日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
創(chuàng)新互聯(lián)linux教程:8.4服務(wù)的訪問控制列表

TCP Wrappers是RHEL 7系統(tǒng)中默認(rèn)啟用的一款流量監(jiān)控程序,它能夠根據(jù)來訪主機(jī)的地址與本機(jī)的目標(biāo)服務(wù)程序作出允許或拒絕的操作。換句話說,Linux系統(tǒng)中其實(shí)有兩個(gè)層面的防火墻,第一種是前面講到的基于TCP/IP協(xié)議的流量過濾工具,而TCP Wrappers服務(wù)則是能允許或禁止Linux系統(tǒng)提供服務(wù)的防火墻,從而在更高層面保護(hù)了Linux系統(tǒng)的安全運(yùn)行。

創(chuàng)新互聯(lián)長期為超過千家客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年,關(guān)注不同地域、不同群體,并針對不同對象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺(tái),與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為南州晴隆企業(yè)提供專業(yè)的做網(wǎng)站、成都網(wǎng)站制作,南州晴隆網(wǎng)站改版等技術(shù)服務(wù)。擁有10余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

TCP Wrappers服務(wù)的防火墻策略由兩個(gè)控制列表文件所控制,用戶可以編輯允許控制列表文件來放行對服務(wù)的請求流量,也可以編輯拒絕控制列表文件來阻止對服務(wù)的請求流量??刂屏斜砦募薷暮髸?huì)立即生效,系統(tǒng)將會(huì)先檢查允許控制列表文件(/etc/hosts.allow),如果匹配到相應(yīng)的允許策略則放行流量;如果沒有匹配,則去進(jìn)一步匹配拒絕控制列表文件(/etc/hosts.deny),若找到匹配項(xiàng)則拒絕該流量。如果這兩個(gè)文件全都沒有匹配到,則默認(rèn)放行流量。

TCP Wrappers服務(wù)的控制列表文件配置起來并不復(fù)雜,常用的參數(shù)如表8-4所示。

表8-4 TCP Wrappers服務(wù)的控制列表文件中常用的參數(shù)

客戶端類型 示例 滿足示例的客戶端列表
單一主機(jī) 192.168.10.10 IP地址為192.168.10.10的主機(jī)
指定網(wǎng)段 192.168.10. IP段為192.168.10.0/24的主機(jī)
指定網(wǎng)段 192.168.10.0/255.255.255.0 IP段為192.168.10.0/24的主機(jī)
指定DNS后綴 .linuxprobe.com 所有DNS后綴為.linuxprobe.com的主機(jī)
指定主機(jī)名稱 www.linuxprobe.com 主機(jī)名稱為www.linuxprobe.com的主機(jī)
指定所有客戶端 ALL 所有主機(jī)全部包括在內(nèi)

指定所有客戶端 ALL 所有主機(jī)全部包括在內(nèi) 在配置TCP Wrappers服務(wù)時(shí)需要遵循兩個(gè)原則:

編寫拒絕策略規(guī)則時(shí),填寫的是服務(wù)名稱,而非協(xié)議名稱; 建議先編寫拒絕策略規(guī)則,再編寫允許策略規(guī)則,以便直觀地看到相應(yīng)的效果。 下面編寫拒絕策略規(guī)則文件,禁止訪問本機(jī)sshd服務(wù)的所有流量(無須/etc/hosts.deny文件中修改原有的注釋信息):

    [root@linuxprobe ~]# vim /etc/hosts.deny
    #
    # hosts.deny This file contains access rules which are used to
    # deny connections to network services that either use
    # the tcp_wrappers library or that have been
    # started through a tcp_wrappers-enabled xinetd.
    #
    # The rules in this file can also be set up in
    # /etc/hosts.allow with a 'deny' option instead.
    #
    # See 'man 5 hosts_options' and 'man 5 hosts_access'
    # for information on rule syntax.
    # See 'man tcpd' for information on tcp_wrappers
    sshd:*
    [root@linuxprobe ~]# ssh 192.168.10.10
    ssh_exchange_identification: read: Connection reset by peer

接下來,在允許策略規(guī)則文件中添加一條規(guī)則,使其放行源自192.168.10.0/24網(wǎng)段,訪問本機(jī)sshd服務(wù)的所有流量??梢钥吹?,服務(wù)器立刻就放行了訪問sshd服務(wù)的流量,效果非常直觀:

    [root@linuxprobe ~]# vim /etc/hosts.allow
    #
    # hosts.allow This file contains access rules which are used to
    # allow or deny connections to network services that
    # either use the tcp_wrappers library or that have been
    # started through a tcp_wrappers-enabled xinetd.
    #
    # See 'man 5 hosts_options' and 'man 5 hosts_access'
    # for information on rule syntax.
    # See 'man tcpd' for information on tcp_wrappers
    sshd:192.168.10.


    [root@linuxprobe ~]# ssh 192.168.10.10
    The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established.
    ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts.
    root@192.168.10.10's password: 
    Last login: Wed May 4 07:56:29 2017
    [root@linuxprobe ~]#

網(wǎng)站名稱:創(chuàng)新互聯(lián)linux教程:8.4服務(wù)的訪問控制列表
網(wǎng)站URL:http://m.5511xx.com/article/cojjoeo.html