`
purpen
  • 浏览: 796692 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Linux hosts.allow与hosts.deny文件设置

linux安全策略hosts.deny服务器攻击 
阅读更多

redhat as4常用应用之hosts.allow和hosts.deny

一、概述

这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:

#服务进程名:主机列表:当规则匹配时可选的命令操作
server_name:hosts-list[:command]
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。

/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。
比如SSH服务,我们通常只对管理员开放,那我们就可以禁用不必要的IP,而只开放管理员可能使用到的IP段。

二、配置

1、修改/etc/hosts.allow文件
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the ‘/usr/sbin/tcpd’ server.
#
sshd:210.13.218.*:allow
sshd:222.77.15.*:allow

all:218.24.129.110 #表示接受110这个ip的所有请求!

in.telnetd:140.116.44.0/255.255.255.0
in.telnetd:140.116.79.0/255.255.255.0
in.telnetd:140.116.141.99
in.telnetd:LOCAL
smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务

#sendmail:192.168.1.0/255.255.255.0
#pop3d:192.168.1.0/255.255.255.0
#swat:192.168.1.0/255.255.255.0
pptpd:all EXCEPT 192.168.0.0/255.255.255.0
httpd:all
vsftpd:all

以上写法表示允许210和222两个ip段连接sshd服务(这必然需要hosts.deny这个文件配合使用),当然:allow完全可以省略的。

ALL要害字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。

2、修改/etc/hosts.deny文件

#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the ‘/usr/sbin/tcpd’ server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
sshd:all:deny

in.telnet:ALL

ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,\
202.10.5.0/255.255.255.0

注意看:sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。

3、启动服务
注意修改完后:
#service xinetd restart
才能让刚才的更改生效。

=======================================================

hosts.allow与hosts.deny
两个文件均在/etc/目录下
优先级为先检查hosts.deny,再检查hosts.allow,
后者设定可越过前者限制,

例如:
1.限制所有的ssh,
除非从218.64.87.0——127上来。
hosts.deny:
in.sshd:ALL
hosts.allow:
in.sshd:218.64.87.0/255.255.255.128

2.封掉218.64.87.0——127的telnet
hosts.deny
in.sshd:218.64.87.0/255.255.255.128

3.限制所有人的TCP连接,除非从218.64.87.0——127访问
hosts.deny
ALL:ALL
hosts.allow
ALL:218.64.87.0/255.255.255.128

4.限制218.64.87.0——127对所有服务的访问
hosts.deny
ALL:218.64.87.0/255.255.255.128

其中冒号前面是TCP daemon的服务进程名称,通常系统
进程在/etc/inetd.conf中指定,比如in.ftpd,in.telnetd,in.sshd

其中IP地址范围的写法有若干中,主要的三种是:
1.网络地址——子网掩码方式:
218.64.87.0/255.255.255.0
2.网络地址方式(我自己这样叫,呵呵)
218.64.(即以218.64打头的IP地址)
3.缩略子网掩码方式,既数一数二进制子网掩码前面有多少个“1”比如:
218.64.87.0/255.255.255.0《====》218.64.87.0/24

 

分享到:
| linux禁止root通过SSH远程登录访问设置
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    操作系统安全:配置etchosts.allow及etchosts.deny.docx

    /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。 比如SSH服务,我们通常只对管理员开放,那我们就可以禁用不必要的IP,而只开放...

    openssh 8.4版本的RPM包,支持hosts.allow的版本 openssh-server-8.4p1-1.el7.centos.x86_64.rpm

    openssh-server-8.4p1-1.el7.centos.x86_64.rpm源生的openssh的版本不支持tcpwraper

    操作系统安全:详解etc hosts.deny .docx

    如果配置文件中存在冲突,即同时在/etc/hosts.allow和/etc/hosts.deny中为同一服务指定了规则,则以/etc/hosts.deny中的规则为准,即默认拒绝策略。 这两个文件的工作机制是这样的:当远程服务请求到来时,TCP...

    linux ip访问限制

    `/etc/hosts.allow` 和 `/etc/hosts.deny` 文件是 Linux 系统中用于控制访问权限的两个重要文件。通过编辑这两个文件,我们可以允许或禁止某些 IP 访问系统的某些服务。 首先,我们需要切换到 root 账户,使用命令...

