“包袱”保護原理
保護機制的實現方式
方式1:通過tcpd主程序對其他服務程序進行包裝
方式2:由其他服務程序調用libwrap.so.*鏈接庫
訪問控制策略的配置文件
/etc/hosts.allow
/etc/hosts.deny
設置訪問控制策略
策略格式:服務列表:客戶機地址列表
服務列表 ——
多個服務以逗號分隔,ALL 表示所有服務
客戶機地址列表
多個地址以逗號分隔,ALL表示所有地址
允許使用通配符 ? 和 *
網段地址,如 192.168.4. 或者 192.168.4.0/255.255.255.0
區域地址,如 .steven.com
策略的應用順序
先檢查hosts.allow,找到匹配則允許訪問
否則再檢查hosts.deny,找到則拒絕訪問
若兩個文件中均無匹配策略,則默認允許訪問
策略應用示例
僅允許從以下地址訪問sshd服務
主機61.63.65.67
網段192.168.2.0/24
禁止其他所有地址訪問受保護的服務
[root@steven ~]# vi /etc/hosts.allow sshd:61.63.65.67,192.168.2.* [root@steven ~]# vi /etc/hosts.deny sshd:ALL