tcpwrapper TCP包装器
sshd->tcpwrapper,libwrap.so
传输层,对于进出本主机访问某特定服务的连接基于规则进行检查的一个访问控制工具,库文件形式实现,某进程是否接受libwrap的控制取决于发器此进程的程序在编译时是否针对libwrap进行编译的。
ldd `which sshd`
strings `which portmap` | grep hosts
TCP WRAPPER:
Daemon_list:client_list [:options]
/etc/hosts.allow
sshd:192.168.1.0/24
/etc/hosts.deny
sshd:192.168.100.0/24
默认规则:允许
192.168.1.--> sshd
tcpwrapper
/etc/hosts,allow
sshd:192.168.1.
/etc/hosts.deny
sshd:ALL
sshd,in.telnetd:192.168.1.
client_list;
IP:192.168.1.2,192.168.1.
network/netmask:192.168.1.0/24(不被允许),192.168.1.0/255.255.255.0
hostname:www.a.com,.a.com
netgroup:@notexample
telnet,tcp,23,plaintext
in.telnetd,telnet-server
非独立守护进程 --> xinetd超级守护进程
rpm -ql telnet-server 查看telnet-server二进制文件
EXCEPT nested,嵌套
in.telnetd:ALL EXCEPT 192.168.0. EXCEPT 192.168.0.3
tail /var/log/secure
xinetd
/etc/xinetd.conf
includedir /etc/xinetd.d
disable = no 禁用启用服务
socket_type 套接字类型 stream:tcp类型 dgram:udp类型
protocol 指定服务使用的协议
wait yes单线程tcp,no多线程tcp udp
user 以user身份运行
server 启动服务的二进制服务
only_from 仅允许来自哪些地址的客户端访问本服务
只接受192.168.1.0/24格式
no_access 不允许哪些地址的客户端访问
only_from = 10.0.0.0/8
no_access = 10.0.0.0/24
better match
10.0.0.1 不能访问,匹配到no_access上
access_times 什么时间可以访问
hour:min-hour:min
13:00-15:00
log_type 定义日志类型
log_on_success 记录成功启动的日志
log_on_failure 登录失败时记录的信息
bind 设定监听对象(网卡,ip)
banner /tmp/in.telnetd
per_source 同一个源可以并发的连接数
cps 某一秒内允许并发连接数
chkconfig telnet on