【TCP_Wrappers】卧疾丰暇豫,翰墨时间作。这篇文章主要讲述TCP_Wrappers相关的知识,希望能为你提供帮助。
TCP_Wrappers 介绍
作者:Wieste Venema ,IBM ,Google工作在第四层(传输层)的TCP 协议对有状态连接的特定服务进行安全检测并实现访问控制以库文件形式实现某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap 进行编译的判断服务程序是否能够由tcp_wrapper进行访问控制的方法:
ldd /PATH/TO/PROGRAM|grep libwrap.so
strings PATH/TO/PROGRAM|grep libwrap.so
TCP_Wrappers 的配置
配置文件:/etc/hosts.allow, /etc/hosts.deny帮助参考:man 5 hosts_access ,man 5 hosts_options检查顺序:hosts.allow ,hosts.deny,( 默认 允许)
注意:一旦前面规则匹配,直接生效,将不再继续基本语法:
[email
protected]: client_list [ :options :option… ][email
protected] 格式
单个应用程序的二进制文件名,而非服务名 , 例如vsftpd
以逗号或空格分隔的应用程序文件名列表 ,如:sshd,vsftpd
ALL 表示所有接受tcp_wrapper 控制的服务程序
主机有多个IP ,可用@hostIP 来实现控制
如:[email
protected]客户端Client_list 格式
以逗号或空格分隔的客户端列表
基于IP地址:192.168.10.1192.168.1.
基于主机名:www.magedu.com .magedu.com 较少用
基于网络/掩码:192.168.0.0/255.255.255.0
基于net/prefixlen: 192.168.1.0/24 (CentOS7)
基于网络组(NIS域):@mynetwork
内置ACL :ALL ,LOCAL ,KNOWN ,UNKNOWN, PARANOIDEXCEPT(除了)用法 :
示例: vsftpd: 172.16. EXCEPT 172.16.100.0/24 EXCEPT172.16.100.1示例
只允许192.168.1.0/24 的主机访问sshd
/etc/hosts.allow
sshd: 192.168.1.
/etc/hosts.deny
sshd :ALL
只允许192.168.1.0/24 的主机访问telnet 和vsftpd服务
/etc/hosts.allow
vsftpd,in.telnetd: 192.168.1.
/etc/host.deny
vsftpd,in.telnetd: ALL
TCP_Wrappers 的使用
[:options] 选项:
帮助:man 5 hosts_options
deny:主要用在/etc/hosts.allow 定义“拒绝”规则
如:vsftpd: 172.16. :deny
allow:主要用在/etc/hosts.deny 定义 “允许” 规则
如:vsftpd:172.16. :allow
spawn:启动一个外部程序完成执行的操作
twist:实际动作是拒绝访问, 使用指定的操作替换当前服务, 标准I/O 和ERROR 发送到客户端, 默认至/dev/null测试工具:
tcpdmatch [-d] daemon[@host] client
-d测试当前目录下的hosts.allow 和hosts.deny
推荐阅读
- 自己定义Android Dialog
- maven搭建webapp开发环境
- app专项测试之启动时间
- Mapper的使用
- 11款最佳活动管理软件下载推荐合集(哪款最适合你())
- Win10删除文件提示:请关闭该文件夹或文件,然后重试 如何处理?
- Win10系统如何禁用自动清理图片缓存?
- Win10系统提示不是有效果的win32应用程序怎样办?
- Win10系统激活失败提示出错0x803f7001怎样处理?