保护原理
客户端登录服务器时,会经过TCP Wrappers机制,对访问请求进行过滤。
访问策略
- 针对访问服务的客户机的IP地址进行控制。有两个策略文件:
- /etc/hosts.allow 允许策略
- /etc/hosts.deny 拒绝策略
策略的配置格式
- {服务程序列表}:{客户机地址列表}
- 服务程序列表格式:
- ALL代表所有
- sshd表示单个服务程序
- sshd,vsftp多个服务程序用逗号隔开
- 客户机地址列表格式:
- ALL代表所有客户机地址
- LOCAL代表本机地址
- 192.168.177.100代表单个IP地址
- 192.168.177.0/255.255.255.0 代表网段地址
访问控制的基本原则
先检查/etc/hosts.allow允许策略文件,如果匹配到相应的策略,则允许访问,否则继续检查/etc/hosts.deny拒绝策略文件,如果匹配到相应的策略,则拒绝访问。如果都没有匹配到,则允许访问。
实验
实验要求:只允许192.168.177.128单个IP地址使用ssh远程登录服务器,服务器IP地址是192.168.177.100