順序和原則：首先檢查/etc/hosts.allow檔案，如果找到相匹配的策略，則允許訪問，否則繼續檢查/etc/hosts.deny檔案，如果找到相匹配的策略，則拒絕訪問；如果兩個檔案都找不到匹配的策略，則允許訪問。

  實際使用TCP Wrappers機制時，較寬鬆的策略可以是"允許所有，拒絕個別"，較嚴格的策略是"允許個別，拒絕所有"。前者只需要hosts.deny檔案中添加相應的拒絕策略即可；後者則除了在hosts.allow中添加允許策略之外，還需要在hosts.deny檔案中設定"ALL:ALL"的拒絕策略。

  例如，若只希望從IP為192.168.0.0/24網段的主機訪問sshd服務，其他地址被拒絕，應該執行以下操作：

[[email protected] ~]# cat /etc/hosts.allow 

sshd:192.168.0.

[[email protected] ~]# cat /etc/hosts.deny 

sshd:ALL

因為我的主機是192.168.200.0/24網段的，現在斷開Xshell重新串連就串連不上了。

TCP-Wrappers存取控制