tcp_wrapper知識整理

來源:互聯網
上載者:User

標籤:tcp_wrapper

tcp_wrapper知識整理


一、tcp wrapper簡介

 tcp wrapper是一種存取控制工具,類似於iptables可以作存取控制。

 tcp wrapper只能對基於tcp協議的服務作存取控制,但並不是所有基於tcp協議的服務都能實現用tcp wraper作存取控制。

 tcp wrapper實現存取控制主要依靠兩個檔案,一個是/etc.hosts.allow檔案,另一個是/etc/hosts.deny檔案.從檔案的名字上可以理解:一個是定義允許的,一個是定義拒絕的。那這兩個檔案生效的次序是怎樣的呢?

650) this.width=650;" src="https://s2.51cto.com/wyfs02/M02/A6/5F/wKioL1nNruPAdm2UAAMWHrdFXz4564.jpg" title="1.jpg" alt="wKioL1nNruPAdm2UAAMWHrdFXz4564.jpg" />

通過圖示應該很容易理解,首先檢查hosts.allow檔案中是否有匹配的規則。如果有匹配的規則,則允許訪問,如果沒有匹配的規則,則檢查hosts.deny檔案中是否有匹配的規則,如果有匹配的規則,則拒絕訪問,如果沒有匹配的規則,則視為預設規則,預設規則則為允許,所以允許訪問。


二、設定檔的格式:

daemon_list : client_list [[[: option] : option] ...]


daemon_list:

注意:必須是應用程式檔案的名稱;即存放於/usr/sbin目錄中的檔案名稱;


1.單個應用程式檔案名稱:

如:vsftpd

2.程式檔案的名稱列表,以逗號分隔:

如:sshd, vsftpd

3.ALL:不加區分的表示所有受tcp_wrapper控制的應用程式;


client_list:

1.單個IP地址或主機名稱,如果使用主機名稱,則必須保證本機可以解析;

2.網路地址:以前置長度表示的掩碼無效(172.16.0.0/16)

a) 如果有掩碼,則必須使用完整格式的掩碼;

如:172.16.0.0/255.255.0.0

b) 可以使用簡短格式:

如:172.16.

3.內建的存取控制清單:

ALL:所有的主機;

KNOWN:所有能被當前主機正確解析的主機名稱;

UNKNOWN:所有不能被當前主機正確解析的主機名稱;

PARANOID:正向解析和反向解析結果不一致所有主機;


: option

deny:拒絕,主要用於hosts.allow檔案,定義拒絕訪問規則;

allow:允許,主要用於hosts.deny檔案,定義允許訪問規則;

spawn:產生,發起,執行;



執行個體:

sshd服務不允許172.16.0.0/16,但允許172.16.1.3訪問:


方法一:

1、/etc/hosts.allow

sshd : 172.16.1.3

2、/etc/hosts.deny

sshd : 172.16.


方法二:

/etc/hosts.deny

sshd : 172.16. EXCEPT 172.16.1.3


方法三:

1、/etc/hosts.allow

sshd : ALL EXCEPT 172.16. EXCEPT 172.16.1.3

2、/etc/hosts.deny

sshd : ALL


三、擴充選項:

 spawn使用樣本:

sshd, vsftpd : ALL : spawn /bin/echo $(date +%F-%T) %c attempt login %s >> /var/log/tcpwrapper.log


%c: Client  information:  [email protected],  [email protected],  a  host name, or just an address, depending on how much information is available.

%s: Server  information:  [email protected], [email protected], or just a daemon name, depending on how much information is available.

%h: client hostname

%p: server PID 


執行個體:

用172.16.1.2主機ssh登陸172.16.1.3主機

/etc/hosts.allow

sshd : ALL : spawn echo `date` form %c to %s >> /var/log/tcp_wrapper.log

172.16.1.2登陸後

[[email protected] ~]# cat /var/log/tcp_wrapper.log 

650) this.width=650;" src="https://s5.51cto.com/wyfs02/M01/A6/5F/wKioL1nNrwagWvXYAAATh9ikA94746.png" title="QQ瀏覽器截屏未命名.png" alt="wKioL1nNrwagWvXYAAATh9ikA94746.png" />


本文出自 “12657170” 部落格,請務必保留此出處http://12667170.blog.51cto.com/12657170/1969639

tcp_wrapper知識整理

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.