利用hosts.allow和hosts.deny限制IP登陆分解、iptables拒绝所有ip访问22端口,开通白名单、linux官方下载rpm包地址

已于 2024-03-01 19:07:57 修改
阅读量9.3k 收藏 28
点赞数 5
分类专栏: 玩转linux7+ 文章标签: 运维 linux ssh hosts.deny
于 2020-06-28 11:09:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cuichongxin/article/details/106994546
版权
本文详细介绍如何使用Linux系统下的hosts.allow和hosts.deny文件来精确控制SSH服务的访问权限,包括添加单条或多条允许和拒绝规则,以及如何处理规则不生效的问题。同时,提供了iptables的替代方案,用于拒绝所有IP访问SSH端口并开通白名单。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

说明

其实限制IP登陆用防火墙和这没有区别,只是有些没有使用防火墙的服务器,用该方法,就更方便一些。
有2个文件,一个是配置允许规则(/etc/hosts.allow),一个是配置拒绝规则(/etc/hosts.deny)。

设置/etc/hosts.allow允许规则

方法一:vim /etc/hosts.allow 在最后面添加规则即可
方法二:echo "规则" >> /etc/hosts.allow

添加单条规则

[root@compute1 ~]# echo "sshd:192.168.0.:allow" >>/etc/hosts.allow (此规则为允许192.168.0.段的IP访问SSH服务)

添加多条

多个IP用逗号隔开即可:
[root@compute1 ~]# echo "sshd:192.168.0.,10.233.0.1,10.0.1.:allow" >>/etc/hosts.allow
注:10.10..10.10.0.* :都是放开一个段的格式

这些规则设置完毕后是默认生效的,如果没有立即生效,可以重启xinetd服务:systemctl restart xinetd

设置/etc/hosts.deny拒绝规则

如果我们只是想拒绝某些ip登陆,其他都允许,则在/etc/hosts.deny中添加需要拒绝的IP或IP段即可,添加规则和/etc/hosts/allow一样。

但一般情况使用更多的是,只允许某些IP或IP段能登陆,其他都拒绝,则我们在allow中设置好允许登陆的IP,然后deny中直接all(拒绝所有)即可。 因为规则是以allow优先的,即使重复了,也是以allow为准。

拒绝所有

设置拒绝所有之前,务必先配置好allow中的规则,否则自己也登陆不了了,只能通过后台弄,稍显麻烦。
[root@compute1 ~]# echo "sshd:all:deny" >>/etc/hosts.deny

这些规则设置完毕后是默认生效的,如果没有立即生效,可以重启xinetd服务:systemctl restart xinetd

hosts.deny不生效处理方法

说明

  • hosts.allow和hosts.deny属于tcp_Wrappers防火墙的配置文件,而用tcp_Wrappers防火墙控制某一服务访问策略的前提是,该服务支持tcp_Wrappers防火墙,即该服务应用了libwrapped库文件。

  • 查看某服务(如ssh)是否应用了libwrapped库文件的方法是:
    ldd /usr/sbin/sshd |grep libwrap.so.0

  • 没有显示,表示此服务器上安装的SSH没有应用libwrapped库文件,也就不能用tcp_Wrappers防火墙控制访问策略。(一般情况下服务器默认安装的SSH都是支持libwrapped库文件,这台服务器不清楚为什么不支持)

  • 我这有台主机就不支持【BClinux8.2】,如下,2个服务和正常的对比,白色的为正常的。

    • 1、方式1
      在这里插入图片描述
    • 方式2
      在这里插入图片描述

解决方法【linux官方下载rpm包地址】

  • 下面方式来源于百度,仅供参考,下面我都试过了,不能解决。。
    而且BClinux我连tcp_Wrappers这个包都安装不了,最终无法解决。改用iptables限制。。。

  • 最极端的方式重新安装SSH。慎用

yum -y remove openssh && yum -y install openssh && yum -y install openssh-server && yum -y install openssh-client

