一、概述
TCP Wrappers基于tcp的保护机制,相当于防火墙,工作在第四层(传输层)的TCP协议。对有状态连接的特定服务进行安全检测并实现访问控制,以库文件形式实现。
二、相关文件
/etc/hosts.allow#白名单(黑白名单同时存在时,白名单优先)
/etc/hosts.deny#黑名单
三、设置
如何知道TCP Wrappers支持tcp的哪些服务?
[root@localhost ~]# ssh-keygen
[root@localhost ~]# cd .ssh/
[root@localhost .ssh]# which sshd
[root@localhost .ssh]# ldd /usr/sbin/sshd | grep libwrap
有这个库,则可以支持Wrappers模块认证
黑白名单设置
黑白名单编写格式
1、策略格式:服务程序列表:客户端地址列表
2、服务程序列表:多个服务以逗号分隔,ALL表示所有服务
3、客户端地址列表:
多个地址以逗号分隔,ALL表示所有地址
允许使用通配符?和*
网段地址:如192.168.238.或者192.168.238.0/255.255.255.0
区域地址:如.benet.com
实验
服务端
[root@localhost .ssh]# vim /etc/hosts.deny进入黑名单
客户端
客户端的IP地址在服务的黑名单中,ssh远程连接失败