標籤:tcp_wrapper
tcp_wrapper知識整理
一、tcp wrapper簡介
tcp wrapper是一種存取控制工具,類似於iptables可以作存取控制。
tcp wrapper只能對基於tcp協議的服務作存取控制,但並不是所有基於tcp協議的服務都能實現用tcp wraper作存取控制。
tcp wrapper實現存取控制主要依靠兩個檔案,一個是/etc.hosts.allow檔案,另一個是/etc/hosts.deny檔案.從檔案的名字上可以理解:一個是定義允許的,一個是定義拒絕的。那這兩個檔案生效的次序是怎樣的呢?
650) this.width=650;" src="https://s2.51cto.com/wyfs02/M02/A6/5F/wKioL1nNruPAdm2UAAMWHrdFXz4564.jpg" title="1.jpg" alt="wKioL1nNruPAdm2UAAMWHrdFXz4564.jpg" />
通過圖示應該很容易理解,首先檢查hosts.allow檔案中是否有匹配的規則。如果有匹配的規則,則允許訪問,如果沒有匹配的規則,則檢查hosts.deny檔案中是否有匹配的規則,如果有匹配的規則,則拒絕訪問,如果沒有匹配的規則,則視為預設規則,預設規則則為允許,所以允許訪問。
二、設定檔的格式:
daemon_list : client_list [[[: option] : option] ...]
daemon_list:
注意:必須是應用程式檔案的名稱;即存放於/usr/sbin目錄中的檔案名稱;
1.單個應用程式檔案名稱:
如:vsftpd
2.程式檔案的名稱列表,以逗號分隔:
如:sshd, vsftpd
3.ALL:不加區分的表示所有受tcp_wrapper控制的應用程式;
client_list:
1.單個IP地址或主機名稱,如果使用主機名稱,則必須保證本機可以解析;
2.網路地址:以前置長度表示的掩碼無效(172.16.0.0/16)
a) 如果有掩碼,則必須使用完整格式的掩碼;
如:172.16.0.0/255.255.0.0
b) 可以使用簡短格式:
如:172.16.
3.內建的存取控制清單:
ALL:所有的主機;
KNOWN:所有能被當前主機正確解析的主機名稱;
UNKNOWN:所有不能被當前主機正確解析的主機名稱;
PARANOID:正向解析和反向解析結果不一致所有主機;
: option
deny:拒絕,主要用於hosts.allow檔案,定義拒絕訪問規則;
allow:允許,主要用於hosts.deny檔案,定義允許訪問規則;
spawn:產生,發起,執行;
執行個體:
sshd服務不允許172.16.0.0/16,但允許172.16.1.3訪問:
方法一:
1、/etc/hosts.allow
sshd : 172.16.1.3
2、/etc/hosts.deny
sshd : 172.16.
方法二:
/etc/hosts.deny
sshd : 172.16. EXCEPT 172.16.1.3
方法三:
1、/etc/hosts.allow
sshd : ALL EXCEPT 172.16. EXCEPT 172.16.1.3
2、/etc/hosts.deny
sshd : ALL
三、擴充選項:
spawn使用樣本:
sshd, vsftpd : ALL : spawn /bin/echo $(date +%F-%T) %c attempt login %s >> /var/log/tcpwrapper.log
%c: Client information: [email protected], [email protected], a host name, or just an address, depending on how much information is available.
%s: Server information: [email protected], [email protected], or just a daemon name, depending on how much information is available.
%h: client hostname
%p: server PID
執行個體:
用172.16.1.2主機ssh登陸172.16.1.3主機
/etc/hosts.allow
sshd : ALL : spawn echo `date` form %c to %s >> /var/log/tcp_wrapper.log
172.16.1.2登陸後
[[email protected] ~]# cat /var/log/tcp_wrapper.log
650) this.width=650;" src="https://s5.51cto.com/wyfs02/M01/A6/5F/wKioL1nNrwagWvXYAAATh9ikA94746.png" title="QQ瀏覽器截屏未命名.png" alt="wKioL1nNrwagWvXYAAATh9ikA94746.png" />
本文出自 “12657170” 部落格,請務必保留此出處http://12667170.blog.51cto.com/12657170/1969639
tcp_wrapper知識整理