TCP_Wrappers配置

这里主要涉及到两个配置文件/etc/hosts.allow和/etc/hosts.deny。/usr/sbin/tcpd进程会根据这两个文件判断是否对访问请求提供服务。

/usr/sbin/tcpd进程先检查文件/etc/hosts.allow，如果请求访问的主机名或IP包含在此文件中，则允许访问。

如果请求访问的主机名或IP不包含在/etc/hosts.allow中，那么tcpd进程就检查/etc/hosts.deny。看请求访问的主机名或IP有没有包含在hosts.deny文件中。如果包含，那么访问就被拒绝；如果既不包含在/etc/hosts.allow中，又不包含在/etc/hosts.deny中，那么此访问也被允许。

例1：

# cat /etc/hosts.allow

sshd:192.168.100.0

# cat/etc/hosts.deny

sshd:ALL

只允许192.168.100.0/24这个网段访问

例2：

# cat /etc/hosts.allow

sshd:192.168.100.0/255.255.255.0 except 192.168.100.3

# cat/etc/hosts.deny

sshd:ALL

192.168.100.0/24这个网段内除了192.168.100.3这个主机无法连接过来，其它主机都可以通过ssh协议连接进来。

例3：

# cat /etc/hosts.allow

sshd:ALL except 192.168.100.2

# cat/etc/hosts.deny

除了192.168.100.2外，允许所有主机连接。

检查某种服务是否可以通过tcp_wrappers来进行限制：

[root@rhel1 ~]# which vsftpd

/usr/sbin/vsftpd

[root@rhel1 ~]# ldd /usr/sbin/vsftpd | grep libwrap

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f6d52faf000)

比如httpd就不能通过tcp_wrappers来进行控制：