您好,登录后才能下订单哦!
密码登录
登录注册
点击 登录注册 即表示同意《亿速云用户服务条款》
# CentOS中TCP Wrappers访问控制怎么配置
## 一、TCP Wrappers简介
TCP Wrappers是Linux系统中一个经典的网络访问控制工具,通过`/etc/hosts.allow`和`/etc/hosts.deny`两个配置文件实现对网络服务的访问控制。它工作在应用层,为受支持的守护进程提供额外的安全层。
### 核心特点
1. **轻量级防护**:不修改服务程序代码
2. **双重验证机制**:先检查hosts.allow,再检查hosts.deny
3. **支持通配符**:灵活配置IP、域名和网络段
4. **日志记录**:通过syslog记录连接尝试
## 二、配置前准备工作
### 1. 确认服务支持TCP Wrappers
```bash
# 检查服务是否链接了libwrap库
ldd /usr/sbin/sshd | grep libwrap
# 输出应包含libwrap.so.0 => /lib64/libwrap.so.0
yum install tcp_wrappers tcp_wrappers-libs -y
cp /etc/hosts.allow /etc/hosts.allow.bak
cp /etc/hosts.deny /etc/hosts.deny.bak
服务程序列表 : 客户端列表 [: 选项]
| 模式 | 示例 | 说明 |
|---|---|---|
| IP地址 | 192.168.1.100 | 精确匹配单个IP |
| 网段 | 192.168.1. | 匹配192.168.1.0/24 |
| 域名 | .example.com | 匹配所有子域 |
| 通配符 | ALL | 匹配所有客户端 |
| 除外规则 | 192.168.1. EXCEPT 192.168.1.100 | 排除特定IP |
# /etc/hosts.deny
sshd : ALL
# /etc/hosts.allow
sshd : 192.168.1.0/24, 10.0.0.0/8
# /etc/hosts.allow
vsftpd : 192.168.1. : spawn /bin/echo `date` %c %d >> /var/log/ftp.log
# /etc/hosts.deny
vsftpd : ALL : twist /bin/echo "Connection prohibited"
# /etc/hosts.allow
sshd : 192.168.1. EXCEPT 192.168.1.100
sshd : .example.com
sshd : ALL : severity emerg \
: spawn /usr/local/bin/send_alert.sh %a \
: twist /bin/echo "Your IP %a has been logged"
# 在文件开头定义宏
NETWORK = 192.168.1.0/255.255.255.0
# 使用宏
sshd : @NETWORK
# /etc/xinetd.d/telnet
{
only_from = 192.168.1.0/24
access_times = 09:00-17:00
}
tcpdchk -v
tcpdmatch sshd 192.168.1.100
tail -f /var/log/secure | grep -i tcpwrap
# 从另一台机器测试
telnet your_server 22
# 查看拒绝记录
grep 'refused connect' /var/log/messages
graph TD
A[连接请求] --> B{防火墙}
B -->|放行| C[TCP Wrappers]
C -->|允许| D[服务进程]
ALL: ALL,再在hosts.allow中放行| 特性 | TCP Wrappers | firewalld | iptables |
|---|---|---|---|
| 配置复杂度 | 低 | 中 | 高 |
| 工作层级 | 应用层 | 网络层 | 网络层 |
| 动态更新 | 需重启服务 | 支持热更新 | 需手动加载 |
| IPv6支持 | 是 | 是 | 需要ip6tables |
TCP Wrappers作为CentOS系统中传统的访问控制工具,虽然功能不如现代防火墙强大,但在简单场景下仍具有配置快捷、资源占用低的优势。合理配置可以: - 有效阻止暴力破解 - 实现基于主机的访问控制 - 记录详细的连接日志
建议对安全性要求较高的环境配合其他安全工具共同使用,构建多层防御体系。 “`
注:本文示例基于CentOS 7编写,不同版本可能存在细微差异。生产环境修改前请做好测试验证。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。