inetd程序在系統中是作為一個服務進程出現，它監聽許多端口并且在得到客戶請求時啟動這個端口的服務程序。 早期系統中使用的inetd被稱作超級服務器，其實現控制對主機網絡連接。當一個請求到達由inetd管理的服務端口，inetd將該請求轉發給名為 tcpd的程序。tcpd根據配置文件host.｛allow，deny｝來判斷是否允許服務該請求,如果請求被允許剛相應的服務器程序(如：ftpd、 telnet)將被啟動。這個機制也被稱為TCP_Wrapper。 xinetd（eXended Internet services Daemon）提供類似于inetd+tcp_wrapper的功能，但是更加強大和安全。已經逐漸取代了inetd，并且提供了訪問控制、加強的日志和資源管理功能，成了Linux系統的Internet標準超級守護進程。很多系統服務都用到了xinetd如：FTP、IMAP、POP和telnet等。/etc/services中所有的服務通過他們的端口來訪問服務器的時候，先由xinetd來處理，在喚起服務請求之前，xinetd先檢驗請求者是否滿足配置文件中指定的訪問控制規則，當前的訪問是否超過了指定的同時訪問數目，還有配置文件中指定的其他規則等，檢查通過，xinetd將這個請求交付到相應的服務去處理，自己就進入sleep狀態，等待下一個請求的處理。 以telnet為例，每當有telnet的連接請求時，tcpd即會截獲請求，先讀取系統管理員所設置的訪問控制文件，合乎要求，則會把這次連接原封不動的轉給真正的telnet進程，由telnet完成后續工作；如果這次連接發起的ip不符合訪問控制文件中的設置，則會中斷連接請求，拒絕提供telnet服務。 #ldd $(which Command) | grep wrap "查看是否支持TCP Wrapper的服務" [root@rhel6 ~]# ldd `which vsftpd` | grep wrap libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f58c2cdd000) ? ?"有返回值則表示支持TCP_Wrapper" [root@rhel6 ~]# ldd `which sshd` | grep wrap ? libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fdbbc848000) ·????配置文件 TCP_Wrappers的主要配置文件為：/etc/hosts.allow和/etc/hosts.deny。 /usr/sbin/tcpd進程首先檢查/etc/hosts.allow，如果請求訪問的主機名或IP包含在此文件中，則允許訪問。 如果請求訪問的主機名或IP不包含在/etc/hosts.allow中，那么tcpd進程就檢查/etc/hosts.deny。如果請求訪問的主機名或IP包含在hosts.deny文件中，則訪問就被拒絕； 如果都沒有，默認許可 ·????訪問控制規則的格式 訪問控制需要加在/etc/hosts.allow和/etc/hosts.deny里，規則格式如下： ? ? ? ?<daemon list>:<client list>[:<option>:<option>:...] ? ? ?daemon list ? ? ? ?服務進程名列表，如telnet的服務進程名為in.telnetd ? ? ?client list ? ? ? ? ? ?訪問控制的客戶端列表，可以寫域名、主機名或網段，如.example.com或者192.168.1. ??? ?option ? ? ? ? ? ? ??可選選項，這里可以是某些命令，也可以是指定的日志文件

[root@rhel6?~]#?cat?/etc/hosts.allow??

#?

#?hosts.allow???This?file?contains?access?rules?which?are?used?to?

#???????????????allow?or?deny?connections?to?network?services?that?

#???????????????either?use?the?tcp_wrappers?library?or?that?have?been?

#???????????????started?through?a?tcp_wrappers-enabled?xinetd.?

#?

#???????????????See?'man?5?hosts_options'?and?'man?5?hosts_access'?

#???????????????for?information?on?rule?syntax.?

#???????????????See?'man?tcpd'?for?information?on?tcp_wrappers?

in.telnetd:.xfcy.org?

vsftpd:192.168.0.?

sshd:192.168.0.0/255.255.255.0?

?

[root@rhel6?~]#?cat?/etc/hosts.deny??

#?

#?hosts.deny????This?file?contains?access?rules?which?are?used?to?

#???????????????deny?connections?to?network?services?that?either?use?

#???????????????the?tcp_wrappers?library?or?that?have?been?

#???????????????started?through?a?tcp_wrappers-enabled?xinetd.?

#?

#???????????????The?rules?in?this?file?can?also?be?set?up?in?

#???????????????/etc/hosts.allow?with?a?'deny'?option?instead.?

#?

#???????????????See?'man?5?hosts_options'?and?'man?5?hosts_access'?

#???????????????for?information?on?rule?syntax.?

#???????????????See?'man?tcpd'?for?information?on?tcp_wrappers?

#?

ALL:ALL?

?

/etc/hosts.deny里的ALL：ALL表示，除非在/etc/hosts.allow里明確允許訪問，否則一律拒絕?

/etc/hosts.allow里第一行in.telnetd:.xfcy.org表示，只有xfcy.org這個域里的主機允許訪問telnet服務，注意xfcy.org前面的那個點(.)?

/etc/hosts.allow里第二行表示，只有192.168.0這個網段的用戶允許訪問FTP服務，注意0后面的點(.)?

/etc/hosts.allow里第三行表示，只有192.168.0這個網段的用戶允許訪問SSH服務，注意這里不能寫為192.168.0.0/24?

? ? ? 本文轉自Vnimos51CTO博客，原文鏈接：http://blog.51cto.com/vnimos/1177594，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的Linux下的TCP Wrapper机制的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。