客户端访问服务器上的服务(实际是主机文件和目录)经过的检查过程如下:

161017528.jpg

暂不涉及网络层面的安全检查机制,讲讲主机的安全检查机制

在我所运维的服务器系统中,一般都会关闭iptables和SElinux,这样只剩下TCP WrappersServiceDemon自身的安全机制Service 内容权限(就是文件及文件夹的权限)

每个Service Demon都有自己的访问检查机制,例如httpd、vsftpd等,范围太大了,讲不清楚。但某些交给Xinetd管理的服务(关于Super Demon、Xinetd等知识,请参与其他资料),Xinetd会加一层访问检查。

TCP Wrappers

定义哪些主机允许或不允许连接到受TCP Wrappers管理网络服务

检查是否受TCP Wrappers管理ldd `whichsshd` grep | libwrap

TCPWrappers配置文件/etc/hosts.allow /etc/hosts.deny

TCP Wrappers 检查顺序

etc/hosts.allow 有匹配规则(规则从上往下逐行匹配,找到匹配条目后,忽略其他条目),跳过/etc/hosts.deny/etc/hosts.allow没有匹配规则,检查/etc/hosts.deny如果两个文件都没有匹配规则默认允许访问。

TCP Wrappers服务会使用syslog守护进程把发出请求的客户用户名以及所要求访问的服务写入/var/log/secure或/var/log/messages文件。

关于hosts.allow、hosts.deny语法格式,请百度吧!楼主一般比较关注方法论的问题

xinetd
用户试图连接由xinetd控制的网络服务时,xinetd先查看是否有任何相匹配的TCP Wrappers访问控制规则存在.如果连接被允许,xinetd则检验该连接在其个性化的规则下对该项服务是被允许的.同时也检查该项服务是否有足够的资源份额以及是否与任何定义好的规则相冲突.如果所有条件都得到满足xinetd就开始进行被请求的服务并且让其通过对连接的访问控制.连接建立后,xinetd就不再参与 客户和服务器之间的通讯。

xinetd的配置文件
/etc/xinetd.conf # 全局xinetd配置文件.
/etc/xinetd.d/ # 包含所有具体化服务文件的目录