tcp-wrapper、telnet知识点

发布时间：2014-09-05 17:02:13作者：知识屋

tcp wrapper 基于tcpd进程的访问控制
这是一个比iptables要简单的设置访问控制的一种机制，他只需要
在/etc/hosts.allow和/etc/hosts.deny两个文件中进行简单的设置
就能实现一定的访问控制策略。
这个访问控制使用有两个要求，首先编译的时候要接受tpc wrapper的
控制，其次还要是tcp协议。
查看服务依赖的库文件
ldd `which COMMAND` 如果依赖libwrap库文件就能解说tcp wrapper控制
string `which COMMAND` 只要出现了/etc/hosts.allow、/etc/hosts.deny文件
就说明连接到了libwrap库，这样也是接受了tcp wrapper 控制
eg:[root@mail ~]# ldd `which vsftpd` | grep libwrap
    libwrap.so.0 => /lib/libwrap.so.0 (0x00110000)
首先要了解一下hosts.allow、hosts.deny两个文件了，规则在这两个文件中
定义，一个是拒绝，另一个是允许，系统会在这两个文件中查找匹配的条目
顺序如下：hosts.allow-->hosts.deny，如果都没有的话，默认是允许的。
这两个文件的格式如下：
   daemon_list:client_list[:options]
   eg:vsftpd:192.168.1.100 //禁止1.100的主机使用ftp服务
      daemon_list常用的格式有下面的：
        vsftpd,sshd,in.tlenetd 有多个进程的话，就是用逗号隔开
        ALL 所有的
        vsftpd@192.168.1.100 //指定地址的指定进程

      client_list格式如下：
        IP
        NETWORK
           eg:192.168.1.0/255.255.255.0 or 192.168.1.
        HOSTNAME
           FQDN eg:mail.luowe.com
           .a.org
        MACRO
           ALL 所有的
           LOCAL 本地的主机
           KNOWN 能解析的主机
           UNKNOWN 不能解析的
           PARANOID 可以解析就是不能匹配
           EXCEPT 除了
        options
           spawn
       综合例子：
        in.telnetd: ALL EXCEPT 172.16.100.1: spawn echo "Login attempt(`data`) %u from %a attempt to login %A, the daemon is %d" >>/var/log/telnet.log

telnet的一点小知识：
    telnet是一个远程登录的服务，是一个非独立守护进程，接受超级守护进程的管理
    安装telnet服务
    #yum install telnet-server
    在/etc/xinted.d/telnet中有关于telnet的默认设置
    #vim /etc/xinted.d/telnet修改一下内容
     disable = no
    #service xinetd restart
    默认的情况下，telnet不允许root直接登录，而是使用普通用户su过去。



本文出自 “IT梦-齐-分享” 博客