Chinaunix首页 | 论坛 | 博客
  • 博客访问: 776562
  • 博文数量: 180
  • 博客积分: 4447
  • 博客等级: 上校
  • 技术积分: 1582
  • 用 户 组: 普通用户
  • 注册时间: 2006-04-03 14:51
文章分类

全部博文(180)

文章存档

2014年(6)

2013年(8)

2011年(125)

2009年(35)

2008年(1)

2007年(5)

分类: LINUX

2011-05-11 08:54:06

tcp_wrapper主要是针对tcp的服务,提供了限制的功能。主要由/etc/hosts.allow 和/etc/hosts.deny这两个文件进行限制,hosts.allow主要设置允许列表,hosts.deny设置禁止列表。
 
我们来做个案例,只允许IP为:10.10.42.252的机器通过ssh登陆服务器
 
1.编辑hosts.allow文件新增一行,保存
sshd:10.10.42.252
2.编辑hosts.deny文件新增一行,保存
sshd:ALL
 
我们测试一下,首先用10.10.42.252的机器,可以正常ssh登陆,但是用10.10.42.249就无法登陆了,我们查看/var/log/secure 日志显示如下
May 11 16:50:53 rhelts sshd[7050]: refused connect from 10.10.42.249 (10.10.42.249)
说明tcp_wrapper起作用了。
系统是先读取hosts.allow,然后在读取hosts.deny.这样会有个问题,如果有人不小心删除了hosts.allow,所有用户都不能登陆,而删除了hosts.deny,所有的都不受限制了(hacker)通常会这么干。
 
我们可以把拒绝规则写在hosts.allow里面,修改hosts.allow如下:
sshd:10.10.42.252:ALLOW
sshd:ALL:DENY
保存
记住sshd:ALL:DENY这行一定得放在后面,否则就登陆不上了。我们来删除hosts.deny
测试后,10.10.42.252正常登陆,而10.10.42.249登陆不了
查看/var/log/secure 日志显示如下
May 11 17:00:19 rhelts sshd[7109]: refused connect from 10.10.42.249 (10.10.42.249)
May 11 17:00:28 rhelts sshd[7112]: refused connect from 10.10.42.249 (10.10.42.249)
说明这么写也是可以的。
 
我们再来做个“游戏”,如果我把hosts.allow修改成hosts.deny呢?
结果还是一样的,如果有兴趣,你也可以做做实验。
 
 
阅读(4422) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~