TCP_Wrappers

简介

TCP_Wrappers是一个工作在第四层（传输层）的的安全工具，对有状态连接的特定服务进行安全检测并实现访问控制，凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问，常见的程序有rpcbind、vsftpd、sshd，telnet。

工作原理

TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例，每当有ssh的连接请求时，tcpd即会截获请求，先读取系统管理员所设置的访问控制文件，符合要求，则会把这次连接原封不动的转给真正的ssh进程，由ssh完成后续工作；如果这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求，拒绝提供ssh服务。

TCP_Wrappers的使用

TCP_Wrappers的使用主要是依靠两个配置文件/etc/hosts.allow, /etc/hosts.deny，用于拒绝和接受具有TCP_Wrappers控制全的程序，详细信息具体可以查看man帮助，这里我们就做简单的演示和使用（man 5 hosts_access， man 5 hosts_options）

要说明的是当我们启动一个受控制的软件的时候，比如ssh，

不过在刚开始的时候，/etc/hosts.allow，/etc/hosts.deny什么都没有添加，此时没有限制，是都可以连接的，现在我们来说如何设置，禁止和允许连接，配置文件格式遵循如下规则：

daemon_list@host: client_list [:options :option…]

daemon_list： 是程序的列表，可以是多个，是多个时，使用，隔开

@host：可以没有，是我们的限制的网卡访问接口（自己的），设置允许或禁止他人从自己的那个网口进入。这一项不写，就代表全部。

client_list：是访问者的地址，如果需要控制的用户较多，可以使用空格或，隔开，格式如下：

基于IP地址： 192.168.10.1 192.168.1.

基于主机名： www.magedu.com .magedu.com 较少用

基于网络/掩码： 192.168.0.0/255.255.255.0

内置ACL： ALL， LOCAL， KNOWN， UNKNOWN，PARANOID
ALL：所有主机
LOCAL：本地主机
KNOWN：主机名可解析成ip的
UNKNOWN：主机名无法解析成IP的
PARANOID：正向解析与反向解析不对应的主机

EXCEPT                反向选择

只能针对服务程序和主机地址进行访问控制策略的设置，而不能指定网络解析和其他属性。

Iptables---------> tcp_wrappers--------> service

两个控制文件   

/etc/hosts.allow    定义允许的访问

/etc/hosts.deny                定义拒绝的访问

特点：配置改变，立即生效

tcp_wrappers的访问控制判断顺序

/etc/hosts.allow--->/etc/hosts.deny-->允许所有

案例一：

在A服务器上/etc/hosts.deny中写入如下内容：

sshd:192.168.40.132

在B服务器上通过ssh命令来远程登陆A服务器，已经没有响应

在A服务器上删除该条目后，B服务器即可正常登陆A服务器

案例二：

在A服务器上/etc/hosts.deny中写入如下内容：

sshd:192.168.40.132 EXCEPT 192.168.40.132

----------------------------不管怎样允许在前

B服务器上可以使用ssh命令来远程登陆A服务器

案例三：

清空A服务器上的/etc/hosts.deny中的内容

然后在/etc/hosts.allow中写入如下内容：

sshd:192.168.40. EXCEPT 192.168.40.132

----------------------------不管怎样允许在前

在B服务器上查看是否可以ssh到A服务器？

可以登录。

因为hosts.allow文件中没有定义的时候是要查看hosts.deny文件的，如果该文件也没有定义，那么就是允许的

查询哪些服务支持tcp_wrappers

如果某个服务调用了libwrap.so这个动态链接库，那么这个服务就是支持的

也可以使用以下命令来查看：

[root@web ~]# ldd `which sshd` |grep libwrap