王高利：TCP Wrappers訪問控制（hosts.allow,hosts.deny）

TCP Wrappers訪問控制

在Linux系統中，許多網絡服務針對客戶機提供了某種訪問控制機制，如Samba、BIND、HTTPD、OpenSSH等，而TCP Wrappers（TCP封套），以作為應用服務與網絡之間的一道特殊防線，提供額外的安全保障。

在RHEL6.5中使用軟件包為tcp_wrappers-7.6-57.el6.x86_64，該軟件包提供了執行程序tcpd和共享鏈接庫文件libwrap.so.*，對應為TCP Wrappers保護機制的兩種實現方式——直接使用tcpd程序對其他服務程序進行保護，需要運行tcpd。由其他網絡服務程序調用libwrap.so.*鏈接庫，不需要運行tcpd程序。

查看方式：

TCP Wrappers的訪問策略：兩個文件/etc/hosts.allow和/etc/hosts.deny，分別用來設置允許和拒絕的策略。

訪問控制的基本原則：

關于TCP Wrappers機制的訪問策略，應用時應遵守以下順序和原則：首先檢查/etc/hosts.allow文件，如果找到相匹配的策略，則允許訪問，否則繼續查找/etc/hosts.deny文件，如果找到相匹配的策略，則拒絕訪問；如果以上倆文件中都沒有找到，則允許訪問。

TCP Wrappers配置實例

較寬松的策略可以是“允許所有，拒絕個別”，較嚴格的策略是“允許個別，拒絕所有”。前者只需在hosts.allow文件中添加相應的拒絕策略就可以了；后者則除了在hosts.allow中添加允許策略之外，還需要在hosts.deny文件中設置“ALL:ALL”的拒絕策略。

例如：只希望從192.168.1.2的主機或者位于192.168.1.0/24網段的主機訪問sshd服務，其他地址被拒絕，可以執行以下操作