TCP Wrapper 和攻击警告

如果已经探测出某个主机或者网络正在攻击该服务器，那么通过使用 spawn 指令，使用 TCP Wrapper 可警示管理员关于来自该主机或者网络的后续攻击。

在这个示例中，假设已经探测到来自 206.182.68.0/24 网络的破解者尝试攻击服务器。请将下列命令行放入 /etc/hosts.deny 文件，以拒绝任何来自该网络的连接尝试，并将这些尝试记录在特定的文件中：

ALL : 10.10.10.0 : spawn /bin/echo `date` %c %d >> /var/log/intruder_alert

%d 令牌提供破解者企图访问的服务名称。
要允许连接并予以记录，则须将 spawn 指令放入 /etc/hosts.allow 文件 。

注意
因为 spawn 指令可执行所有 shell 命令，所以最好生成一个特定脚本以提示管理员，或者在特定客户端尝试连接到服务器的事件中，执行一系列命令。

TCP Wrapper 和改进的日志

使用 severity 选项提升该服务的日志级别，则须在日志文件中使用 emerg 标记替换默认标记 info，并拒绝连接。
要做到这一点，则须将下列命令行放入 /etc/hosts.deny ：

in.telnetd : ALL : severity emerg

这使用默认 authpriv 日志工具，但会将优先权从默认值 info 提高到 emerg，即将日志信息直接发送到控制台。

具体示例配置文件

[root@localhost ~]# cat /etc/xinetd.d/telnet 
service telnet
{
        socket_type             = stream
        wait                    = no
        user                    = root
        server                  = /usr/sbin/in.telnetd
        log_on_failure += USERID
        disable                 = no
}

[root@localhost ~]# cat /etc/hosts.deny 
in.telnetd : ALL : severity emerg

[root@localhost ~]# cat /etc/hosts.allow 
in.telnetd: 10.10.10.128