018 尚硅谷-Linux云计算-网络服务-基础-TCP_Wrappers简介和工作原理

大家好，欢迎大家继续收看上硅谷的links云计算视频，我是刘川老师。那我们上节课呢，讲了一下关于我们的SSH的安全远程管理，那安全远程管理这个章节是一个相对比较重要的章节。我们。后期的网络服务啊。都要基于啊，远程登录之后才能进行一些配置，相对比较方便一些啊。如果直接是从服务器上操作，那肯定相对比较繁琐一些。他在我们这个章节里边呢，我们有什么SSH的概念，登录验证模式，相关的配置，以及相关的一些实验，还有一些SSH相关的一些其他命令，这些都是需要掌握的。那关于我们的这个网络服务基础这个章节里边呢，还有最后一小部分叫。TCP wes，那我们本节课就来讲一下关于我们TCP的一个。那TCP webs呢？包含三部分，第一部分就是简介TCP web的简介，第二部分是我们的TC web的工作原理，以及TCP web的一个使用情况。

咱们来看一下这个本章集的内容。首先呢，TCP wes呢，我们称之为叫简单的防火墙，OK，那在讲这个t we之前，给大家简单的来说一下关于简单防火墙和我们后期要讲的那个IP boss和firework的一个区别。T呢，是我们的这个Linux里边目前啊。预装的一个简易版防火墙啊。减100方，也就是说它和防火墙的功能很相似，基本上就是呃。和放权一样，也能实现一些防护效果，但是呢，由于它的功能相对比较单一和简单，所以说这个东西可能生产环境中我们用的不是特别多。做一些简单防护没有问题，做一些相对比较严谨的这种啊。安全限制和防护的时候，可能就不是那么很。充足了。所以说简单来说一下，那目前有没有有还没有学习这个关于呃。

专门的这种防火墙的一个设置，所以说我们先来掌握一些这种简单的防护的一个使用。那首先来说一下什么是我们的TC4。那TC呢，首先呢，它是一个简易版防火墙，它是一个工作在我们的。第四层传输层的这么一个安全工具啊，安全工具。那注意啊，下一句话里边有这么几个比。重要的需要注意的点啊，首先第一个是对有状态连接的。也就是所谓的TCP。这有状态连接的，比如TCP的特定服务。特定服务。两个关键词，一个是有状态连接，一个是TCP协议的，第二个是特定的服务，那所谓的特定服务就不是所有服务了。比如说是一部分服务，比如说这个TCPS的名字里边其实就包含着一部分，比如说名字里边就包含TCP嘛，其实它就是对一部分TCP协议对应的服务进行什么呢？进行。

安全检测。啊，以及。啊，以及访问控制。那这个呢，就是关于我们TCP robots的一个概念，以及它的一个应用场景啊应用场景，那怎么来界定哪些TCP的哪些特定服务才能被这个叫TCP的工具所。限制或管理呢，有一个界定方式，那么来界定这个关于TCP robots的一个是否可管理的这么一个方式是通过一个叫列。像vaper.so的这么一个文件啊，叫lab viper.so的这么一个文件。凡是调用了这个lab vaper.so库文件的程序，就可以被TCPS这个安全控制组件所管理。

这就是我们的一个，呃。如何判断一个服务是否受TCP所控制和管理的这么一个方式，那我们目前啊。常见的哪些是会受到分管理，我们一起来列一下啊，那么几个RPC版的啊。VSFTPD以及我们的XHD，还有telnet，这几个是我们相对比较常见的常用的，而且呢，又受到了我们的这个LA vas.so的限制，这么一个。具体的一个查询和界定方式是这样的啊，首先判断方式第一步是要先知道对应的服务。服务命令所在位置啊。那我们以SSH这个服务来举例啊。呃，SH分为客户端和服务器端，在服务器端呢，我们用的一般是SSH。

