Linux中的访问控制——TCP_Wrappers

---

1、TCP Wrappers简介

TCP_Wrappers是Linux中的一个安全机制【TCP Wrappers防火墙】也可以成为访问控制，一定程度上达到了保护系统的目的，相当于我们手机的黑名单和白名单，对访问我们服务器的用户进行设置和管理。

TCP_Wrappers是一个工作在第4层（传输层）的安全工具，对有状态及特定服务进行安全检测并实现访问控制，凡是包含有libwrao.so库文件的程序就可以受tcp wrappers的管理。它的主要功能就是控制谁可以访问。

TCP_Wrappers（tcp封套，以作为应用服务与网络之间的一道特殊防线提供额外的安全保障，TCP_Wrappers将TCP服务程序“包裹”起来，代为监听TCP服务的程序，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得允许后才能访问真正的服务程序。常见的程序有：rpcbind、vsftpd、sshd、telnet

2、TCP_Wrappers的特点

1）：它工作在第四层（传输层），可以根据设定的策略对客户端访问的服务程序对限制。
2）：它对有状态连接的特定服务进行安全检查，以库文件的形式实现访问控制。
3）：某一进程是否接受TCP_Wrappers的控制，取决于它在编译的时候是否对libwrap库进行了编译。

3、TCP原理流程图

大多数Linux发行版，TCP_Wrappers是默认提供的功能。在CentOS7.5中使用的软件是使用tcp_wrappers-libs-7.6-77.el7.x86_64,该软件包提供了执行程序tcpd和共享链接库文件libwrap.so.*对应TCP_Wrappers保护机制的两种方式。
1)：直接使用tcpd程序对其服务程序进行保护，需要允许tcpd。
2)：有其他网络服务程序调用libwrap.so链接库，不需要允许tcpd程序。如果要查看每个程序是否受TCP_Wrappers管理可以使用ldd命令查看每个程序的共享库，ldd /usr/sbin/sshd | grep libwrap

4、TCP_Wrappers访问策略

相关控制文件：/etc/hosts.allow(允许文件)、 /etc/hosts.deny(拒绝文件)

1）：策略的配置格式
<服务程序列表>：<客户端地址列表>

服务程序列表

ALL：代表所有服务。
单个服务程序：如；vsftpd
多个服务程序组成的列表：如；vsftpd、ssh、http多个程序使用都好分割。

客户端地址列表

ALL：代表所有地址。
LOCAL：代表本机地址。
单个IP地址：如；192.168.8.5
网段地址：如192.168.4.0/255.255.255.0
以“ . ”开始的域名：如“bdqn.com”匹配bdqn.com域中所有主机。
以“ . ”结尾的网络地址：如“192.168.4.”匹配整个192.168.4.0/24网段
嵌入通配符“ * ”“ ？ “：前者代表任意长度字符，后者仅代表一个字符，如“10.0.8.2*“匹配以10.0.8.2开头的所有ip地址。不可与以” . “开启或结束的模式混用。
多个客户端地址组成的列表：如“192.168.1.，192.168.16.，.bdqn.com

5、TCP_Wrappers配置实例

例：只希望从ip地址为61.63.65.67的主机或者位于192.168.2.0/24网段的主机访问呢sshd服务，其他地址被拒绝。

[root@localhost ~]# vim /etc/hosts.allow
sshd:61.63.65.67,192.168.2.*

[root@localhost ~]# vim /etc/hosts.deny
sshd:ALL

从其他主机上ssh远程这台服务器测试是否会拒绝连接。
这里服务器地址是192.168.8.5，测试机器地址为192.168.8.254

直接提示连接重置也就是连接不上。