#安装完成后再次查看是否应用了libwrapped库文件,显示支持。

# ldd /usr/sbin/sshd |grep libwrap.so.0
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f3fb7f09000)
  • 你可以根据你的系统,自行百度 : 安装tcp_Wrappers方法
    提供一个官方下载rpm包的地址,官方的,很全。
    https://centos.pkgs.org/
    在这里插入图片描述

iptables拒绝所有ip访问22端口,开通白名单

临时生效

只允许1.2.3.4上使用ssh远程登录,其他IP禁止使用ssh,注意顺序,要先允许在拒绝

iptables -A INPUT -s 1.2.3.4 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

配置文件生效

防爆破登录:配置/etc/hosts.deny禁止ip尝试ssh或者telnet操作
学习记录
02-16 4858
买的tx云服务器,每天登录上去就提示成千上万条尝试登录记录,看着就烦。于是找到个禁止ip登录的方法。 /etc/hosts.allow/etc/hosts.deny,这两个文件中添加ip可以允许禁止指定ip登录。不过由于我登录的ip是动态的,只能使用deny文件去禁止其他ip登录。如果自己登录的IP是固定的,可以直接在deny中配置sshd:all,再在allow中配置sshd:你的IP,这样就只有你自己能登录了,不用再担心别人恶意爆破了。 配置如下 $ cat /etc/hosts.deny |hea
Linux hosts.allowhosts.deny控制网络访问
cunjiu9486的博客
10-11 1752
Linux have different type of perimeters to restrict and control network access. hosts.allowand hosts.denyfiles are one way of those. The TCP wrapper, ssh, ftp applications generally use rules provid...
使用hosts.allowhosts.deny实现简单的防火墙
weixin_34055787的博客
01-24 447
说明:我建议学习防火墙只单一学习一种就够了,这种方式虽然简单快速,但也有些不太灵活,所以如果要深入防火墙建议转iptables  一、背景简介 在Linux上多用iptables限制sshtelnet,编缉hosts.allowhosts.deny感觉比较麻烦比较少用。 二、hosts.allowhosts.deny支持哪些服务 2.1、hosts.allowhosts.den...
深入解析/etc/hosts.allow与 /etc/hosts.deny:灵活控制 Linux 网络访问权限
最新发布
XMYX-0
03-01 2037
TCP Wrappers 是一个基于主机的访问控制系统,通过封装网络服务(如sshdvsftpd等),在服务请求到达前进行权限验证。只有支持libwrap库的服务才能使用此机制(可以通过来验证服务是否启用了 TCP Wrappers)。文件是 TCP Wrappers 的一部分,用于控制主机对系统上服务的访问权限。它们的主要作用是通过 IP 地址、主机名或网络地址来允许或拒绝远程主机的访问。:定义允许访问指定服务的主机或网络。:定义拒绝访问指定服务的主机或网络。
/etc/hosts.allow 及 /etc/hosts.deny关系(转http://www.blogchinese.com/50989/viewspace-1077409)
fjfdszj的专栏
11-17 1358
/etc/hosts.allow 及 /etc/hosts.deny关系<br />上一篇 / 下一篇  2008-04-02 10:50:00 / 个人分类:linux学习查看( 158 ) / 评论( 0 ) / 评分( 0 / 0 )他们两个的关系为:/etc/hosts.allow 的设定优先于 /etc/hosts.deny<br />1. 当档案 /etc/hosts.allow 存在时,则先以此档案内之设定为准;<br />2. 而在 /etc/hosts.allow 没有规定到的事项,将在
通过hosts.allowhosts.deny限制用户登录
beck_li的博客
09-16 1820
如果请求访问的主机名或IP含在/etc/hosts.allow中,那么tcpd进程就检查/etc/hosts.deny。如果含,那么访问就被拒绝;如果既不含在/etc/hosts.allow中,又不含在/etc /hosts.deny中,那么此访问也被允许。hosts.allowhosts.deny属于tcp_Wrappers防火墙的配置文件,而用tcp_Wrappers防火墙控制某一服务访问策略的前提是,该服务支持tcp_Wrappers防火墙,即该服务应用了libwrapped库文件。
