Linux服务安全之TcpWrapper篇

 

一.TcpWrapper的定义

    任何以xinetd管理的服务都可以通过TcpWrapper来设置防火墙。简单地说,就是针对源IP或域进行允许或拒绝的设置,以决定该连接是否能够成功实现连接。

    通过名称我们可以知道,这个软件本身的功能就是分析TCP网络数据数据包,而TCP数据包的文件头主要记录了来源与目主机的IP与port,所以我们可以管控的一个是源IP与整个网段的IP网段,另一个是port也就是服务。

 

二.检验可用性

    基本上只要受到xinetd管理的服务,一般情况下就能够用TcpWrapper来管控。对于不是很清楚的服务,我们可以进行这样一个简单的处理:

    #ldd `which sshd ` | grep wrap

Linux服务安全之TcpWrapper篇

    可以看出ssh服务确实添加了wrapper模块。

三.修改配置文件

    两个配置文件 /etc/hosts.allow 、/etc/hosts.deny 这两个文件的关系为allow文件优先,若分析到的没有记录在allow文件当中,则以deny文件来判断。

    配置文件的书写格式为:

    daemon list : client list [:option[:option]]

    例如:telnet

    in.telnetd(进程名字) : 10.0.0.66 : spawn echo 'date' %c to %s >/var/log/wra.log

   

    vim /etc/hosts.allowLinux服务安全之TcpWrapper篇

   

    vim /etc/hosts.deny

Linux服务安全之TcpWrapper篇
   

 

  两个特殊字符的含义:
                     spawn 在服务器端产上信息 ,写allow允许,写deny拒绝。
                     twist 在客户端产生信息,写哪都是拒绝。

posted @ 2016-04-23 15:46 t6 阅读(...) 评论(...) 编辑 收藏