简单介绍
TCP Wrappers将TCP服务程序“包裹"起来,代为监听TCP服务程序的端口,增加了一个安全监测的过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序。
保护机制的实现方式
方式1:通过tcpd主程序对其他服务程序进行包装
方式2:由其他服务程序调用libwrap.so.*链接库
访问控制策略的配置文件
/etc/hosts .allow #允许
/etc/hosts .deny #拒绝
流程图
由此可见,/etc/hosts. allow文件的优先级更高,若同一IP地址即出现在hosts allow中,也存在与hosts. deny中,则该IP地址的访问请求将被接受
服务列表:客户机地址列表
通配符?介绍
每个?表示1位任意数字。
192.168.1.1?表示192.168.1.10~192.168.1.19
192.168.1.1??表示192.168.100~192.168.1.199
通配符*:表示任意位数,也可为空。
如192. 168.1.1*表示192.168.1.1、192.168.1.10~192.168.1.19、192.168. 1.100~192.168.1.199
配置示例
实验要求:仅允许IP地址为192. 168.200. 100~192.168.200. 199的主机访问sshd服务,禁止其他所有地址的访问。
[root@localhost ~]# vim /etc/hosts.allow
sshd:192.168.200.1??
[root@localhost ~]# vim /etc/hosts .deny
sshd:ALL