TCP Wrappers概述

保护原理

保护机制的实现方式

方式1：通过tcpd程序对其他服务程序进行包装
方式2：由其他服务程序调用libwrap.so.*链接库

访问控制策略的配置文件

[root@localhost .ssh]# which ssh
/usr/bin/ssh
[root@localhost .ssh]# which sshd
/usr/sbin/sshd
[root@localhost .ssh]# ldd /usr/sbin/sshd | grep libwrap
	libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f743713a000)
[root@localhost .ssh]# ldd /usr/sbin/sshd

[root@localhost .ssh]# vim /etc/hosts.deny

[root@localhost .ssh]# vim /etc/hosts.allow

TCP Wrappers策略应用

设置访问控制策略

策略格式：访问程序列表：客户端地址列表

服务程序列表

多个服务以逗号分隔，ALL表示所有服务

客户端地址列表

多个地址以逗号分隔，ALL表示所有地址
允许使用通配符？和*
网段地址，如192.168.4.或者192.168.4.0/255.255.255.0
区域地址，如 .benet.com

策略的应用顺序

检查hosts。allow，找到匹配则允许访问
再检查host.deny，找到则拒绝访问
若两个文件中均无匹配策略，则默认允许访问

策略应用实例

仅允许从以下地址访问sshd服务
主机61.63.65.67
网段192.168.2.0/24
禁止其他所有地址访问受保护的服务