tcp_wrapper过滤

时间 2019-12-01

原文原文链接

1.1 wrap简介

wrap工做在内核空间和应用程序中间的库层次中。在内核接受到数据包准备传送到用户空间时都会通过库层次，对于部分（只是部分）应用程序会在通过库层次时会被wrap库文件阻挡下来检查一番，若是容许经过则交给应用程序。apache

wrap只会检查tcp数据包，因此称为tcpwrapper。但还不是检查全部类型的tcp数据包，例如httpd就不支持。是否支持，能够经过查看应用程序是否依赖于libwrap.so库文件。(路径/lib64/libwrap.so)bash

[root@mail ~]# ldd $(which sshd) | grep wrap
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f110efb7000)

[root@mail ~]# ldd  $(which vsftpd) | grep wrap    
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f1e73185000)

[root@mail ~]# ldd  $(which httpd) | grep wrap

说明sshd和vsftpd都支持wrap机制，而apache的httpd不支持。app

固然上面grep不出结果只能说明不支持这样的动态连接的方式，有些应用程序可能静态编译进程序中了，如旧版本的rpc应用程序portmap。ssh

是否将wrap功能静态编译到应用程序中，能够经过如下方式查看。tcp

strings $(which portmap) | grep hosts

若是筛选出的结果中有hosts_access或者/etc/hosts.allow和/etc/hosts.deny这两个文件，则说明是支持的。后两个文件正是wrap访问控制的文件。spa

要注意的是，若是超级守护进程xinetd被wrap控制了，则其下的瞬时守护进程都受wrap控制。code

hosts.allow和hosts.deny两个文件的语法格式是同样的，以下：blog

daemon_list: client_list [:options]进程

【"daemon_list:"的表示方法】：程序名必须是which查出来同名的名称，例如此处的in.telnetdip

sshd:
sshd,vsftpd,in.telnetd:
ALL
daemon@host:

最后一项daemon@host指定链接IP地址，针对多个IP的状况。如本机有192.168.100.8和172.16.100.1两个地址，可是只想控制从其中一个ip链接的vsftpd服务，能够写"vsftpd@192.168.100.8:"。

【"client_list"的表示方法】

单IP：192.168.100.8
网段：两种写法："172.16."和10.0.0.0/255.0.0.0
主机名或域匹配：fqdn或".a.com"
宏：ALL、KNOWN、UNKNOWN、PARANOID、EXCEPT

ALL表示全部主机；LOCAL表示和主机在同一网段的主机；(UN)KNOWN表示DNS是否能够解析成功的；PARANOID表示正解反解不匹配的；EXCEPT表示“除了”。

它们的语法能够man hosts_access。

tcpwrapper的检查顺序：hosts.allow --> hosts.deny --> 容许(默认规则)

例如sshd仅容许172.16网段主机访问。

hosts.allow:
sshd: 172.16.
hosts.deny:
sshd: ALL

telnet服务不容许172.16网段访问但容许172.16.100.200访问。有几种表达方式：

表达方式一：

hosts.allow:
in.telnetd: 172.16.100.200
hosts.deny:
in.telnetd: 172.16.

表达方式二：

hosts.deny:
    in.telnetd: 172.16. EXCEPT 172.16.100.200

此法不能写入hosts.allow："in.telnetd: 172.16.100.200 EXCEPT 172.16."

表达方式三：

hosts.allow:
    in.telnetd: ALL EXCEPT 172.16. EXCEPT 172.16.100.200
hosts.deny:
    in.telnetd: ALL

EXCEPT的最形象描述是“在其前面的范围内挖一个洞，在洞范围内的都不匹配”。因此hosts.allow中，ALL内有一个172.16的洞是不被allow的，在172.16中又有小洞172.16.100.200是被排除在172.16洞外的，因此172.16.100.200是被allow的。

注意：被EXCEPT匹配到的表示不通过此条规则的检查，而不是反意。例如在allows中指明一个EXCEPT，当有except中的主机被匹配到，表示的不是该主机被拒绝。而是跳过allow检测进入deny的检测。

【:options的表达方式】

:ALLOW
:DENY
:spawn

ALLOW和DENY能够分别写入deny文件和allow文件，表示在allow文件中拒绝在deny文件中接受。如allow文件中：

in.telnetd: 172.16. :DENY

spawn表示启动某程序的意思(/etc/inittab中的respawn表示重启指定程序)。例如启动一个echo程序。

in.telnetd: 172.16 :spawn echo "we are good $(date) >> /var/log/telnetd.log"