【访问控制】hosts.allow/deny配置说明

已于 2023-10-07 15:54:32 修改
阅读量3k 收藏 6
点赞数
文章标签: 服务器 网络 运维
于 2023-10-07 15:53:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Micha_Lu/article/details/133642859
版权

一、前言

一个IP请求连入,linux的检查策略是先看/etc/hosts.allow中是否允许,如果允许直接放行;如果没有,则再看/etc/hosts.deny中是否禁止,如果禁止那么就禁止连入。
两个配置文件的关系为:/etc/hosts.allow 的设定优先于/etc/hosts.deny

二、支持服务

hosts.allow和hosts.deny规则的执行者为TCP wrappers,对应守护进程为tcpd;而tcpd执行依赖于程序使用了libwrap库

hosts.alllow和hosts.deny只支持libwrap库的服务,可通过以下两种方式查看

注:目前已知支持的常见服务有:sshdvsftpdrpcbindrpc.mountd

1、方式一

通过命令strings /usr/sbin/<services-name> | grep hosts_access查看,若返回结果为hosts_access,则代表支持

root@node61:~# strings /usr/sbin/sshd | grep hosts_access
hosts_access

2、方式二

通过命令ldd /usr/sbin/<services-name> | grep libwrap查看,若返回结果为hosts_access,则代表支持

root@node61:~# ldd /usr/sbin/vsftpd | grep libwrap
    libwrap.so.0 => /lib/aarch64-linux-gnu/libwrap.so.0 (0x0000ffffabec0000)

三、配置方式

1、修改/etc/hosts.deny配置文件,设置默认不允许所有客户端访问对应服务

注:service_name 必须与/etc/rc.d/init.d/* 里面的程序名称要相同

示例不允许所有客户端访问rpcbind服务,此时所有客户端都无法对主机进行showmount -e <nfs-server-ip>操作

echo "rpcbind:ALL:deny" >> /etc/hosts.deny

2、修改/etc/hosts.allow配置文件,添加对应服务的客户端IP地址

示例允许172.16.21.62/172.16.21.86两台客户端访问rpcbind服务,此时这两台客户端可以对主机进行showmount -e <nfs-server-ip>操作

