linux tcp_wrapper

一. 简介

tcp_wrapper:tcp包装器, 工作于库中的.

  • 访问控制 工具/组件 : 传输层 和 接近于应用层;
  • 仅对使用tcp协议且在开发时调用了libwrap相关的服务程序有效.

二. 判断服务是否能够由tcp_wrapper进行访问控制:

  • 动态编译:ldd命 令查看其链接至的库文件即可;

    $ ldd `which sshd` | grep libwrap 
    
  • 静态编译:strings 命令查看其结果中是否包含

    hosts.allow
    hosts.deny
    

三. 配置文件

tcp_wrapper通过读取配置文件中的访问控制规则来判断某服务是否可被访问

hosts.allow : 先检查, 匹配放行, 则放行; 没有匹配规则, 则使用 hosts.deny
hosts.deny  : 后检测. 有匹配则拒绝, 没有匹配则, 放行.

注意

  • 默认规则 是放行.
  • 发生修改后立即生效.
  • 白名单:

    hosts.allow 放行 白名单.
    hosts.deny 拒绝所有.
    

四. 配置文件语法:

daemon_list: client_list [:options]

    daemon_list :
        应用程序的文件名称,而非服务名;
        应用程序的文件列表,使用逗号分隔;
            例如:vsftpd, in.telnetd: 172.16.0.0/255.255.0.0
        ALL: 所有受tcp_wrapper控制的应用程序;

    client_list:
        IP地址 ;
        主机名 ;

        网络地址 :必须使用完整格式掩码,不能使用长度格式的掩码;所以172.16.0.0/16是不合法的;
        简短格式的网络地址 :172.16. 表示172.16.0.0/255.255.0.0

        ALL : 所有客户端地址;

        KNOWN : 所有已知的主机, 即主机名可以被解析的.
        UNKNOWN :主机名不能被解析的
        PARANOID : 正向解析和反向解析不一致的主机.

    特殊的变量 :EXCEPT
        in.telnetd: 172.16. EXCEPT 172.16.100.3

    [:options]
        deny: 用于在hosts.allow文件中实现拒绝访问的规则
        allow:用于在hosts.deny文件中实现允许访问的规则
        spawn: 启动一个额外程序;
            in.telnetd: ALL: spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/telnet.log  # man hosts.allow

示例
控制vsftpd仅允许172.16.0.0/255.255.0.0网络中的主机访问,但172.16.100.3除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中;

$ cat hosts.allow:
    vsftpd: 172.16. EXCEPT 172.16.100.3

$ cat hosts.deny: 
    vsftpd: ALL : spawn /bin/echo       # 并非所有都会记录. 如 172.16.100.3