Wrappers訪問控制

一TCP Wrappers概述

·概述：TCP Wrappers將其他的TCP服務程序"包裹"起來，增加了一個安全檢測過程，外來的連接請求必須先通過這層安全檢測，獲得許可后才能訪問真真的服務程序，如圖

對于大多數版本的linux來說，TCP Wrappers是默認提供的功能

·保護機制的實現方式

方式1：通過tcpd主程序對其他服務程序進行包裝

方式2：由其他服務程序調用libwrap.so.*鏈接庫

·訪問控制策略的配置文件

/etc/hosts.allow????????用來允許的策略配置文件

/etc/hosts.deny????????用來拒絕的策略配置文件

二配置訪問控制策略

打開配置文件，按以下要求的格式添加策略條目

·策略格式：服務列表:客戶機地址列表

服務列表

單個服務程序，如"vsftpd"

多個服務以逗號分隔，如"vsftpd,sshd"，

ALL 表示所有服務

客戶機地址列表

1單個IP地址，如"192.168.1.1"

2多個地址以逗號分隔，如"192.168.1.1,192.168.1.254"

3網段地址，如 192.168.4. 或者 192.168.4.0/255.255.255.0

4多個網段地址以逗號分隔，如"192.168.1.，192.168.2."

5以點開頭的區域地址，如 ".benet.com"表示這個域中的所有主機

6網段和區域可以混合表示，如"192.168.1.，.benet.com，192.168.4.1"

7允許使用通配符 ? （任意一個字符）和 *（任意字符），如"192.168.1.1?"代表（0-9）"192.168.1.1*"代表（0-255）；不能與3、5通用

8 ALL表示所有地址

·基本原則

先檢查hosts.allow，找到匹配則允許訪問

否則再檢查hosts.deny，找到則拒絕訪問

若兩個文件中均無匹配策略，則默認允許訪問

三TCP Wrappers策略應用

·寬松策略：允許所有，拒絕個別

只需在/etc/hosts.deny添加條目即可；如：禁止指定IP地址的遠程連接，允許其他所有

·嚴格策略：允許個別，拒絕所有

在/etc/hosts.allow添加允許的條目，在/etc/hosts.deny拒絕所有；如

轉載于:https://blog.51cto.com/itit0/1334753

總結

以上是生活随笔為你收集整理的2.2 Wrappers访问控制的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。