通过TCP Wrappers设置ssh源地址过滤策略无法生效的解决办法

Linux系统管理员们应该经常会收到安全管理员们发来的openssh的相关漏洞，这个很常见，危险级别也比较高。通常有两种解决办法：1、升级openssh版本；2、使用TCP Wrappers或者iptables进行源地址过滤。

相信大家用TCP Wrappers的最多，我个人也觉得这是最佳方案，毕竟这个方案对系统影响最小。具体做法是修改hosts.allow和hosts.deny文件，这个随便一百度就能找到具体操作方法。

不过之前遇到过修改了hosts.allow和hosts.deny文件并重启sshd服务后，地址过滤策略不生效的问题。经过各种尝试，目前已解决，解决方式如下：

openssh 6.7以后版本不再支持TCP Wrappers，可以使用rpm -qa openssh命令查看版本号，如果版本过高，建议卸载后安装较低的版本。好像网上也能找到支持TCP Wrappers的第三方补丁包。

若版本号支持，使用ldd $(which sshd)命令，查看sshd有无支持TCP Wrappers提供的libwrap.so函数库文件，查找执行结果里是否有libwrap.so.0=>/usr/lib64/libwrap.so.0这一行。通常应该没有，我们可以继续下一步；如果有，我也不造该怎么办了。

卸载openssh，卸载命令yum remove openssh。卸载前最好先把openssh的rpm安装包事先放在服务器本地，否则一旦卸载完并断开连接后，ssh无法使用，会比较麻烦。

使用rpm -ivh命令重新安装openssh软件。然后使用service sshd start命令启动sshd服务。

这时再次使用ldd $(which sshd)命令，就应该能看到libwrap.so.0=>/usr/lib64/libwrap.so.0这一行了，然后继续下一步。

修改hosts.allow和hosts.deny文件，设置TCP Wrappers的地址过滤策略。用chkconfig sshd on命令设置sshd服务开机自启动，用service sshd restart命令重启sshd服务，重新加载地址过滤策略。

齐活儿！