一. 简介

tcp_wrapper:tcp包装器, 工作于库中的.

  • 访问控制 工具/组件 : 传输层 和 接近于应用层;
  • 仅对使用tcp协议且在开发时调用了libwrap相关的服务程序有效.

二. 判断服务是否能够由tcp_wrapper进行访问控制:

  • 动态编译:ldd命 令查看其链接至的库文件即可;

    $ ldd `which sshd` | grep libwrap

  • 静态编译:strings 命令查看其结果中是否包含

    hosts.allow
hosts.deny

三. 配置文件

tcp_wrapper通过读取配置文件中的访问控制规则来判断某服务是否可被访问

hosts.allow : 先检查, 匹配放行, 则放行; 没有匹配规则, 则使用 hosts.deny
hosts.deny  : 后检测. 有匹配则拒绝, 没有匹配则, 放行.

注意

  • 默认规则 是放行.
  • 发生修改后立即生效.

  • 白名单:

    hosts.allow 放行 白名单.
hosts.deny 拒绝所有.

四. 配置文件语法:

daemon_list: client_list [:options]

    daemon_list :
        应用程序的文件名称,而非服务名;
        应用程序的文件列表,使用逗号分隔;
            例如:vsftpd, in.telnetd: 172.16.0.0/255.255.0.0
        ALL: 所有受tcp_wrapper控制的应用程序;

    client_list:
        IP地址 ;
        主机名 ;

        网络地址 :必须使用完整格式掩码,不能使用长度格式的掩码;所以172.16.0.0/16是不合法的;
        简短格式的网络地址 :172.16. 表示172.16.0.0/255.255.0.0

        ALL : 所有客户端地址;

        KNOWN : 所有已知的主机, 即主机名可以被解析的.
        UNKNOWN :主机名不能被解析的
        PARANOID : 正向解析和反向解析不一致的主机.

    特殊的变量 :EXCEPT
        in.telnetd: 172.16. EXCEPT 172.16.100.3

    [:options]
        deny: 用于在hosts.allow文件中实现拒绝访问的规则
        allow:用于在hosts.deny文件中实现允许访问的规则
        spawn: 启动一个额外程序;
            in.telnetd: ALL: spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/telnet.log  # man hosts.allow

示例
控制vsftpd仅允许172.16.0.0/255.255.0.0网络中的主机访问,但172.16.100.3除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中;

$ cat hosts.allow:
    vsftpd: 172.16. EXCEPT 172.16.100.3

$ cat hosts.deny:
    vsftpd: ALL : spawn /bin/echo       # 并非所有都会记录. 如 172.16.100.3

tcp_wrapper 总结的更多相关文章

  1. tcp_wrapper

    介绍 对基于tcp协议开发并提供服务的应用程序,所提供的一层访问控制工具 基于库调用实现其功能 * 库名:libwrap 判断服务是否能够由tcp_wrapper进行访问控制 1. 动态编译 ldd命 ...

  2. 6、tcp_wrapper

    iptables的链接跟踪表最大容量为/proc/sys/net/ipv4/ip_conntrack_max,链接碰到各种状态的超时后就会从表中删除. 所以解決方法一般有两个: (1) 加大 ip_c ...

  3. 对inetd、xinetd与TCP_Wrapper的基本了解

    在Linux系统中有一个特殊的守护进程inetd(InterNET services Daemon),它用于Internet标准服务,通常在系统启动时启动.通过命令行可以给出inetd的配置文件,该配 ...

  4. iptables (二) nat & tcp_wrapper

    一.nat 之前网络防火墙的示例中,如果内网是私网地址,那么内网主机如何与外网通信呢? 这时候,iptables要实现内网和外网通信,有两种方式: nat: Network Address Trans ...

  5. tcp_wrapper过滤

    1.1 wrap简介 wrap工作在内核空间和应用程序中间的库层次中.在内核接受到数据包准备传送到用户空间时都会经过库层次,对于部分(只是部分)应用程序会在经过库层次时会被wrap库文件阻挡下来检查一 ...

  6. Linux服务器安全配置

    众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节.Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Int ...

  7. LINUX安全加固规范

    1 概述 近几年来Internet变得更加不安全了.网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏.截取和修改的风险也在增加. 只要有值得偷窃的东西就会有想办法窃取它的人 ...

  8. linux命令行netstat总结

    1.所谓的监听就是某个服务程序会一直常驻在内存中,所以该程序启动的Port就会一直存在. 2.在小于1023的端口,都是需要以root身份才能够启动的. 3.大于1024以上的Port主要是作为cli ...

  9. linux学习之-vsftp

    一.简介 vsftp是一个基于GPL发布的类unix系统上使用的ftp服务器软件,它的全称是very secure FTP ,软件的编写初衷是为了代码的安全,另外高速与高稳定性也是vsftp的两个重要 ...

随机推荐

  1. React学习(一)父子组件通讯

    React父子组件之间通讯,利用props和state完成,首先React是单向数据流,父组件可以向子组件传递props: 实现父子组件双向数据流整体的思路是: 1,父组件可以向子组件传递props, ...

  2. 如何自建appender扩展Log4j框架

    1.log4j 概述 log4j 环境包括三个主要组件: logger(日志记录器):控制要启用或禁用哪些日志记录语句.可以对日志记录器指定如下级别: ALL . DEBUG . INFO . WAR ...

  3. sfdfssd

    [TOC] Disabled options TeX (Based on KaTeX); Emoji; Task lists; HTML tags decode; Flowchart and Sequ ...

  4. OC—Setter、Getter

    一.本篇以Setter和Getter 来进行成员变量的赋值. 二.Setter 与 Getter 1. 命名规范 为对象中的某个实例变量赋值的方法称为修改方法,用来修改对象的状态这类修改方法称为set ...

  5. 华硕 F1A55-M LX3系列跳线图

    天啊,第一次遇到这么变态的主板跳线...浪费我好久时间找到这跳线图

  6. SpringAOP原理

    原理 AOP(Aspect Oriented Programming),也就是面向方面编程的技术.AOP基于IoC基础,是对OOP的有益补充.AOP将应用系统分为两部分,核心业务逻辑(Core bus ...

  7. 使用nodejs爬前程无忧前端技能排行(半半成品)

    最近准备换工作,需要更新一下技能树.为做到有的放矢,想对招聘方的要求做个统计.正好之前了解过nodejs,所以做了个爬虫搜索数据. 具体步骤: 1.  先用fiddler分析请求需要的header和b ...

  8. html学习笔记 - table表格

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  9. MacBook使用之配置jdk&Eclipse

    查看系统版本:关于本机-软件-查看当前版本信息 打开另一个Finder的快捷键:Command + n 终端命令:Finder - 使用工具 - 终端命令 配置jdk系统变量: cd ~ touch ...

  10. Android stdio打开特定网页

    博主懒不想打字,直接上程序 package com.example.testopen;   import android.app.Activity; import android.os.Bundle; ...