tcp_wrapper是linux中一个安全机制[TCP_wrappers防火墙]，一定程度上限制某种服务的访问权限，达到了保护系统的目的.

我们会用到一个ldd命令，具体的man一下。 （ ldd – print shared library dependencies）
[root@rhel ~]# ldd /usr/sbin/sshd | grep wrap
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00002ac3b2a5d000)
##ldd命令用来查看程序的二进制文件是否与libwrap相编连。

tcp_wraper工作机制是先读取/etc/hosts.allow这个文件看是否有匹配规则，如果允许，则通过，如果未发现相关匹配，再看/etc/hosts.deny这个文件是否拒绝。所以，我们一般编辑/etc/hosts.deny文件来做访问控制。如果allow和deny中都没有相关规则，那么执行默认，默认为允许。

配置文件的格式：

服务列表 ：地址列表 ：选项

服务列表 ：
如果有多个服务，那么就用逗号隔开
地址列表格式：
1. 标准IP地址：例如：192.168.0.254，192.168.0.56如果多于一个用“逗号”隔开
2. 主机名称：例如：www.baidu.com，　.example.con匹配整个域
3. 利用掩码：192.168.0.0/255.255.255.0 指定整个网段
4. 网络名称：例如 @mynetwork
选项：
主要有allow 和 deny 这两个选项

实例：

拒绝 172.17.1.19和172.17.1.20这两个IP拒绝访问服务器的sshd服务。

vi /etc/allow.deny

Add Code:

sshd:172.17.1.19,172.17.1.20

保存退出，tcp_wrapper无需重启服务即可生效。
下次登录的时候，就会提示：Connection refused 配置生效。tcp_wrapper可以临时性的拒绝某些IP访问，比如在受到ssh暴力破解登录的时候，或者是web服务器出现某个IP不断请求异常页面时，可以通过这个来做ACL。提高服务器的安全性。