D。不管是服务名也好，还是命令名也好，还是配置文件也好，你会发现都是SD。在客户端上。客户端去连接服务器时，客户端所使用的叫SSH。而不是D。所以这个地方呢，你要想清楚，我这个地方写的是查看对应服务命令所在位置。五五命令。注意啊，是服务的命令，那也就意味着我们要查的是SD，而不是SSHOK，那。查询命令所在位置的工具叫which，通过which来查询，那我们先来查一下，OK。先来连接一下我们的二零这个机器。OK，然后呢，我们在这里边使用which来查一下D。查到了文件位置之后啊。

为了区别，我们再查一个SSH，就发现他俩是位置是不一样的。SHD在。下，而SSH在并一下。那查到了对应服务的命令所在位置，然后怎么办呢？然后使用下面这个命令，这个命令叫LDD。LDD呢是来静态的查看。服务在执行时。调用的库文件列表，比如说我使用LD来查看一下对应的这个叫SSH的服务这个命令的，这个服务的命令在执行时会调用哪些库文件。然后并且把调用的文件列表列出来，就。它来列出，然后呢，我们顺便使用命令来过滤一下，过滤一下有没有这个叫so的文件就可以了。很简单啊。使用我们的LD。查一下关于这个user sb下的SSD下。我们先别过滤，直接看会发现这个SSHD啊，所调用的库文件非常多，会看不过来，怎么办呢？我们用graph过滤一下。

过滤一下叫labwa rapp.so。会发现我们过滤掉过滤到了这样一条信息，也就是说也就意味着SHD这个服务调用lab viper.so的这个库文件。那也就意味着SSHD被。TCS所控制。这就是我们来，呃。的判断。是否会被TC所限制的方式那？比如说你找一个不被限制的，比如说我不知道阿帕奇会不会受到这个TC的限制，我们查一下阿帕奇吧，那很简单，我们首先要把阿帕奇安装一下，使用yam-y install安装一下我们的阿尔法奇就是。HTPD这个服务。那对应的HTTPD这个服务安装之后呢，它肯定会产生一个对应的HTPD的这么一个服务的对应一个命令，那同样我们还是要通过对应的什么which命令，将我们这个阿帕奇对应的这个服务。

所对应的这个命令，服务命令查询出来，然后再使用LD查看一下指定的这个文件是否会调用。来，我们来看一下which一下我们的HTPD。OK，告诉我们是US变形的HTPD，然后用LDD来查一下关于根线U则S变形的HTTPD。同样里边肯定有很多啊，我们同样来过滤一下管道符gra一下，过滤一下叫lib w rapp.so叫lib viper点。搜外没有。嗯，会发现没有，那也就意味着我们的HTB，也就是说阿帕奇并不受TCPS的。控制和管理OK，那如果说。Gra过滤不到的话，你也可以自己在这看一下也行，这里边是没有那个叫LA vas.so的那个。

文件了。好了，这个就是我们如何来判断我们的这个。对应的一个服务是否受到TCP所呃。控制和管理的这么一个依据，OK。那接下来呢，我们来说一下关于TCP的这么一个工作原理，那个工作原理。首先呢，这个地方吧，还是以SSH这个服务为例啊，以S这个服务为例呢，就是每当有SSH的连接请求到服务器上之后，这个时候并不像我们想的那样SSH的守护进程去接收这个SS的请求，而是首先要先读取系统管理员在某一个配置文件里边设置的访问控制规则。先去看防控的规则，如果防控的规则里边儿说。来自于哪哪哪个IP的啊。使用SSH服务请求本机的这种，哎，拒绝掉或允许，哎，然后再来进行干嘛呀，放行，比如说后边写了符合要求时，则会把这个连接原封不动的交给SSH的进程，然后由SSH来完成后续的对吧，验证。

那如果说这个IP地址啊，不符合配置文件里边的规则，则直接拒绝了对应的行为，也就是说如果对应的IP在配置文件里边不符合规则，则这个连接请求压根就到不了SSSCG服务上。直接就被绝掉了。那下边呢，我给大家画了一张图啊，这张图呢，比较明显的说明了一下，关于我们这个呃，TCBS的一个工作过程，首先客户端请求服务器。那请求服务器呢，先经过TCP，嗯，然后呢，TC呢，包含了两个配置文件，第一个叫ETC下的hosts.along第二个叫ETC下的hosts.deny。