echo "rpcbind:172.16.21.62,172.16.21.86:allow" >> /etc/hosts.allow
Luxf0
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hosts.deny
11-14
不知道为什么不能 0资源分。这是防止到hosts.deny的内容,防止SSH暴力登陆。
openssh 8.4版本的RPM包,支持hosts.allow的版本 openssh-server-8.4p1-1.el7.centos.x86_64.rpm
10-13
openssh-server-8.4p1-1.el7.centos.x86_64.rpm源生的openssh的版本不支持tcpwraper
hosts.allowhosts.deny配置不生效的解决方法
06-29 3162
hosts.allowhosts.deny属于tcp_Wrappers防火墙的配置文件,而用tcp_Wrappers防火墙控制某一服务访问策略的前提是,该服务支持tcp_Wrappers防火墙,即该服务应用了libwrapped库文件。没有显示,表示此服务器上安装的SSH没有应用libwrapped库文件,也就不能用tcp_Wrappers防火墙控制访问策略。按照以往的方法,分别在hosts.allowhosts.deny加入以下配置hosts.allowhosts.deny配置不生效的解决方法。
linux使用/etc/hosts.deny拒绝恶意ssh到本机
最新发布
潇洒哥的运维之道
05-11 691
etc/hosts.allow 优先于 /etc/hosts.deny。如果在allowdeny文件中都有某个ip,那么这个ip是被允许ssh。如果在allow中有,deny没有,那么这个ip是被允许ssh。如果allow中没有,deny有,那么这个ip是被禁止ssh。还可以在 /etc/hosts.deny文件里追加一个额外配置,让其读取另外一个ip列表。这样可以使你以后维护需要禁止的ip更方便。
Linux服务器通过hosts设置限制ssh访问
Hu_wen的专栏
06-19 1629
ACL 是 /etc/hosts.allow 和 /etc/hosts.deny 文件中的系统列表。2)hosts.allow填写sshd:all:allow,hosts.deny填写拒绝的IP网段范围,这样可以控制hosts.deny的网段能无法ssh登录计算机编辑完上面两个文件后,无需重启任何配置文件,即时生效。1)hosts.allow填写允许的IP网段范围,hosts.deny填写sshd:all:deny,这样可以控制只有hosts.allow的网段能ssh登录计算机。
利用hosts.allowhosts.deny限制IP登陆分解、iptables拒绝所有ip访问22端口,开通白名单、linux官方下载rpm包地址
崔崇鑫的博客,你linux/云运维工作中的百科全书。
06-28 7291
文章目录说明设置/etc/hosts.allow允许规则添加单条规则添加多条设置/etc/hosts.deny拒绝规则拒绝所有 说明 其实限制IP登陆用防火墙和这没有区别,只是有些没有使用防火墙的服务器,用该方法,就更方便一些。 有2个文件,一个是配置允许规则(/etc/hosts.allow),一个是配置拒绝规则(/etc/hosts.deny)。 设置/etc/hosts.allow允许规则 方法一:vim /etc/hosts.allow在最后面添加规则即可 方法二:echo "规则" >&gt
操作系统安全:配置etchosts.allow及etchosts.deny.docx
06-02
实验一:配置/etc/hosts.allow及/etc/hosts.deny 一、实验目的 了解/etc/hosts.allow与/etc/hosts.deny 掌握/etc/hosts.allow与/etc/hosts.deny配置 二、实验内容与步骤 简介 /etc/hosts.allow与/etc/hosts.deny简介 这两个文件是tcpd服务器配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。 比如SSH服务,我们通常只对管理员开放,那我们就可以禁用不必要的IP,而只开放管理员可
/etc/hosts.allow和/etc/hosts.deny的讲解
热门推荐
IChen.的博客
06-23 2万+
一、概述 这两个文件是tcpd服务器配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置
/etc下的host配置文件们
m0_46829545的博客
12-22 4811
/etc下的host配置文件们
Linux限制可通过SSH登录到服务器的IP——hosts.allow
szgyunyun的博客
03-07 3934
Linux服务器针对固定的IP进行禁止、允许登录 linux 服务器通过设置/etc/hosts.allow和/etc/hosts.deny这个两个文件进行限制。 优先级:hosts.allow大于hosts.deny 1、hosts.allow 可以允许某个或者某段IP地址远程 SSH 登录服务器,方法比较简单,且设置后立即生效,不需要重启SSHD服务,具体如下: vim /etc/hosts.allow 添加如下配置 sshd:10.11.10.10x:allow sshd:10.11.10.11x
linux中的/etc/hosts.allow和/etc/hosts.deny详解
weixin_43996007的博客
03-04 8636
