Hosts.deny hosts.allow

基本语法:

daemon list:client list:option


tcpwrraper自身工作在内核,却可以通过这两个文件来提供访问控制


                  请求

          ↓              

       服务   --->/etc/hosts.allow     --->     如有有就放行

                                    ↓         没有

                          /etc/hosts.deny     ---->    如果没有就放行      

                                    ↓                    

                                                       如果有明确的匹配条目拒绝

/etc/hosts.allow|deny文件格式:damon_list: client_list [:option]


option值:

sshd:192.168.87.128:severity warn

severityn. 严重;严格;猛烈

这里默认的是将tcpwrapperhost.deny中的产生的消息错误警告放到authpriv.info中对应的日志文件中,可以在/etc/syslog查看。例如/etc/syslog authpriv.warn /var/log/hosts.deny。在hosts.deny中是这样设置的sshd : ALL : severity warn ,那么这就表示的是当有用户ssh我的主机的时候,只有达到了warn的状态才写日志了

twistvt.捻;拧;扭伤;编织;使苦恼

spawnn. 卵;菌丝;产物vt. 产卵;酿成,造成;大量生产


spawn 表示的是将命令执行在本机

twist表示的是将命令执行在对方的机器或者是在对方的日志中

/etc/hosts.deny中设置如下(banner旗帜,横幅;标语


sshd:192.168.87.128:spawn /bin/echo "aaaaa" >> /root/a

[root@centos6 ~]# tail /root/a
aaaaa


sshd:192.168.87.128:twist  /bin/echo "aaaaa"


 那么要想完成这个功能,就要在/var/banners下建立一个和进程名一样的文件,然后将banner写在这个文件里面