wrapper是一款访问控制的工具,很类似iptables的功能,但是要比iptables功能要小很多,一般只有在满足以下条件时才能使用tcp wrapper
检查要控制的软件工具是否支持tcp_wrap: ldd /usr/sbin/sshd(如果有wrap库代表支持)/ ldd `which xinted` | grep libwrap
wrapper访问控制语句是写在:/etc/hosts.allows和/etc/hosts.deny 这两个文件当中
下面我举一些例子1:
/etc/hosts.allow---in.telnetd: 192.168. EXCEPT 192.168.77.100(允许192.168.网段的主机访问EXCEPT 除去192.168.77.100不能访问)
/etc/hosts.deny---in.telnetd:ALL (allow除外的全部拒绝)--(为什么后面要加上拒绝所有呢,因为allow文件中除去的192.168.77.100 不被allow文件控制匹配,只能让deny文件来匹配)
下面我举一些例子1:
/etc/hosts.allow---in.telnetd:192.168. :spawn echo "you ren fang wen `date`" >> /var/log/tcpwrap.log(这样的话可以访问的时候可以记录到日志当中)+不记录ip和访问的服务
/etc/hosts.allow---in.telnetd:192.168. :spawn echo "`date`,soment login from %c to %s." >> /var/log/tcpwrap.log(这样的话是记录客户端和访问服务端的IP和服务)
/etc/hosts.allow---in.telnetd:192.168. EXCEPT 192.168.77.100 :spawn echo "`date`,soment login from %c to %s." >> /var/log/tcpwrap.log
/etc/hosts.deny---in.telnetd:ALL :spawn echo "`date`,soment some from %h." >> /var/log/tcpwrap.log (这两行是记录错误记录,但是必须allow有拒绝的访问)
一般tcp_wrap常用的宏(可以直接man 5 hosts_access参考更多的宏):
%c: client information(user@host)
%s: service info (server@host)
%h: client hostname
%p: server PID
本文出自 “以经验为参谋” 博客,请务必保留此出处http://zhangjianxin.blog.51cto.com/10134758/1652786
原文地址:http://zhangjianxin.blog.51cto.com/10134758/1652786