linux中的/etc/hosts.allow和/etc/hosts.deny详解 当linux主机需要允许/禁止某些ip地址/地址段访问某些资源或服务时,/etc/hosts.allow和/etc/hosts.deny就派上了用场! 两个文件的配置格式是: 服务:地址:允许/禁止 其中,服务可以是sshd、vsftpd、smbd、telnetd,也可以是all(所有服务);地址可以是某个具体的ip地址,也可以是地址段,比如192.168.1.1,192.168.2.0/24,192.168.1.,192.
操作系统安全:详解etc hosts.deny .docx
06-04
通过熟练掌握/etc/hosts.deny和/etc/hosts.allow配置,系统管理员可以有效地实施安全策略,限制潜在的恶意访问,保护关键服务免受攻击。这对于服务器安全,特别是那些需要提供网络服务的系统来说至关重要。此外,...
linux防火墙-tcp wrapper的简单配置说明.docx
10-29
TCP Wrapper 的配置文件是 /etc/hosts.allow 和 /etc/hosts.deny,分别用于允许和拒绝访问。这些文件中的规则定义了哪些客户端可以访问哪些服务。 在配置 TCP Wrapper 时,需要注意以下几点: 1. 在 /etc/hosts....
TCPwrapper访问控制工具
01-09
1./etc/hosts.allow 允许访问的文件(优先) 2./etc/hosts.deny 拒绝访问的文件 TCPwrappers会先查找/etc/hosts.allow,再查找/etc/hosts.deny,如果两个配置中有冲突,先匹配中的优先,也就是/etc/hosts.allow中的...
【TCP wrappers】关于/etc/hosts.allow /etc/hosts.deny
michaelwoshi的博客
11-17 5239
一、关于/etc/hosts.allow /etc/hosts.deny 遇到一台服务器22端口正常,可是用SSH连接却有问题。 报错:ssh_exchange_identification: read: Connection reset by peer 排查了防火墙和端口,半天没发现问题,查询得知经过etc目录下hosts.denyhosts.allow文件能够限制远程访问。 我们可以通过配置hosts.allowhosts.deny来控制访问权限。 他们两个的关系为:/etc/hos.
centos7通过配置hosts.allowhosts.deny限制登陆教程
高性价比服务器就选:蓝易云
12-16 2064
文件中配置的规则,特定的主机将被允许或拒绝登录到您的CentOS 7系统。请确保您谨慎地配置这些文件,以避免意外地限制访问。同时,建议备份这些文件以备不时之需。文件,您可以在CentOS 7系统上限制特定主机的登录。从现在开始,根据您在。
etc/hosts.allow和/etc/hosts.deny详解
WEI的博客
03-04 1万+
修改/etc/hosts.allow文件 # # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the ‘/usr/sbin/tcpd’ server. # sshd:210.13.218.*:all...
防爆破登录:配置/etc/hosts.deny禁止ip尝试ssh或者telnet操作
学习记录
02-16 4532
买的tx云服务器,每天登录上去就提示成千上万条尝试登录记录,看着就烦。于是找到个禁止ip登录的方法。 /etc/hosts.allow和/etc/hosts.deny,这两个文件中添加ip可以允许和禁止指定ip登录。不过由于我登录的ip是动态的,只能使用deny文件去禁止其他ip登录。如果自己登录的IP是固定的,可以直接在deny配置sshd:all,再在allow配置sshd:你的IP,这样就只有你自己能登录了,不用再担心别人恶意爆破了。 配置如下 $ cat /etc/hosts.deny |hea
【树莓派不吃灰】基础篇⑮ SSH远程访问安全,涉及/etc/hosts.allow白名单 和 /etc/hosts.deny黑名单、ufw防火墙、密钥登录
单片机菜鸟爱学习的博客
11-06 3288
本篇围绕着如何在外网上面更安全访问我们的树莓派服务,并且接受了多种方式进行限制,但是博主还是比较建议方式3。
/etc/hosts.deny和/etc/hosts.allow 借号
07-22
/etc/hosts.deny和/etc/hosts.allow是Linux系统中用于配置网络访问控制的两个文件。它们通常用于限制或允许特定主机或网络的访问。 1. /etc/hosts.deny:这个文件用于定义被拒绝访问的主机或网络。当一个主机或网络尝试连接到系统上的服务时,系统会首先检查该文件。如果匹配到了被拒绝的主机或网络,系统将拒绝其访问。 2. /etc/hosts.allow:这个文件用于定义被允许访问的主机或网络。当一个主机或网络尝试连接到系统上的服务时,如果在hosts.deny中没有匹配到拒绝规则,那么系统会进一步检查该文件。如果匹配到了被允许的主机或网络,系统将允许其访问。 这两个文件通常使用TCP Wrappers(也称为hosts_access)来实现访问控制。TCP Wrappers是一种基于主机名、IP地址和网络掩码的简单访问控制机制,它可以应用于一些常见的网络服务,如SSH、FTP、Telnet等。 需要注意的是,如果某个主机既在hosts.deny中被拒绝,又在hosts.allow中被允许,那么最终的结果是拒绝访问。因此,hosts.deny中的规则优先级高于hosts.allow中的规则。 通过编辑这两个文件,管理员可以根据需要设置访问控制规则,以增强系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值