A、TCPラッパーの概要
以下に示すようにアクセスTCPラッパーのTCPサービスプログラムに、「包む」ポートリスニングTCPサービスプログラムを取った、安全性のテストプロセスを追加して、外部の接続要求は、真のサービスプログラムの終了後にライセンス安全性試験のこの層を通過しなければなりません示すように、TCPラッパーは、アクセスに保護されたサービスの動作をすべての試みを記録することができ、安全性解析は、管理者のための豊富な情報を提供します。
二、TCPラッパーのアクセスポリシー
ネットワークサービスプログラム、サービスクライアントのアドレスにアクセスするためのアクセス制御のためのさまざまな保護メカニズムのTCPラッパーオブジェクト。二つの対応するポリシーファイルを許可および拒否ポリシーを設定するには、それぞれ、/etc/hosts.allowファイルと/etc/hosts.deny。
1、ポリシー構成フォーマット
2つのポリシーファイルの反対のアクションが、同じコンフィギュレーション・レコード形式として、次の:
<サービスプログラムリスト>:<クライアントのアドレス一覧>プログラムのサービスリストは、コロンで区切られたアドレスのクライアントリストの間で、各リストの複数の項目間のカンマで区切られています。
1)サービスプログラムの一覧
- ALL:すべてのサービスに代わって、
- シングルサービスプログラム:「vsftpdの」など。
- 複数のサービスプログラムからなるリスト:例えば、「vsftpd.sshd」など。
2)クライアントのアドレス一覧
- ALL:すべてのクライアントのアドレスの代わりに、
- LOCAL:ローカルアドレスの代わりに、
- 単一IPアドレス:「192.1668.10.1」。
- ネットワークアドレス:例えば、「192.168.10.0/255.255.255.0」など。
- 。「」ドメインを開始するには、次のような「benet.com」benet.comドメイン内のすべてのホストにマッチ。
- 「192.168.10」:ネットワークアドレス終了する全体192.168.10.0/24ネットワークセグメントに一致し、「」
- 埋め込みワイルドカード「」「?」:前者は、このような「192.168.10.1などのみの文字を表し、任意の長さの文字を表しは」192.168.10.1で始まるすべてのIPアドレスと一致します。。「」開始またはモデルミックスで終わるわけではありません。
- なるクライアントのアドレスリストの複数:「192.168.1、172.16.16、.benet.com ..」。
2、アクセス制御の基本原則
次の順序で適用されると原則に従うとき、TCPラッパーアクセスポリシーのメカニズムについては、:まず、/etc/hosts.allowのファイルをチェックし、ポリシーの一致が見つかった場合、アクセスが許可され、そうでない場合、見つかった場合は、/etc/hosts.denyをファイルをチェックし続けますマッチする戦略は、アクセスが拒否され、ファイルが一致し、アクセスが許可されることが、上記2つの戦略をチェック見つけることができない場合。
3、TCPラッパー構成例
TCPラッパーメカニズムが実際に使用すると、よりリラックスしたポリシーは「すべては、個々の拒否を許可」することができ、より制限ポリシーは「個別許可するように、すべてを拒否します。」かつての必要性だけで適切な拒否戦略のhosts.denyにファイルを追加します。host.allowポリシーを追加することに加えて、後者はhosts.denyにファイル「ALL:ALL」に設定する必要があり、追加を許可するポリシーを否定します。
例としては、以下のようにしている:
のみ、以下の操作を行うことができ、他のアドレスが拒否され、ホストのIPアドレスまたはホスト192.168.10.1 172.16.16 sshdのネットワークアクセスサービスに願っています: