TCP Wrappers(IP层存取控制过滤)为由inetd生成的服务提供了增强的安全性。TCP Wrappers软件扩展了inetd为受其控制的服务程序实施控制的能力。通过使用这种方法能够提供日志支持、返回消息给联入的连接、使得服务程序只接受内部连接等等。尽管防火墙也能够完成其中的某些功能,但这不仅增加了一层额外的保护,也提供了防火墙无法提供的功能。然而,由TCP Wrappers提供的一些额外的安全功能,不应被视为好的防火墙的替代品。TCP Wrappers应结合防火墙或其他安全加强设施一并使用。
TCP Wrappers配置
TCP Wrappers使用访问控制列表来防止欺骗。ACL是/etc/hosts.allow和/etc/hosts.deny文件中的系统列表。在配置为验证主机名到IP地址映射,以及阻止使用IP源路由的软件包时,TCP Wrappers提供某些防止IP欺骗的保护。
确认服务是否支持TCP Wrappers
Linux系统TCP Wrappers并不是所有的服务都支持(目前支持TCP Wrappers的服务有sendmail、pop3、imap、sshd、telnet等等),可以使用ldd命令查看指定服务是否支持TCP Wrappers。ldd用于查看二进制文件所需动态链接库,如果某服务中含有 libwrap.so 则表示该服务支持TCP Wrappers,如下图所示。
TCP Wrappers规则定义
在TCP Wrappers中通过/etc/hosts.allow和/etc/hosts.deny配置规则允许或阻止指定客户端对指定服务的访问,修改保存此文件后配置无须重新启动服务立即生效。TCP Wrappers规则生效原则如下。
1. 当/etc/hosts.allow和/etc/hosts.deny无匹配记录访问可通过。
2. 当/etc/hosts.allow有匹配记录访问可通过。
3. 当/etc/hosts.allow和/etc/hosts.deny都匹配时访问可通过。
在/etc/hosts.allow 和/etc/hosts.deny文件定义规则的方法都采用以下格式。
服务:客户端[:选项]
1. 服务:指定TCP Wrappers需要控制的服务名称。如果是System V服务直接指定服务名称(比如sshd等等),如果是超级服务必须指定超级服务的启动脚本名称(可在对应超级服务的配置文件中找到。比如需要使用TCP Wrappers控制telnet时,/etc/xinetd.d/telnet文件如下图所示内容中所标识的就是telnet的启动脚本名称)。
2. 客户端:指定TCP Wrappers需要控制哪些客户端对指定服务的访问,其指定客户端方法见下表。
偶尔因高山流水的美丽停留,
