封装器来加强网络服务安全-下使用-在-TCP-Linux (封装器怎么用)

在这篇文章中，我们将会讲述什么是 TCP 封装器（TCP wrappers）以及如何在一台 Linux 服务器 上配置他们来限制网络服务的权限。在开始之前，我们必须澄清 TCP 封装器并不能消除对于正确配置防火墙的需要。

就这一点而言，你可以把这个工具看作是一个基于主机的访问控制列表，而且并不能作为你的系统的终极安全措施。通过使用一个防火墙和 TCP 封装器，而不是只偏爱其中的一个，你将会确保你的服务不会被出现单点故障。

正确理解 hosts.allow 和 hosts.deny 文件

当一个网络请求到达你的主机的时候，TCP 封装器会使用 hosts.allow 和 hosts.deny （按照这样的顺序）来决定客户端是否应该被允许使用一个提供的服务。.

在默认情况下，这些文件内容是空的，或者被注释掉，或者根本不存在。所以，任何请求都会被允许通过 TCP 过滤器而且你的系统被置于依靠防火墙来提供所有的保护。因为这并不是我们想要的。由于在一开始我们就介绍过的原因，清确保下面两个文件都存在：

# ls -l /etc/hosts.allow /etc/hosts.deny

两个文件的编写语法规则是一样的：

在文件中，

你应该记住 /etc/hosts.allow 文件中允许一个服务接入的规则要优先于 /etc/hosts.deny 中的规则。另外还有，如果两个规则应用于同一个服务，只有第一个规则会被纳入考虑。

不幸的是，不是所有的网络服务都支持 TCP 过滤器，为了查看一个给定的服务是否支持他们，可以执行以下命令：

# ldd /path/to/binary | grep libwrap

如果以上命令执行以后得到了以下结果，那么它就可以支持 TCP 过滤器，和作为例子，输出如下所示。

查找 TCP 过滤器支持的服务

如何使用 TCP 过滤器来限制服务的权限

当你编辑 /etc/hosts.allow 和 /etc/hosts.deny 的时候，确保你在最后一个非空行后面通过回车键来添加一个新的行。

为了使得 SSH 和 FTP 服务只允许和 192.168.0.102 并且拒绝所有其他用户，在 /etc/hosts.deny 添加如下内容：

sshd,vsftpd : ALLALL : ALL

而且在 /etc/hosts.allow 文件中添加如下内容：

sshd,vsftpd : 192.168.0.102,LOCAL

这些更改会立刻生效并且不需要重新启动。

在下图中你会看到，在最后一行中删掉后，FTP 服务器会对于不可用。在我们添加了通配符以后，服务又变得可用了。

确认 FTP 权限

为了允许所有服务对于主机名中含有 example.com 都可用，在 hosts.allow 中添加如下一行：

ALL : .example.com

而为了禁止 10.0.1.0/24 的机器访问服务，在 hosts.deny 文件中添加如下一行：

vsftpd : 10.0.1.

在最后的两个例子中，注意到客户端列表每行开头和结尾的 点 。这是用来表示 “所有名字或者 IP 中含有那个字符串的主机或客户端”

这篇文章对你有用吗？你有什么问题或者评论吗？请你尽情在下面留言交流。

如何通过ssh远程登录linux系统

建议使用 登录下载地址：是一个Telnet、SSH、rlogin、纯TCP以及串行接口连接软件。 较早的版本仅支持Windows平台，在最近的版本中开始支持各类Unix平台，并打算移植至Mac OS X上。 除了官方版本外，有许多第三方的团体或个人将PuTTY移植到其他平台上，像是以Symbian为基础的移动电话。 PuTTY为一开放源代码软件，主要由Simon Tatham维护，使用MIT licence授权。

VNC程式连接是什么

VNN（Virtual Native Network），其官方主页的介绍是：帮助处于内网（NAT设备或者SOCKS服务器后的、使用私网IP地址的子网）的机器可以与处于内网的另一台机器进行“透明”通信。 VNN帮助实现需要运行于内网机器上的网络应用忽略NAT设备的存在。 VNC（VNN Client），是VNN所提供的客户端软件。 最新版本，可以到其官方网站下载。 官方网站如何正确使用VNC，帮助BitComet的内网用户将下载速度提高到网络带宽允许的极限？从BitComet 0.53版本开始，内网那些感觉下载速度慢的用户，可以配合使用VNC，将下载速度提高到网络带宽允许的极限。 适用对象：内网用户，网关或路由器不支持UPnP，也没有权利手动做端口映射，下载速度大大慢于HTTP或FTP下载（外网用户没有必要使用VNC来帮助BitComet提高速度）。 采用0.53或更高版本的BitComet。 操作步骤：安装最新版本的VNC。 最新版本，可以到其官方网站下载。 如果初次使用，没有VNN服务的帐号，请再启动VNC时遵照其向导，申请VNN服务的帐号。 使用申请到的VNN服务的帐号、密码登陆VNN服务，之后VNC程序会最小化到屏幕右下方的通知栏，图标上显示VN字样。 启动BitComet，注意观察全局日志，应该出现“found VNN adapter <>”。 如果出现其他提示，请注意检查VNC是否登陆成功。 开始下载，观察Peer列表，IP中如果有10.140开头的就应该是其他VNN用户。 如果10.140开头的Peer比较多，下载速度可以慢慢达到网络允许的极限。 VNC的安全性问题：使用VNC可以帮助内网的BitComet用户大幅度提高下载速度，当然，也可能带来安全性问题。 建议启用并合理配置VNC内置的防火墙功能，或者使用网络防火墙软件（参考有关 Internet 防火墙的常见问题）；同时，建议您使用Windows Update自动升级系统。 VNC内置的防火墙配置如下，注意选择“激活基于VNN连接跟踪（状态）防火墙”（默认为关闭），并在“选择VNN用户可以访问的运行于您网络上的服务”中添加BitComet所监听的端口号(TCP,udp).

为什么宽带以连接了，但还是上不了网

“以连接了”意思是有数据传输，无法上网的原因主要考虑是否需要输入IP地址，可双击网络连接图标，选择“属性”－“Internet协议（TCP/IP）”－“属性”－“使用下面的IP地址”栏下，分别输入相应的“IP地址、子网掩码、默认网关”和“使用下面的DNS服务器地址”中输入相应的“首选DNS服务器、备用DNS服务器，具体数据向当地网络营运商询问。