王高利：TCP Wrappers訪問(wèn)控制（hosts.allow,hosts.deny）

TCP Wrappers訪問(wèn)控制

在Linux系統(tǒng)中，許多網(wǎng)絡(luò)服務(wù)針對(duì)客戶機(jī)提供了某種訪問(wèn)控制機(jī)制，如Samba、BIND、HTTPD、OpenSSH等，而TCP Wrappers（TCP封套），以作為應(yīng)用服務(wù)與網(wǎng)絡(luò)之間的一道特殊防線，提供額外的安全保障。

在RHEL6.5中使用軟件包為tcp_wrappers-7.6-57.el6.x86_64，該軟件包提供了執(zhí)行程序tcpd和共享鏈接庫(kù)文件libwrap.so.*，對(duì)應(yīng)為TCP Wrappers保護(hù)機(jī)制的兩種實(shí)現(xiàn)方式——直接使用tcpd程序?qū)ζ渌?wù)程序進(jìn)行保護(hù)，需要運(yùn)行tcpd。由其他網(wǎng)絡(luò)服務(wù)程序調(diào)用libwrap.so.*鏈接庫(kù)，不需要運(yùn)行tcpd程序。

查看方式：

TCP Wrappers的訪問(wèn)策略：兩個(gè)文件/etc/hosts.allow和/etc/hosts.deny，分別用來(lái)設(shè)置允許和拒絕的策略。

訪問(wèn)控制的基本原則：

關(guān)于TCP Wrappers機(jī)制的訪問(wèn)策略，應(yīng)用時(shí)應(yīng)遵守以下順序和原則：首先檢查/etc/hosts.allow文件，如果找到相匹配的策略，則允許訪問(wèn)，否則繼續(xù)查找/etc/hosts.deny文件，如果找到相匹配的策略，則拒絕訪問(wèn)；如果以上倆文件中都沒(méi)有找到，則允許訪問(wèn)。

TCP Wrappers配置實(shí)例

較寬松的策略可以是“允許所有，拒絕個(gè)別”，較嚴(yán)格的策略是“允許個(gè)別，拒絕所有”。前者只需在hosts.allow文件中添加相應(yīng)的拒絕策略就可以了；后者則除了在hosts.allow中添加允許策略之外，還需要在hosts.deny文件中設(shè)置“ALL:ALL”的拒絕策略。

例如：只希望從192.168.1.2的主機(jī)或者位于192.168.1.0/24網(wǎng)段的主機(jī)訪問(wèn)sshd服務(wù)，其他地址被拒絕，可以執(zhí)行以下操作