1.tcp wrapper是一種訪問控制工具是操作系統(tǒng)自帶的,類似于防火墻(iptables)可以作訪問控制宰僧。
2.針對系統(tǒng)進(jìn)程來做限制的
#TCPwrapper配置
TCPwrapper有兩個配置文件暖璧。
1./etc/hosts.allow --允許
2./etc/hosts.deny --拒絕
TCPwrappers先查找/etc/hosts.allow音半,再查找/etc/hosts.deny,如果兩個配置中有沖突玖喘,先匹配中的優(yōu)先甩牺,也就是hosts.allow中的配置優(yōu)先,如果兩個配置都沒命中累奈,默認(rèn)放行贬派。
TCPwrapper作用范圍
tcpwarpper要看該應(yīng)用是否依賴libwrap.so這個庫文件。
例如tcpwrapper可以控制ssh服務(wù)澎媒,因?yàn)閷?shí)現(xiàn)ssh協(xié)議的sshd程序依賴了libwarp.so庫文件
實(shí)戰(zhàn)環(huán)境
準(zhǔn)備兩臺機(jī)器:
wrap-server----192.168.246.188
test-1----192.168.246.158
#所有機(jī)器關(guān)閉防火墻和selinux
[root@localhost ~]# systemctl stop firewalld #關(guān)閉防火墻
[root@localhost ~]# systemctl disable firewalld
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@localhost ~]# setenforce 0 #臨時關(guān)閉selinux
1.查看某一個程序是否支持tcpwrapper
[root@wrap-server ~]# ldd `which sshd` | grep wrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f9ec5c26000)
[root@wrap-server ~]# ldd `which httpd` | grep wrap #httpd就不用,所以不支持
[root@wrap-server ~]#
實(shí)戰(zhàn)案例:
1.允許192.168.246.158這臺機(jī)器訪問我的服務(wù)器搞乏,其他禁止掉
[root@wrap-server ~]# vim /etc/hosts.allow #在文件后面新增一行
sshd:192.168.246.158
[root@wrap-server ~]# vim /etc/hosts.deny #在文件后面新增一行
sshd:ALL #拒絕所有
===========================
sshd:192.168.246.159 #拒絕某個IP
測試:
1.首先我們用192.168.246.158的機(jī)器去ssh連接
[root@web-1 ~]# ssh 192.168.246.188
[root@wrap-server ~]#
2.在用其他機(jī)器連接
1.通過finalshell連接。 ---連接拒絕
2.或者通過第三臺機(jī)器去連接
[root@test-2 ~]# ssh 192.168.246.188
ssh_exchange_identification: read: Connection reset by peer #拒絕連接
