1.tcp wrapper是一种访问控制工具是操作系统自带的,类似于防火墙(iptables)可以作访问控制。
2.针对系统进程来做限制的
#TCPwrapper配置
TCPwrapper有两个配置文件。
1./etc/hosts.allow --允许
2./etc/hosts.deny --拒绝
TCPwrappers先查找/etc/hosts.allow,再查找/etc/hosts.deny,如果两个配置中有冲突,先匹配中的优先,也就是hosts.allow中的配置优先,如果两个配置都没命中,默认放行。
TCPwrapper作用范围
tcpwarpper要看该应用是否依赖libwrap.so这个库文件。
例如tcpwrapper可以控制ssh服务,因为实现ssh协议的sshd程序依赖了libwarp.so库文件
实战环境
准备两台机器:
wrap-server----192.168.246.188
test-1----192.168.246.158
#所有机器关闭防火墙和selinux
[root@localhost ~]# systemctl stop firewalld #关闭防火墙
[root@localhost ~]# systemctl disable firewalld
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@localhost ~]# setenforce 0 #临时关闭selinux
1.查看某一个程序是否支持tcpwrapper
[root@wrap-server ~]# ldd `which sshd` | grep wrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f9ec5c26000)
[root@wrap-server ~]# ldd `which httpd` | grep wrap #httpd就不用,所以不支持
[root@wrap-server ~]#
实战案例:
1.允许192.168.246.158这台机器访问我的服务器,其他禁止掉
[root@wrap-server ~]# vim /etc/hosts.allow #在文件后面新增一行
sshd:192.168.246.158
[root@wrap-server ~]# vim /etc/hosts.deny #在文件后面新增一行
sshd:ALL #拒绝所有
===========================
sshd:192.168.246.159 #拒绝某个IP
测试:
1.首先我们用192.168.246.158的机器去ssh连接
[root@web-1 ~]# ssh 192.168.246.188
[root@wrap-server ~]#
2.在用其他机器连接
1.通过finalshell连接。 ---连接拒绝
2.或者通过第三台机器去连接
[root@test-2 ~]# ssh 192.168.246.188
ssh_exchange_identification: read: Connection reset by peer #拒绝连接