这两个文件的优先级是先去查看关于along文件，再查看deny文件，那OK，当有SS请求的时候呢？首先会在这个hosts alone里边查询对应的规则是否来自于对应这个IP的允许。如果在这个配置文件里边发现有对这个IP的啊，这个允许就是允许这个IP来访问的话，如果是的话，则直接允许连接就不再去看。是否被拒绝了？那这个地方就说明了一个问题，什么问题呢？Along文件的优先级高于deny，啥意思啊？就是有一个IP地址又既被写到了along里，又被写到了deny里。但是呢，匹配到alarm里有它就允许了，那那里边有没有就无所谓了呀，你写我也是被允许，你不写我也是被允许，所以说你会发现我们TCP webs里边的这个hosts这个配置文件的优先级要高于deny文件。

OK，只要允许里写了，就是被允许。假如说允许配置文件里边没有写东西，就是否，那再去看deny里边是不是做限制了，那如果along里边也没有写，Deny里边也没有写，都没写，则默认允许，也就是说既没有在允许配置里面出现，也没有在拒绝配置文件里面出现，则默认就允许使用S。但是如果允许里边没有，但是在拒绝配置里边出现了。则拒绝。这个就是TCPS的一个控制模式，控制模式。OK，我们来看一下下边的总结，第一个优先查看host along。我们称之为这种模式叫匹配，即停止，若匹配到host里边有这个IP地址，则允许，然后结束了，就没有后续的判断了，后边就没有了，不存在了。

这叫什么呢？这叫匹配，即停止。这种模式在我们的Linux很多访问控制里边都是这样的，包括我们未来要讲的防火墙、ipt boxs等等，都是匹配机停止的。那都是PP性质了，OK。还有第二个就是允许个别拒绝所有。比如说我有很多的SSH连接。但是呢，并不是所有的都去允许，也不是所有的都去看一下怎么做啊。我只允许某一个人去访问我，其他人都不可以，只允许那一个，那很简单。在hosts alone里边。把对应的允许的IP写上。嗯，把对应的允许的IP写上，然后呢，在hosts deny里边写一个or这个关键词，Or就是所有的意思。啊，我们称之为这种模式叫泛匹配啊。像范匹配。

还有一个拒绝个别允许所有，OK，我们来看一下如何拒绝个别允许所有呢？Hosts along里边。是空的。那空的没人。就是都不就是都K力维度都允许。Y里边写拒绝某一个。我检查了alarm里边没有，那就继续检查里边有没有。然后呢，我把要拒绝的写到点na里边，那每当匹配的那个要拒绝的时候，是不是就拒绝了。然后发现既没有在along里边又没有在里边的是不就默认允许了。所以你会发现，如果是。拒绝，个别的话，只需要在拒绝里边写上那个人的名字就可以了。如果是允许的话，也只需要在允许里边写上那个人的名字就可以了，但是还需要在李娜里边写个哦。所以说如果是允许个别拒绝所有要两个操作啊，如果要拒绝所有就一个操作就可以了。

拒绝个别的话一个操作就可以了。这个呢，就是关于我们的这个关于TCP ver一个工作过程和工作原理的这么一个介绍。OK，那这个工作流程啊，大家一定要记清楚，大家要记清楚。简单来总结一下。确定某服务是否受TC控制的方式就是通过这个叫Li we.so的文件来确定OK。然后呢，当确定了这个服务啊，受到了TC的关注之后呢，我们客户端来请求这个服务时，TC是这样来控制的。通过ETC的hosts和hostsy来对用户的情绪进行限制。Hosts alone的优先级高于deny。匹配到alarm里边有符合天的规则，匹配进行止。然后呢，允许个别区所有和拒绝个别允许所有的。

拒绝方式。规则要熟记啊，规则要熟记，OK，那我们本节课就先讲到这儿，我们下节课再见。