Centos 中 TCPWrappers访问控制
博文目录
一、TCP Wrappers概述
二、TCP Wrappers的访问策略
1、策略的配置格式
2、访问控制的基本原则
3、TCP Wrappers配置实例
一、TCP Wrappers概述TCP Wrappers将TCP服务程序“包裹”起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序,如下图所示,TCP Wrappers还可以记录所有企图访问被保护服务的行为,为管理员提供丰富的安全分析资料。
二、TCP Wrappers的访问策略TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略。
1、策略的配置格式两个策略文件的作用相反,但配置记录的格式相同,如下所示:
<服务程序列表>: <客户端地址列表>
服务程序列表、客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。
1)服务程序列表ALL:代表所有的服务;单个服务程序:如“vsftpd”;多个服务程序组成的列表:如“vsftpd.sshd”;2)客户端地址列表ALL:代表任何客户端地址;LOCAL:代表本机地址;单个IP地址:如“192.1668.10.1”;网段地址:如“192.168.10.0/255.255.255.0”;以“.”开始的域名:如“benet.com”匹配benet.com域中的所有主机;以“.”结束的网络地址:如“192.168.10.”匹配整个192.168.10.0/24网段;嵌入通配符“”“?”:前者代表任意长度字符,后者仅代表一个字符,如“192.168.10.1”匹配以192.168.10.1开头的所有IP地址。不可与以“.”开始或结束的模式混用;多个客户端地址组成的列表:如“192.168.1. ,172.16.16. ,.benet.com”;2、访问控制的基本原则关于TCP Wrappers机制的访问策略,应用时遵循以下顺序和原则:首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问;否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略,则允许访问。
3、TCP Wrappers配置实例实际使用TCP Wrappers机制时,较宽松的策略可以是“允许所有,拒绝个别”,较严格的策略是“允许个别,拒绝所有”。前者只需要在hosts.deny文件中添加相应的拒绝策略就可以了;后者则除了在host.allow中添加允许策略之外,还需要在hosts.deny文件中设置“ALL:ALL”的拒绝策略。
示例如下:
现在只希望从IP地址为192.168.10.1的主机或者位于172.16.16网段的主机访问sshd服务,其他地址被拒绝,可以执行以下操作:
[root@centos01 ~]# vim /etc/hosts.allow sshd:192.168.10.1 172.16.16.*[root@centos01 ~]# vim /etc/hosts.deny sshd:ALL—————— 本文至此结束,感谢阅读 ——————
海外专线的优质体验:高安全性,为每个用户建立端到端的独立传输,提供如同用户内部网络安全性。高可靠性,采用全冗余的网络架构设计,提供冗余路由,确保传输可靠性。高灵活性,国际专线场景可随开随用,电脑手机全场景支持。
Centos 中 TCPWrappers访问控制相关推荐
- CentOS中vsftp安装与配置
1. 安装 使用chkconfig --list来查看是否装有vsftpd服务: 使用yum命令直接安装:yum -y install vsftpd 然后为它创建日志文件:touch /var/ ...
- 如何在SAP Cloud for Customer自定义BO中创建访问控制
文章作者: Yi 已获得Yi的转载许可. 访问控制方式和使用注意事项 1. C4C中的访问控制有两种方式 RelevantForAccessControl AccessControlContext 2 ...
- mysql 只允许本地登陆 centos,Centos中MySQL设置密码跟不允许匿名登陆
在Centos中刚安装完的Mysql,root用户默认是无密码的,并且允许匿名登录,当然仅限于本地登陆.这点我们可以通过查看数据库mysql中user表得到检验: 由user表可以看出,root用户对 ...
- 在Ubuntu/Fedora/CentOS中安装Gitblit
在Ubuntu/Fedora/CentOS中安装Gitblit Git是一款注重速度.数据完整性.分布式支持和非线性工作流的分布式版本控制工具.Git最初由Linus Torvalds在2005年为L ...
- 安装32位mysql报错_在CentOS中安装32位或64位MySql报错error: Failed dependencies解决办法...
在CentOS中安装MySql报错error: Failed dependencies解决办法 安装64位MySql报错内容如下: error: Failed dependencies: libaio ...
- CentOS中安装git
在CentOS中安装git步骤如下: (1)$ yum install curl curl-devel zlib-devel openssl-devel perl cpio expat-devel g ...
- Linux退出sqlplus界面,Linux CentOS中使用SQL*Plus启动和关闭数据库
启动和关闭数据库的常用工具有三个 一.SQL*Plus 在SQL*Plus环境中,用户以SYSDBA身份连接到Oracle后,可以通过命令行方式启动或关闭数据库. 二.OEM(企业管理器) 利用OEM ...
- CentOS中使用Dockerfile部署初始化sql文件的mysql
场景 Docker中部署mysql数据库: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/99213563 CentOS中使用Do ...
- CentOS中怎样卸载旧版本Git并安装高版本Git
场景 CentOS中通过编译源码包的方式安装Git: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/116704345 如果想对此 ...
最新文章
- Android源代码下载与编译 - 2019
- JVM - 剖析Java对象头Object Header之指针压缩
- (译文)Flash,Silverlight,Win32:2011三大垂死平台
- makefile 编译不同目录下的源文件
- sre8 sre10_是什么使SRE出色?
- Tomcat学习总结(4)——基于Tomcat7、Java、WebSocket的服务器推送聊天室
- 如何使用Arrays工具类操作数组
- LeetCode(171)——Excel表列序号(JavaScript)
- 7.看板方法---使用看板进行协调
- 移动端点击一下显示再点一下消失_App用户自然流量裂变增长:移动互联网社交+深度链接技术的应用!...
- Google play aso 关键词覆盖指南
- 卸载精灵 v4.2 是什么
- 对于微信二维码相关官方文档的一些注解(微信登录和绑定微信、关注公众号)
- STM32单片机通过ESP8266WiFi模块与Android APP实现数据传输(二)---上位机搭建
- 三星健身服务器无响应 怎么办,三星携手UA健身APP、强化创新型可穿戴设备
- Mac M1 搭建虚拟机节点集群过程及软件分享
- 什么是信息增益(Information Gain)
- 多线程归并排序C语言,快速排序 和 归并排序 c语言实现
- shaarli 书签管理器
- androd 屏幕分辨率对照表