基于IP的访问控制机制
1、基于IP的访问机制是整个系统的第一道防线;
2、iptables是Linux内核提供的一个包过滤机制(Netfilter),它的效率不错(在内核中实现),而且很容易配置(红帽预置了一些可用chain在里面,如RH-Firewall-1-INPUT);
3、tcpwrapper中不能直接执行cmd(必须使用spawn或twist)的原因是RH编译tcpwrapper时开启了-DPROCESS_OPTIONS;
4、tcpwrapper中当allow与deny冲突时,以allow为准(hosts.allow和hosts.deny里面都可以写allow和deny的规则);
5、各种服务的banner(欢迎信息)在目录/var/banners中;
6、xinetd可以帮它托管的服务做访问控制,可以控制访问时段、同时连接数,甚至可以做成一个陷阱(当用户连接他不该连接的端口时封掉他的IP一段时间);
7、整个访问控制的流程:
a> 首先会被送到内核里检验netfilter/iptables的检验;
b> 如果应用程序包含了libwrap,则接受tcpwrapper的检验;
c> 如果是xinetd托管的服务,则检查xinetd的tcpwrapper规则和xinetd的策略;
d> 最后接受应用程序本身的检验。