[RHEL5企业级Linux服务攻略]第12季_网络访问TelnetSSH全功略可用.pdf
02-22
- 访问控制:可以通过`/etc/hosts.allow``/etc/hosts.deny`文件限制客户端访问。 - 连接限制:在`/etc/xinetd.d/telnet`文件中设置`instances`参数来限制最大连接数。 - 启动与关闭:使用`chkconfig --level 35 ...
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2445
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
Linux基础选择题一套(共100道,送给即将考试的小白们)
czxylzl的博客
10-30 6308
答案在最下面 cron 后台常驻程序 (daemon) 用于: A. 负责文件在网络中的共享 B. 管理打印子系统 C. 跟踪管理系统信息错误 D. 管理系统日常任务的调度 在大多数Linux发行版本中,以下哪个属于块设备 (block devices) ? A. 串行口 B. 硬盘 C. 虚拟终端 D. 打印机 下面哪个Linux命令可以一次显示一页内容? A. pause B. ...
找工作笔试面试那些事儿(17)---linux测试题
寒小阳
09-22 1万+
作者:寒小阳 时间:2013年9月。 出处:http://blog.csdn.net/han_xiaoyang/article/details/11400719。 声明:版权所有,转载请注明出处,谢谢。    在对linux基本知识的归纳总结之后,这里是一份linux的测试题。希望能帮助大家复习熟悉linux知识。 一、选择题 1.cron 后台常驻程序 (daemon) 用
网络系统管理Linux练习题2解题笔记
dekangzou的博客
12-17 1511
网络系统管理Linux 172.16网段服务配置
hosts.allowhosts.deny详解
zyqash的博客
10-29 2558
这条规则允许访问sshd,并将 "Access granted to %c" 写入日志文件。libwrap库是一个独立的库文件,通常以共享库的形式存在,一般命名为libwrap.so。在 CentOS 或其他 Linux 系统上,这个文件的路径通常是或,取决于系统架构库的安装位置。libwrap提供了的核心功能,使服务程序可以调用其函数(如)来解析中的规则。因此,只要应用程序在编译时链接了libwrap库,就可以直接使用进行访问控制,而不需要额外的配置。
/etc/hosts.allow/etc/hosts.deny的讲解
热门推荐
IChen.的博客
06-23 2万+
一、概述 这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow/etc/hosts.deny两个文件是控制远程访问设置
hosts.allowhosts.deny
wanchaopeng的博客
03-12 2689
对于能过xinetd程序启动的网络服务,比如ftp telnet,我们就可以修改/etc/hosts.allow/etc/hosts.deny的配制,来许可或者拒绝哪些IP、主机、用户可以访问 比如我们在/etc/hosts.allow中加入 all:27.24.128. 这样就会允许来自27.24.128.*域的所有的客户来访问。这只是举个例子,实际上,系统默认状态 下,都是能用这些网络...
hosts.allowhosts.deny文件
weixin_33757911的博客
04-10 396
  之前想通过外部主机访问自己主机上的VMWare虚拟机,使用了VMWare的NAT端口映射,经过一番尝试,算是成功了,总结一下。   VMWare NAT端口映射就可以将虚拟机上的服务映射成自己主机上的端口,以供外部访问。不过需要主机上的windows系统开放相应的防火墙,windows的资料查起来比较困难,使用价值也不大,所以没有深究,目前直接关闭防火墙,以后有真正的需求再认真研究。   ...
hosts.allowhosts.deny 文件
Anonymous-1
11-03 1737
文件优先级: 先 deny,后 allow,如有冲突则按 allow 文件内的规则处理 hosts.allow 文件 hosts.allow 文件内的内容为允许服务列表 默认路径:/etc/hosts.allow 格式:服务名 + IP + allow sshd:all:allow # 允许所有主机 sshd:192.168.1.:allow # 允许 1.X 的所有主机 sshd:192.168.1.*:allow # 允许 1.X 的所有主机 sshd:192.16
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

҉人间无事人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值