TCPWrappers的访问策略-创新互联
一.TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户机地址进行访问控制。对应的两个策略文件为 /etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝策略。
1.策略的配置格式
两个策略文件的作用相反,但是配置记录格式相同,如下所示
<服务程序列表>:<客户机地址列表>
服务程序列表、客户机地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。
(1)服务程序列表
服务程序列表可分为以下几类。
●ALL:代表所有的服务。
●单个服务程序:如“vsftpd”
●多个服务程序组成的列表:如“vsftpd,shd
(2)客户机地址列表
客户机地址列表可分为以下几类。
网络段地址:如“
192.168.4.0/255.255.255.0
●以“.”开始的域名:如“kgc.cn”匹配 kgc cn域中的所有主机。
●以“.”结束的网络地址:如“192.168.4”匹配整个192168.4.0/24网段。嵌入通配符“*”“?”:前者代表任意长度字符,后者仅代表一个字符,“10.0.8.2*”匹配以10.0.8.2开头的所有P地址。不可与以“”开始或结的模式混用。
多个客户机地址组成的列表:如“192.68.1. 172.17.17.,.kgc.cn”
2.访问控制的基本原则
关于TCP Wrappers机制的访问策略,先检查/etc/hosts.allow文件,如果找到匹配项的策略,则允许访问。否则继续检查/etc/hosts.deny文件。如果找到匹配的策略,则拒绝访问;如果检查两个文件都找不到匹配的策略,则允许访问。
3.TCP Wrappers配置实例
例如:若只希望ip地址为192.168.10.10的主机或位于192.168.20.0/24网段的主机访问sshd服务,拒绝其他地址。vim /etc/hosts.allow
vim /etc/hosts.deny
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
网站名称:TCPWrappers的访问策略-创新互联
网站链接:http://azwzsj.com/article/dcgcgp.html