#江南的江
#每日鸡汤:青春是打开了就合不上的书,人生是踏上了就回不了头的路,爱情是扔出了就收不回的赌注。
#初心和目标:拿到高级网络工程师
TCP_WRAPPERs
Tcp_wrappers 对于七层模型中是位于第四层的安全工具,他的作用是用来控制访问列表,也就是限制访问,例如你用什么tcp相应的协议的服务,他就可以控制访问。
虽然他的作用和防火墙很像,但不同点在于,他只限制tcp协议有关的服务的访问。例如ssh telnet vsftpd等。
下面是他的工作原理:
文字叙述:首先我们得了解tcp在进行三次握手后,会对主机进行什么样的操作,首先主机利用ssh服务我们来进行讨论,在主机被连接时,他会相应的扫描对应于ssh 服务的动态链接库,其中一个为libwrap 的动态链接库起到了网络编辑和管理的作用,那么他就是tcp_wrappers管理的重点,如果主机的ssh 服务存在与libwrap库的依赖关系,那么就会受到tcp_wrappers 的管辖,反之则不受控制但接受访问,在在服务对于libwrap有依赖时,那么开始对于/etc/hosts.allow,和/etc/hosts.deny进行检查,如果在hosts.allow 存在访问此机的ip那么毋庸置疑,直接跳过host.deny给予访问。如果没有那么再对host.deny,进行检查,如果再hosts.deny中包含当前访问本机的ip,拒绝访问,那么如果两个文件都没有
这就等于并没有使用TCP_wrappers对目标进行限制
下面是他的工作原理的思维线路图:
那么理解了他的原理,如何更好的使用tcp_wrappers 来对我们的computer 进行更好的保护呢?那么就要会运用他的关联文件/etc/hosts.allow /etc/hosts.deny
/etc/hosts.allow直接通过文件(白名单)
<服务名>:要限制的主机IP
/etc/hosts.deny禁止访问的文件(黑名单)
<服务名>:要限制的主机IP:deny
以上两个文件支持通配符或者”ALL”
例子:
如果我要让我ssh服务不被任何人访问
sshd:ALL:deny
