Centos中TCPWrappers访问控制实现

作者:俊伟祺i 时间:2023-08-31 12:58:54 

一、TCP Wrappers概述

TCP Wrappers将TCP服务程序“包裹”起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序,如下图所示,TCP Wrappers还可以记录所有企图访问被保护服务的行为,为管理员提供丰富的安全分析资料。

Centos中TCPWrappers访问控制实现

二、TCP Wrappers的访问策略

TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略。

1、策略的配置格式

两个策略文件的作用相反,但配置记录的格式相同,如下所示:
<服务程序列表>: <客户端地址列表>

服务程序列表、客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。

1)服务程序列表

  • ALL:代表所有的服务;

  • 单个服务程序:如“vsftpd”;

  • 多个服务程序组成的列表:如“vsftpd.sshd”;

2)客户端地址列表

  • ALL:代表任何客户端地址;

  • LOCAL:代表本机地址;

  • 单个IP地址:如“192.1668.10.1”;

  • 网段地址:如“192.168.10.0/255.255.255.0”;

  • 以“.”开始的域名:如“benet.com”匹配benet.com域中的所有主机;

  • 以“.”结束的网络地址:如“192.168.10.”匹配整个192.168.10.0/24网段;

  • 嵌入通配符“”“?”:前者代表任意长度字符,后者仅代表一个字符,如“192.168.10.1”匹配以192.168.10.1开头的所有IP地址。不可与以“.”开始或结束的模式混用;

  • 多个客户端地址组成的列表:如“192.168.1. ,172.16.16. ,.benet.com”;

2、访问控制的基本原则

关于TCP Wrappers机制的访问策略,应用时遵循以下顺序和原则:首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问;否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略,则允许访问。

3、TCP Wrappers配置实例

实际使用TCP Wrappers机制时,较宽松的策略可以是“允许所有,拒绝个别”,较严格的策略是“允许个别,拒绝所有”。前者只需要在hosts.deny文件中添加相应的拒绝策略就可以了;后者则除了在host.allow中添加允许策略之外,还需要在hosts.deny文件中设置“ALL:ALL”的拒绝策略。

示例如下:

现在只希望从IP地址为192.168.10.1的主机或者位于172.16.16网段的主机访问sshd服务,其他地址被拒绝,可以执行以下操作:


[root@centos01 ~]# vim /etc/hosts.allow
sshd:192.168.10.1 172.16.16.*
[root@centos01 ~]# vim /etc/hosts.deny
sshd:ALL

来源:https://blog.51cto.com/14156658/2450107

标签:Centos,TCPWrappers,访问控制
0
投稿

猜你喜欢

  • 怎样学好搜索引擎优化SEO?

    2009-02-24 08:51:00
  • 建站半年:我是如何使流量飙升的

    2009-03-11 17:05:00
  • SpiffBox.com:用户可赚钱的SNS社交网站

    2009-10-15 09:25:00
  • IIS7在Windows Server 2008R2的新改进

    2009-01-14 11:02:00
  • 腾讯启用QQ群等级 特权阶层将越来越多

    2009-11-11 09:30:00
  • VMware Workstation 12 Pro安装linux教程

    2022-04-18 12:49:50
  • Ubuntu18.04.2下安装 RTX2080 Nvidia显卡驱动的方法

    2021-11-14 08:08:12
  • 文化部称仍在审查魔兽新片《巫妖王之怒》

    2009-10-31 17:07:00
  • 不登陆QQ 做个html文件查看好友在线状态

    2008-01-19 13:48:00
  • 浅谈Linux优化及安全配置的个人体会

    2009-02-10 17:56:00
  • 新手必读:多家广告联盟的巧组合

    2009-06-02 08:29:00
  • LAMP网站架构方案分析

    2009-08-30 15:40:00
  • 做站多年感悟出一个成功站长10个必备要点

    2008-12-22 12:39:00
  • 网站迁移 谷歌网站管理员教给你的最佳方法

    2009-01-23 14:01:00
  • 703公交车上的SEO启发

    2009-02-13 11:13:00
  • Adsense这个月会向我付款吗?

    2008-01-09 13:04:00
  • 在中国做个人站长最重要的一点

    2008-01-15 08:54:00
  • 深入理解mysql帮助命令(help)

    2023-06-28 18:16:41
  • Ubuntu中添加应用程序快速启动器的方法

    2023-10-16 21:10:33
  • Linux操作系统如何释放cache内存

    2009-09-20 20:18:00
  • asp之家 网站运营 m.aspxhome.com