第一部分:理论
一.tcp-wrapper………………….
1. TCP Wrappers的基本概念
v TCP
Wrappers的功能
§ TCP
Wrappers是大多数Linux发行版本中都默认提供的功能
§ TCP
Wrappers的主要执行文件是“tcpd”
§
tcpd程序可以将其他的网络服务程序“包裹”起来,从而进行集中的访问控制设置
2. TCP Wrappers的设置文件
v TCP
Wrappers使用两个设置文件
§ “hosts.allow”和“hosts.deny”两个文件的用于保存TCP
Wrappers基于主机地址的访问控制策略
# ls
/etc/hosts.*
/etc/hosts.allow /etc/hosts.deny
- “hosts.allow”文件用于保存允许访问的策略
- “hosts.deny”文件用于保存拒绝访问的策略
- “hosts.allow”和“hosts.deny”文件中保存的设置是即时生效的
3. TCP Wrappers设置文件的格式2-1
v 设置文件的格式
§ “hosts.allow”和“hosts.deny”文件中具有相同格式的配置记录
<服务程序列表>:<客户机地址列表>[:动作]
- 文件中每行为一个设置记录
v “服务程序列表”字段的表示
§ ALL代表所有的服务程序
§ 单个服务的名称,例如in.telnetd代表telnet服务器程序, vsftpd代表vsftpd服务器程序
§ 多个服务程序名称可以组成列表,中间用逗号分隔,例如“in.telnetd,vsftpd”
v “客户机地址列表”字段的表示
§ ALL代表所有的客户机地址
§ LOCAL代表本机地址
§ KNOW代表可解析的域名
§ UNKNOW代表不可解析的域名
§ 以句点“.”开始的域名代表该域下的所有主机,例如“.ltest.com”代表“ltest.com”域中的所有主机
§ 对某个子网中的所有主机使用“子网/掩码”的形式表示
§ 对于网络中的某个主机可直接使用IP地址表示
v “动作”字段使用“allow”表示允许,使用“deny”表示拒绝
第二部分:实验
实验一..telnet的安装 使用
1.安装包:telnet-server-0.17-30.i386.rpm
v telnet服务由xinetd调度启动
§ telnet在xinetd服务中的启动配置文件/etc/xinetd.d/telnet
- telnet服务默认不启动,需手工设置
- # chkconfig telnet on
# service xinetd restart
2.在客户端用telnet
登录测试
注意:telnet
只允许普通用户登录,登录后可以用su切换到root 。
实验二:限制telnet和ftp客户端的登录
1.
在vi
/etc/hosts.deny中,添加in.telnetd,vsftpd: ALL
2.
在
vi /etc/hosts.allow中,添加in.telnetd: 10.100.100.172
Vsftpd: 10.100.100.0/255.255.255.0
3. 在客户端为10段之外的ip测试
4. 在客户端为10段的ip测试
