tcp_wrappers是linux中一個安全機制,在某些條件下,一定程度上限制某種服務的訪問權限,達到了保護系統的目的。接下來我們來簡單介紹一下tcp-wrapers
《一》:首先檢查某種服務是否受tcp_wrappers 管理
ldd `which sshd` grep | libwrap
如果有這個鏈接,說面某個服務接受tcp_wrappers管理
《二》:與tcp_wrappers相關的文件有
/etc/hosts.allow
/etc/hosts.deny
《三》:工作原理
(1):當有請求從遠程到達本機的時候
首先檢查/etc/hosts.allow 如果在其中能夠匹配的到,那麼就默認允許訪問
跳過 /etc/hosts.deny這個文件
(2):當在/etc/hosts.allow中沒有匹配到的時候,就匹配/etc/hosts.deny 文件
如果能在/etc/hosts/deny中匹配的到
那麼就拒絕這個訪問
(3):如果在這兩個文件中,都沒有匹配到
那麼,默認是允許訪問的
《四》:這兩個文件格式
服務列表 :地址列表 :選項
A. 服務列表格式:如果有多個服務,那麼就用逗號隔開
B. 地址列表格式:
(1):標准IP地址:例如:192.168.0.254,192.168.0.56如果多於一個用,隔開
(2):主機名稱:例如:www.baidu.com
.example.con匹配整個域
(3):利用掩碼:192.168.0.0/255.255.255.0指定整個網段
(4):網絡名稱:例如 @mynetwork
C. 選項:
主要有allow 和 deny 這兩個選項
D. 其它的特定格式
ALL :指代所有主機
LOCAL :指代本地主機
KNOWN :能夠解析的
UNKNOWN :不能解析的
PARANOID :
《五》:擴展選項:
spawn : 執行某個命令
vsftpd : spawn echo “login attempt from %c”to %s” | mail –s warning root
twist : 中斷命令的執行:
vsftpd : twist echo “login attempt from %c to %s ” | mail –s waring root
《六》:一個例子
在/etc/hosts.allow文件中指定下面的內容
vsftpd: 192.168.0.
in.telnetd, protmap: 192.168.0.8
在/etc/hosts.deny中指定一下文件
ALL: .cracker.org EXCEPT trusted.cracker.org
vsftpd,protmap: ALL
sshd: 192.168.0. EXCEPT 192.168.0.4
