TCP Wrappers将TCP服务程序“包裹”起来,代为坚挺TCP服务程序的端口,增加了一个安全监测过程,外联的连接请求必须先通过这层安全监测,获得许可证才能访问真正的服务程序。如图:
对于大多数Linux发行版,TCP Wrappers是默认提供的功能。CentOS 7.3使用的软件包是tcp_wrappers-7.6-77.el7.x86_64.rpm。 对应TCP Wrappers保护机制的两种实现方式: 1.直接使用tcpd程序对其他服务程序进行保护,需要运行tcpd; 2.由其他网络服务程序调用libwrap.so.*链接库,不需要运行tcpd程序。 通常,链接库方式的应用要更为广泛,也更有效率。 2)TCP Wrappers的访问策略
TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制,对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny ,分别用阿里设置允许和拒绝的策略。
1、策略配置格式 服务列表:客户机地址列表服务器程序列表,客户端地址列表之间用冒号进行分隔,在列表内的多个项之间用逗号分隔。
1)服务程序列表
2)客户端地址列表
要求:希望仅允许192.168.1.0网段的主机访问sshd服务
[root@fuwuduan ~]# vim /etc/hosts.allow sshd:192.168.1. [root@fuwuduan ~]# vim /etc/hosts.deny sshd:ALLLinux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx