标签：Wrappers 服务程序 sshd 192.168 地址 TCP Linux

目录

• 1、TCP Wrappers简介
• 2、TCP_Wrappers的特点
• 3、TCP原理流程图
• 4、TCP_Wrappers访问策略
• 5、TCP_Wrappers配置实例

---

1、TCP Wrappers简介

TCP_Wrappers是Linux中的一个安全机制【TCP Wrappers防火墙】也可以成为访问控制，一定程度上达到了保护系统的目的，相当于我们手机的黑名单和白名单，对访问我们服务器的用户进行设置和管理。

TCP_Wrappers是一个工作在第4层（传输层）的安全工具，对有状态及特定服务进行安全检测并实现访问控制，凡是包含有libwrao.so库文件的程序就可以受tcp wrappers的管理。它的主要功能就是控制谁可以访问。

TCP_Wrappers（tcp封套，以作为应用服务与网络之间的一道特殊防线提供额外的安全保障，TCP_Wrappers将TCP服务程序“包裹”起来，代为监听TCP服务的程序，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得允许后才能访问真正的服务程序。常见的程序有：rpcbind、vsftpd、sshd、telnet

2、TCP_Wrappers的特点

1）：它工作在第四层（传输层），可以根据设定的策略对客户端访问的服务程序对限制。
2）：它对有状态连接的特定服务进行安全检查，以库文件的形式实现访问控制。
3）：某一进程是否接受TCP_Wrappers的控制，取决于它在编译的时候是否对libwrap库进行了编译。

3、TCP原理流程图

大多数Linux发行版，TCP_Wrappers是默认提供的功能。在CentOS7.5中使用的软件是使用tcp_wrappers-libs-7.6-77.el7.x86_64,该软件包提供了执行程序tcpd和共享链接库文件libwrap.so.*对应TCP_Wrappers保护机制的两种方式。
1)：直接使用tcpd程序对其服务程序进行保护，需要允许tcpd。
2)：有其他网络服务程序调用libwrap.so链接库，不需要允许tcpd程序。如果要查看每个程序是否受TCP_Wrappers管理可以使用ldd命令查看每个程序的共享库，ldd /usr/sbin/sshd | grep libwrap

4、TCP_Wrappers访问策略

相关控制文件：/etc/hosts.allow(允许文件)、 /etc/hosts.deny(拒绝文件)

1）：策略的配置格式
<服务程序列表>：<客户端地址列表>

服务程序列表

ALL：代表所有服务。
单个服务程序：如；vsftpd
多个服务程序组成的列表：如；vsftpd、ssh、http多个程序使用都好分割。

客户端地址列表

ALL：代表所有地址。
LOCAL：代表本机地址。
单个IP地址：如；192.168.8.5
网段地址：如192.168.4.0/255.255.255.0
以“ . ”开始的域名：如“bdqn.com”匹配bdqn.com域中所有主机。
以“ . ”结尾的网络地址：如“192.168.4.”匹配整个192.168.4.0/24网段
嵌入通配符“ * ”“ ？ “：前者代表任意长度字符，后者仅代表一个字符，如“10.0.8.2*“匹配以10.0.8.2开头的所有ip地址。不可与以” . “开启或结束的模式混用。
多个客户端地址组成的列表：如“192.168.1.，192.168.16.，.bdqn.com

5、TCP_Wrappers配置实例

例：只希望从ip地址为61.63.65.67的主机或者位于192.168.2.0/24网段的主机访问呢sshd服务，其他地址被拒绝。

[root@localhost ~]# vim /etc/hosts.allow
sshd:61.63.65.67,192.168.2.*

[root@localhost ~]# vim /etc/hosts.deny
sshd:ALL

从其他主机上ssh远程这台服务器测试是否会拒绝连接。
这里服务器地址是192.168.8.5，测试机器地址为192.168.8.254

直接提示连接重置也就是连接不上。

标签：Wrappers,服务程序,sshd,192.168,地址,TCP,Linux
来源： https://blog.csdn.net/liangluasdasda/article/details/118227140

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。