快速业务通道

linux访问控制之TCP Wrappers

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-03-28

TCP Warppers的访问控制机制:所有受xinetd服务管理的服务和一部分独立服务

判断某个服务是否支持TCP Wrappers的两个方法:
1、使用ldd $(which sshd)服务名,如果这个服务依赖于libwrap.so.0这个库文件,这个服务就支持TCP Wrappers
2、使用strings $(which sshd)服务名,如果可以看到/etc/hosts.{allow,deny},这个服务就支持TCP Wrappers
TCP Wrappers先检查/etc/hosts.allow文件,后检查/etc/hosts.deny文件,默认的策略是允许
TCP Wrappers访问控制的书写格式:daemon_list:client_list[:options]
daemon_list的形式:
1) vsftpd 单个服务
2) vsftpd,sshd 一组服务列表
3) ALL 所有服务
4) vsftpd@192.168.1.1 某个接口上的某种服务
client_list的形式:
1) 192.168.1.1 单个IP
2) 192.168.1.0/255.255.255.0 只能使用长格式
3) 172.16. 某个网段可以省略0
4) FQDN格式的主机名
5) .example.com 某个域内的所有主机
6) ALL 所有主机
7) LOCAL,KNOWN,UNKNOWN,PARANOID(正反向解析不匹配)
8) ALL EXCEPT 192.168.1.1
options的形式:常用于记录日志(日志中不能有":"出现,":"在文件里是有特殊意义)
severity/spawn/twist
1)daemon_list: client_list : severity local0.alert(这里是syslog级别) 记录日志的级别,写入syslog里面
2)daemon_list: client_list : spawn /bin/echo `/bin/date` from %h>>/var/daemon_list.log :allow/deny 可以在本地自定义记录日志和日志记录的位置
这里可以使用一些TCP Wrappers的扩展定义
%a-返回客户端的IP地址,%A-返回服务器的IP地址,%d返回进程名等,具体可以查看 man 5 hosts_access
3)daemon_list: client_list : twist /bin/echo "显示内容" 传达给客户端的,twist只能用在,后面不能再跟allow/deny
在允许中拒绝写在hosts.allow文件中:daemon_list: client_list : deny
在拒绝中允许写在hosts.deny文件中:daemon_list: client_list : allow

本文出自 “成长全记录” 博客,请务必保留此出处http://lymrg.blog.51cto.com/1551327/647904

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号