linux下 /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的，通过他可以允许或者拒绝

etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的，通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。
比如SSH服务，我们通常只对管理员开放，那我们就可以禁用不必要的IP，而只开放管理员可能使用到的IP段。

使用：

修改/etc/hosts.allow文件

hosts.allow This file describes the names of the hosts which are

allowed to use the local INET services, as decided

by the ‘/usr/sbin/tcpd’ server.

sshd:210.13.218.*:allow

sshd:222.77.15.*:allow

以上写法表示允许210和222两个ip段连接sshd服务（这必然需要hosts.deny这个文件配合使用），当然:allow完全可以省略的。

当然如果管理员集中在一个IP那么这样写是比较省事的

all:218.24.129.110//他表示接受110这个ip的所有请求！

/etc/hosts.deny文件，此文件是拒绝服务列表，文件内容如下：

hosts.deny This file describes the names of the hosts which are

not allowed to use the local INET services, as decided

by the ‘/usr/sbin/tcpd’ server.

The portmap line is redundant, but it is left to remind you that

the new secure portmap uses hosts.deny and hosts.allow. In particular

you should know that NFS uses portmap!

sshd:all:deny

注意看：sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。

所以：当hosts.allow和 host.deny相冲突时，以hosts.allow设置为准。

注意修改完后：

service xinetd restart

才能让刚才的更改生效。

总结：通过这种方法可以控制部分非授权访问，但不是一劳永逸的方法！我们在看服务日志的时候或许会看到很多扫描记录，不是还是直接针对root用户的，这时控制你的访问列表就非常有作用了！
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
redhat as4常用应用之hosts.allow和hosts.deny

一、概述

这两个文件是tcpd服务器的配置文件，tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下：

#服务进程名:主机列表:当规则匹配时可选的命令操作
server_name:hosts-list[:command]
/etc/hosts.allow控制可以访问本机的IP地址，/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突，以/etc/hosts.deny为准。

/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的，通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。
比如SSH服务，我们通常只对管理员开放，那我们就可以禁用不必要的IP，而只开放管理员可能使用到的IP段。

二、配置

1、修改/etc/hosts.allow文件

hosts.allow This file describes the names of the hosts which are
allowed to use the local INET services, as decided
by the ‘/usr/sbin/tcpd’ server.
sshd:210.13.218.:allow
sshd:222.77.15.:allow

all:218.24.129.110 #表示接受110这个ip的所有请求！

in.telnetd：140.116.44.0/255.255.255.0
in.telnetd：140.116.79.0/255.255.255.0
in.telnetd：140.116.141.99
in.telnetd：LOCAL
smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务

#sendmail:192.168.1.0/255.255.255.0
#pop3d:192.168.1.0/255.255.255.0
#swat:192.168.1.0/255.255.255.0
pptpd:all EXCEPT 192.168.0.0/255.255.255.0
httpd:all
vsftpd:all

以上写法表示允许210和222两个ip段连接sshd服务（这必然需要hosts.deny这个文件配合使用），当然:allow完全可以省略的。

ALL要害字匹配所有情况，EXCEPT匹配除了某些项之外的情况，PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。

2、修改/etc/hosts.deny文件

hosts.deny This file describes the names of the hosts which are
not allowed to use the local INET services, as decided
by the ‘/usr/sbin/tcpd’ server.
The portmap line is redundant, but it is left to remind you that
the new secure portmap uses hosts.deny and hosts.allow. In particular
you should know that NFS uses portmap!
sshd:all:deny

in.telnet：ALL

ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,
202.10.5.0/255.255.255.0

注意看：sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。

3、启动服务
注意修改完后：
#service xinetd restart
才能让刚才的更改生效。

=======================================================

hosts.allow与hosts.deny
两个文件均在/etc/目录下
优先级为先检查hosts.deny，再检查hosts.allow，
后者设定可越过前者限制，

例如：
1.限制所有的ssh，
除非从218.64.87.0——127上来。
hosts.deny:
in.sshd:ALL
hosts.allow:
in.sshd:218.64.87.0/255.255.255.128

2.封掉218.64.87.0——127的telnet
hosts.deny
in.sshd:218.64.87.0/255.255.255.128

3.限制所有人的TCP连接，除非从218.64.87.0——127访问
hosts.deny
ALL:ALL
hosts.allow
ALL:218.64.87.0/255.255.255.128

4.限制218.64.87.0——127对所有服务的访问
hosts.deny
ALL:218.64.87.0/255.255.255.128

其中冒号前面是TCP daemon的服务进程名称，通常系统
进程在/etc/inetd.conf中指定，比如in.ftpd，in.telnetd，in.sshd

其中IP地址范围的写法有若干中，主要的三种是：
1.网络地址——子网掩码方式：
218.64.87.0/255.255.255.0
2.网络地址方式（我自己这样叫，呵呵）
218.64.（即以218.64打头的IP地址）
3.缩略子网掩码方式，既数一数二进制子网掩码前面有多少个“1”比如：
218.64.87.0/255.255.255.0《====》218.64.87.0/24