Linux服务安全之TcpWrapper篇

一.TcpWrapper的定义
任何以xinetd管理的服务都可以通过TcpWrapper来设置防火墙。简单地说，就是针对源IP或域进行允许或拒绝的设置，以决定该连接是否能够成功实现连接。

通过名称我们可以知道，这个软件本身的功能就是分析TCP网络数据数据包，而TCP数据包的文件头主要记录了来源与目主机的IP与port，所以我们可以管控的一个是源IP与整个网段的IP网段，另一个是port也就是服务。

二.检验可用性

基本上只要受到xinetd管理的服务，一般情况下就能够用TcpWrapper来管控。对于不是很清楚的服务，我们可以进行这样一个简单的处理：

#ldd ｀which sshd ` | grep wrap





可以看出ssh服务确实添加了wrapper模块。

三.修改配置文件

两个配置文件
/etc/hosts.allow 、/etc/hosts.deny
这两个文件的关系为allow文件优先，若分析到的没有记录在allow文件当中，则以deny文件来判断。

配置文件的书写格式为：

daemon
list : client list [:option[:option]]

例如：telnet

in.telnetd(进程名字) : 10.0.0.66 : spawn echo 'date' %c to %s
>/var/log/wra.log

vim
/etc/hosts.allow



vim
/etc/hosts.deny





两个特殊字符的含义：

spawn 在服务器端产上信息 ，写allow允许，写deny拒绝。

twist 在客户端产生信息，写哪都是拒绝。