TCPWrap的使用配置
参考地址:
http://www.softpanorama.org/Net/Network_security/TCP_wrappers/index.shtml
http://generationip.com/documentation/mini-howto/116-howto-on-tcp-wrapper
1 TCPWrap简介
TCPWarp是一种基于主机的网络访问系统,用来过滤网络接入Internet协议服务器(Unix)操作系统如Linux或BSD。它允许主机或子网的IP地址,名称和/或识别查询的回答,作为标记,对于访问控制过滤器。
只有使用了tcpwarp.so文件的才能使用tcpwarp做权限控制。
可以使用ldd查看是否warp库
ldd /usr/sbin/sshd | grep libwrap
2 配置文件
与TCPWarp有关的文件就是/etc/hosts.allow,/etc/hosts.deny
系统先根据allow文件判断,如果匹配到规则就不用再去判断deny文件了。
allow文件没有匹配到规则,就去判断deny文件。
如果都没有匹配到使用默认的规则。
3 配置格式
daemon list : client list [:option[:option]]
例如
in.telnetd(进程名字) : 10.0.0.66 :allow
详细的帮助文档,可以使用命令查看 man hosts_access
4 统配模式
- .tue.com可以包含wzv.win.tue.com
- 192.168.可以包含所有192.168.0.0至192.168.255.255。
- 192.168.0.0/255.255.255.0 和192.168.0.0/24 可以包含192.168.0.0至192.168.255.255。centos6不支持192.168.0.0/24 格式,centos7可以。
- 通配符"*"和"?"可以用于匹配的主机名或IP地址。这种匹配方法不能用于连接网络/掩码匹配,主机名匹配的开始','或IP地址结尾的匹配。
5 样例
样例1
我的ip是192.168.137.1 设置主机可以使用192.168.137.2来ssh远程, 其他的ip一律不可以
vim /etc/hosts.allow 加入 sshd:192.168.137.2 行
vim /etc/hosts.deny 加入sshd:ALL
样例2
服务器机器上有2个ip,一个内网(ip为192.168.137.1),一个外网ip,只能通过192.168.137.0/24来ssh远程,且只能远程内网ip,其他情况都不允许
vim /etc/hosts.allow 加入 sshd@192.168.137.1:192.168.137.0/24 行
vim /etc/hosts.deny 加入sshd:ALL
样例3
有连接连接ssh的时候记录日志信息
vim /etc/hosts.allow 加入 sshd:172.18.0.0/255.255.0.0:spawn echo `date "+%%F %%T"` %c %s %u > /var/log/tcpwrap.log
最新文章
- mssql-异常value '0000-00-00' can not be represented as java.sql.Date
- windows 下的tcping 小插件
- Lintcode: Count of Smaller Number
- dos攻击
- 使用ASP.NET操作IIS7中使用应用程序
- 十四、C# 支持标准查询运算符的集合接口
- 2017了,回家前 "年末" 分享:下雨,飘雪,红包雨,碰撞球,自定义View
- Unbutu14.04 切换ROOT用户后无法启用音频
- hdu 3549最大流Ford-Fulkerson算法
- Nginx实现负载均衡&Nginx缓存功能
- 翻译连载 | 第 11 章:融会贯通 -《JavaScript轻量级函数式编程》 |《你不知道的JS》姊妹篇
- css代码整理
- php函数var_dump() 、print_r()、echo()
- tomcat指定运行jdk
- c++——大端序,小端序的排列问题
- poj 2229 Sumsets(记录结果再利用的DP)
- 关于android中透明、半透明、百分比转换
- laravel 数据模型方法
- 【java】开发中常用字符串方法
- PostgreSQL同步方案