Pembungkus TCP menyediakan penyaringan lalu lintas dasar dari lalu lintas jaringan yang masuk. Akses ke layanan jaringan "terbungkus" yang berjalan di server Linux dari sistem lain dapat diizinkan atau ditolak. Layanan yang dibungkus TCP adalah layanan yang telah dikompilasi terhadap pustaka libwrap.a. Gunakan perintah ldd untuk menentukan apakah layanan jaringan ditautkan ke libwrap.a. Contoh berikut menentukan nama path absolut dari layanan sshd, lalu membuat daftar pustaka bersama yang ditautkan ke layanan sshd, menggunakan perintah grep untuk mencari pustaka libwrap:
# which sshd /sbin/sshd
# ldd /sbin/sshd | grep libwrap libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f1fea580000)
File konfigurasi
Pembungkus TCP mengandalkan dua file konfigurasi sebagai dasar untuk kontrol akses:
- /etc/hosts.allow
- /etc/hosts.deny
Ketika klien mencoba untuk menyambung ke layanan jaringan pada sistem jarak jauh, file-file ini digunakan untuk menentukan apakah akses klien diperbolehkan atau ditolak. Gunakan /etc/hosts.allow dan /etc/hosts.deny untuk menentukan aturan yang secara selektif mengizinkan atau menolak akses klien ke daemon server pada sistem lokal. Format entri adalah sebagai berikut untuk kedua file:
daemon_list : client_list [: command]
Deskripsi masing-masing bidang berikut:
- daftar_daemon :Daftar daemon yang dipisahkan koma, atau kata kunci ALL untuk semua daemon
- daftar_klien :Daftar klien yang dipisahkan koma, atau kata kunci SEMUA untuk semua klien
- perintah :Perintah opsional yang dijalankan saat klien mencoba mengakses daemon server
Untuk mengizinkan akses klien, tambahkan nama host klien atau alamat IP di /etc/hosts.allow. Untuk menolak akses klien, tambahkan nama atau alamat IP klien di /etc/hosts.deny.
File /etc/hosts.allow dibaca terlebih dahulu dan dibaca dari atas ke bawah. Jika pasangan daemon-client cocok dengan baris pertama dalam file, akses diberikan. Jika baris tidak cocok, baris berikutnya dibaca dan pemeriksaan yang sama dilakukan. Jika semua baris dibaca dan tidak ada kecocokan, file /etc/hosts.deny dibaca, mulai dari atas. Jika kecocokan pasangan daemon-klien ditemukan di file tolak, akses ditolak. Jika tidak ada aturan untuk pasangan daemon-client yang ditemukan di salah satu file, atau jika tidak ada file, akses ke layanan akan diberikan.
Karena aturan akses di hosts.allow diterapkan terlebih dahulu, mereka lebih diutamakan daripada aturan yang ditentukan di hosts.deny. Oleh karena itu, jika akses ke layanan diizinkan di hosts.allow, aturan yang menolak akses ke layanan yang sama di hosts.deny akan diabaikan. Berikut ini adalah beberapa contoh entri dalam file /etc/hosts.allow:
1. Untuk mengizinkan klien di subnet 192.168.2 mengakses FTP (daemon adalah vsftpd):
# vi /etc/hosts.allow vsftpd : 192.168.2.*
2. Untuk mengizinkan semua klien mengakses ssh, scp, dan sftp (daemon adalah sshd):
# vi /etc/hosts.allow sshd : ALL
3. Tempatkan entri berikut di file /etc/hosts.deny untuk menolak layanan FTP ke semua klien kecuali subnet 192.168.2.* (ini mengasumsikan entri sebelumnya dari vsftpd:192.168.2.* ada di /etc/hosts. izinkan):
# vi /etc/hosts.deny vsftpd : ALL
4. Gunakan sintaks .domain untuk mewakili semua host dari domain tertentu. Contoh berikut mengizinkan koneksi ke vsftpd dari host mana pun di domain example.com (jika entri ada di /etc/hosts.allow):
# vi /etc/hosts.allow vsftpd : .example.com
Jika entri ini muncul di /etc/hosts.deny, koneksi ditolak.
Opsi Perintah TCP Wrapper (hosts.allow &hosts.deny) di Linux