TCP Wrappers(简单防火墙)---限制IP登录ssh

1.TCP Wrappers 简介

TCP_ Wrappers是- 一个工作在第四层(传输层)的的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访
问控制,界定方式是凡是调用libwrap. so库文件的的程序就可以受TCP_ Wrappers的安全控制。它的主要功能就是控制
谁可以访问,常见的程序有rpcbindl vsftpd、sshd, telnet。 

 

判断方式:。
1.
查看对应服务命令所在位置。
which sshd 。
2.查看指定 命令执行时是否调用libwrap. so文件。
ldd /usr/ sbin/ sshd
grep libwrap. so。

 

2 TCP Wrappers工作原理。

以ssh为例,每当有ssh的连接请求时,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,
拒绝提供ssh服务。。

 

 

1.优先查看hosts. allow,匹配即停止。
2.允许个别,拒绝所有: hosts. allow文件添加允许的策略,hosts. deny文件添加all.
3.拒绝个别,允许所有:hosts.allow文件为空,hosts.deny文件添加单个拒绝的策略。

 

 

3 TCP Wrappers的使用。

TCP_ Wrappers的使用 主要是依靠两个配置文件/etc/hosts. allow, /etc/hosts. deny,以此实现访问控制,

默认情况下,/etc/hosts. allow, /etc/hosts. deny什么都没有添加,此时没有限制。
配置文件编写规则:。
service_ listghost: client_ list。
service_ list:是程序(服务)的列表,可以是多个,多个时,使用,隔开。
@host:设置允许或禁止他人从自己的哪个网口进入。这-项不写,就代表全部。


client_ list: 是访问者的地址,如果需要控制的用户较多,可以使用空格或,隔开。
格式如下:。
基于IP地址: 192. 168. 88.1 192. 168. 88.。
基于主机名: www. atguigu. com . atguigu. com较少用。
基于网络/掩码:
192.168. 0.0/255.255.255. 0。

▲拒绝单个IP使用sshI远程连接:。
配置文件:。
hosts. allow:空着。
hosts. deny: sshd:192. 168. 88. 20。
■拒绝某- -网段使用ssh远程连接:。
hosts. allow:空着。
hosts. deny: sshd: 192.168. 88.。

■仅允许某一IP使用ssh远程连接:。
hosts. allow: sshd: 192.168. 88. 20
hosts. deny: sshd: ALL

 

posted @ 2019-06-01 23:28  YF-海纳百川  阅读(404)  评论(0编辑  收藏  举报