3.5.2. Arquivos de Configuração do TCP Wrappers
Para determinar se um cliente tem permissão para se conectar à um serviço, o TCP Wrappers consulta os dois arquivos seguintes, os quais são normalmente chamados de arquivos de acesso hosts:
/etc/hosts.allow
/etc/hosts.deny
Um serviço que use o TCP Wrappers executa os seguintes passos ao receber um pedido de um cliente:
Consulta o /etc/hosts.allow. — O serviço usuário do TCP Wrappers analisa o arquivo /etc/hosts.allow seqüencialmente e aplica a primeira regra especificada para aquele serviço. Se encontra uma regra correspondente, permite a conexão. Caso contrário, continua com o próximo passo.
Consulta o /etc/hosts.deny. — O serviço TCP Wrappers analisa o arquivo /etc/hosts.deny seqüencialmente. Se encontra uma regra correspondente, nega a conexão. Caso contrário, permite acesso ao serviço.
É importante considerar os seguintes pontos importantes ao contemplar o uso do TCP Wrappers para proteger serviços de rede:
As regras de acesso em hosts.allow tem precedência sobre as regras especificadas em hosts.deny porque elas são aplicadas primeiro. Conseqüentemente, se o acesso a um serviço for permitido em hosts.allow, uma regra negando o acesso aquele mesmo serviço em hosts.deny é ignorada.
As regras de cada arquivo são lidas de cima para baixo, e a primeira regra correspondente a um serviço é a única a ser aplicada. A ordem das regras é extremamente importante.
O acesso ao serviço é permitido se nenhuma regra para o serviço for encontrada em qualquer um dos dois arquivos, ou se nenhum dos dois arquivos existir.
Serviços usuários do TCP Wrappers não fazem o cache das regras dos arquivos de acesso hosts, portanto quaisquer mudanças ao hosts.allow ou hosts.deny tem efeito imediato sem precisar reiniciar serviços de rede.
Se a última linha de um arquivo de acesso hosts não é um caractere de mudança de linha (criado pela tecla Enter), a última regra do arquivo falha e uma mensagem de erro é registrada em /var/log/messages ou /var/log/secure. Isto também aplica-se à regras que usem mais de uma linha sem usar o caractere de barra invertida. O seguinte exemplo ilustra a parte relevante de uma mensagem de registro para a falha de uma regra devido a qualquer uma destas circunstâncias.
warning: /etc/hosts.allow, line 20: missing newline or line too long