2.2 Wrappers访问控制
Wrappers訪問控制
一TCP Wrappers概述
·概述:TCP Wrappers將其他的TCP服務程序"包裹"起來,增加了一個安全檢測過程,外來的連接請求必須先通過這層安全檢測,獲得許可后才能訪問真真的服務程序,如圖
對于大多數版本的linux來說,TCP Wrappers是默認提供的功能
·保護機制的實現方式
方式1:通過tcpd主程序對其他服務程序進行包裝
方式2:由其他服務程序調用libwrap.so.*鏈接庫
·訪問控制策略的配置文件
/etc/hosts.allow????????用來允許的策略配置文件
/etc/hosts.deny????????用來拒絕的策略配置文件
二配置訪問控制策略
打開配置文件,按以下要求的格式添加策略條目
·策略格式:服務列表:客戶機地址列表
服務列表
單個服務程序,如"vsftpd"
多個服務以逗號分隔,如"vsftpd,sshd",
ALL 表示所有服務
客戶機地址列表
1單個IP地址,如"192.168.1.1"
2多個地址以逗號分隔,如"192.168.1.1,192.168.1.254"
3網段地址,如 192.168.4. 或者 192.168.4.0/255.255.255.0
4多個網段地址以逗號分隔,如"192.168.1.,192.168.2."
5以點開頭的區域地址,如 ".benet.com"表示這個域中的所有主機
6網段和區域可以混合表示,如"192.168.1.,.benet.com,192.168.4.1"
7允許使用通配符 ? (任意一個字符)和 *(任意字符),如"192.168.1.1?"代表(0-9)"192.168.1.1*"代表(0-255);不能與3、5通用
8 ALL表示所有地址
·基本原則
先檢查hosts.allow,找到匹配則允許訪問
否則再檢查hosts.deny,找到則拒絕訪問
若兩個文件中均無匹配策略,則默認允許訪問
三TCP Wrappers策略應用
·寬松策略:允許所有,拒絕個別
只需在/etc/hosts.deny添加條目即可;如:禁止指定IP地址的遠程連接,允許其他所有
·嚴格策略:允許個別,拒絕所有
在/etc/hosts.allow添加允許的條目,在/etc/hosts.deny拒絕所有;如
轉載于:https://blog.51cto.com/itit0/1334753
總結
以上是生活随笔為你收集整理的2.2 Wrappers访问控制的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: HDU 1536 求解SG函数
- 下一篇: js 图形化工作流设计器