Linux 中 TCP Wrappers 访问控制

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux 中 TCP Wrappers 访问控制相关的知识,希望对你有一定的参考价值。

TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow/etc/hosts.deny,分别用来设置允许和拒绝的策略。

两个策略文件的作用相反,但配置记录的格式一样:

<服务程序列表>:<客户端地址列表>
服务程序列表和客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。

1、服务程序列表:

  • ALL:代表所有服务。
  • 单个服务程序:如“dhcpd”
  • 多个服务程序组成的列表:如“named,sshd”。

2、客户端地址列表:

  • ALL:代表任何客户端地址。
  • LOCAL:代表本机地址。
  • 单个IP地址:如“192.168.1.1”
  • 网络段地址:如“192.168.1.0/255.255.255.0”
  • 技术图片

关于TCP Wrappers机制的访问策略如下:首先检查 /etc/hosts.allow 文件,如果找到相匹配的策略,则允许访问;否则继续查找/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问,如果这两个文件中都没有找到相匹配的策略,则允许访问,这点倒是和网络设备上的ACL策略不同。

举个栗子:

现在只希望从IP地址为61.63.65.67的主机或者位于192.168.2.0/24网段的主机访问sshd服务,其他地址被拒绝,可以执行以下操作:

[[email protected] ~]# vim /etc/hosts.allow 
sshd:61.63.65.67,192.168.2.
[[email protected] ~]# vim /etc/hosts.deny 
sshd:ALL

以上是关于Linux 中 TCP Wrappers 访问控制的主要内容,如果未能解决你的问题,请参考以下文章

wrappers访问控制与Linux的YUM仓库

TCP_Wrappers 基于TCP的安全控制

linux的安全--Selinux,tcp_wrappers,iptables使用

Linux网络之远程访问和控制(SSH和TCP Wrappers)

TCP-Wrappers访问控制

远程访问以及控制(2/2)+实验:TCP Wrappers的控制策略