在Linux下使用TCP封装器来增强网络服务安全

就这一点而言，你能够把这个工具看做是一个基于主机的访问控制列表，并且并不能做为你的系统的终极安全措施。经过使用一个防火墙和 TCP 封装器，而不是只偏心其中的一个，你将会确保你的服务不会被出现单点故障。

正确理解 hosts.allow 和 hosts.deny 文件

当一个网络请求到达你的主机的时候，TCP 封装器会使用 hosts.allow 和 hosts.deny (按照这样的顺序)来决定客户端是否应该被容许使用一个提供的服务。.
在默认状况下，这些文件内容是空的，或者被注释掉，或者根本不存在。因此，任何请求都会被容许经过 TCP 过滤器并且你的系统被置于依靠防火墙来提供全部的保护。由于这并非咱们想要的。因为在一开始咱们就介绍过的缘由，清确保下面两个文件都存在：

# ls -l /etc/hosts.allow /etc/hosts.deny 

两个文件的编写语法规则是同样的：

<services> : <clients> [: <option1> : <option2> : ...] 

在文件中，
1. services 指当前规则对应的服务，是一个逗号分割的列表。
2. clients 指被规则影响的主机名或者 IP 地址，逗号分割的。下面的通配符也能够接受：

1).ALL 表示全部事物，应用于clients和services。

2).LOCAL 表示匹配在正式域名中没有彻底限定主机名(FQDN)的机器，例如 localhost。

3).KNOWN 表示主机名，主机地址，或者用户是已知的(便可以经过 DNS 或其它服务解析到)。

4).UNKNOWN 和 KNOWN 相反。

5).PARANOID 若是进行反向 DNS 查找彼此返回了不一样的地址，那么链接就会被断开(首先根据 IP 去解析主机名，而后根据主机名去得到 IP 地址)。

3. 最后，一个冒号分割的动做列表表示了当一个规则被触发的时候会采起什么操做。

你应该记住 /etc/hosts.allow 文件中容许一个服务接入的规则要优先于 /etc/hosts.deny 中的规则。另外还有，若是两个规则应用于同一个服务，只有第一个规则会被归入考虑。不幸的是，不是全部的网络服务都支持 TCP 过滤器，为了查看一个给定的服务是否支持他们，能够执行如下命令：

# ldd /path/to/binary | grep libwrap 

若是以上命令执行之后获得了如下结果，那么它就能够支持 TCP 过滤器，sshd 和 vsftpd 做为例子，输出以下所示。

如何使用 TCP 过滤器来限制服务的权限

当你编辑 /etc/hosts.allow 和 /etc/hosts.deny 的时候，确保你在最后一个非空行后面经过回车键来添加一个新的行。
为了使得 SSH 和 FTP 服务只容许 localhost 和 192.168.0.102 而且拒绝全部其余用户，在 /etc/hosts.deny 添加以下内容：

sshd,vsftpd : ALL 
ALL : ALL 

并且在 /etc/hosts.allow 文件中添加以下内容：

sshd,vsftpd : 192.168.0.102,LOCAL 

这些更改会马上生效而且不须要从新启动。
在下图中你会看到，在最后一行中删掉 LOCAL 后，FTP 服务器会对于 localhost 不可用。在咱们添加了通配符之后，服务又变得可用了。

为了容许全部服务对于主机名中含有 example.com 均可用，在 hosts.allow 中添加以下一行：

ALL : .example.com 

而为了禁止 10.0.1.0/24 的机器访问 vsftpd 服务，在 hosts.deny 文件中添加以下一行：

vsftpd : 10.0.1. 

在最后的两个例子中，注意到客户端列表每行开头和结尾的点。这是用来表示 “全部名字或者 IP 中含有那个字符串的主机或客户端”

原文来自：http://os.51cto.com/art/201611/521409.htm

本文地址：http://www.linuxprobe.com/linux-tcp-network.html