    用TCP Wrappers加固Linux.pdf

    TCP Wrappers是一个安全工具,它通过控制 `/etc/hosts.allow` 和 `/etc/hosts.deny` 两个配置文件,来决定哪些远程主机和服务可以访问系统上的网络服务。 首先,`hosts.allow` 文件用于指定允许访问的主机和服务,...

    Linux下安装ssh

    hosts.deny文件用于屏蔽来自所有的ssh连接请求,而hosts.allow文件用于允许来自内网的ssh连接请求。例如,可以在hosts.deny文件中添加一行sshd: ALL,以屏蔽来自所有的ssh连接请求。在hosts.allow文件中,可以添加...

    tcp_wrapper源代码

    这个源代码库通常包含在`tcp_wrappers_7.6`这样的版本包中,允许管理员通过配置文件(如`/etc/hosts.allow`和`/etc/hosts.deny`)来定义哪些远程主机可以连接到特定的服务。以下是关于TCP_Wrapper源代码的一些关键...

    Linux服务器管理技术实验指导(2)[整理].pdf

    实验一主要涉及Linux网络基础,特别是通过配置 `/etc/hosts.allow` 和 `/etc/hosts.deny` 文件来控制特定IP地址、网段和域名对本地服务的访问权限。例如,实验要求只允许172.16.100.0/24网段访问VSFTPD服务,而拒绝...

    Linux网络服务器配置习题解析.docx

    在这个例子中,vsftpd服务只允许192.168.1.2访问,因为`hosts.allow`包含了这个地址,而`hosts.deny`中的设置不会覆盖`hosts.allow`。 这些知识点是Linux网络服务器管理和安全的基础,对于构建和维护稳定、安全的...

    myfile.zip

    例如,检查`resolv.conf`中的DNS服务器是否正确,`hosts`文件中是否有必要的域名映射,以及`hosts.allow`和`hosts.deny`是否允许了必要的网络访问。 总的来说,这些文件共同作用于开发板的网络配置,确保它能够正常...

    理解 Linux 配置文件.doc

    5. 安全性控制:/etc/hosts.allow和/etc/hosts.deny分别定义了允许和禁止的网络访问规则。 6. 其他:例如,/etc/redhat-release记录了Red Hat Linux的版本信息。 理解并掌握这些配置文件是管理和优化Linux系统的...

    linuxFTP设置.pdf

    13. tcp_wrappers:允许使用TCP Wrapper来控制对FTP服务的访问,通常与/etc/hosts.allow和/etc/hosts.deny文件结合使用。 14. pam_service_name:指定PAM(Pluggable Authentication Modules)配置文件的名称。 15...

    linux notes.pdf

    - `hosts.allow`和`hosts.deny`控制哪些机器可以使用inetd服务。 - `gateways`定义了路由器。 - `protocols`列出了系统支持的网络协议。 - `named.boot`用于配置DNS服务。 - `sysconfig/network-scripts/ifcfg-eth0`...

    3.linux加固.pdf

    - 主机访问控制:通过 `/etc/hosts.allow` 和 `/etc/hosts.deny` 配置文件来控制哪些IP可以访问系统。 3. **安全审计**: - 安全日志完备性:`/etc/rsyslog.conf` 文件用于配置日志记录,确保包含如 `*.err;kern....

    安全防护Linux.pdf

    6. **控制远程访问**:通过`/etc/hosts.allow`和`/etc/hosts.deny`文件控制远程主机对本地服务的访问。默认情况下,所有服务都对所有外部主机关闭,除非在`hosts.allow`中明确指定允许的IP或主机名。 7. **限制...

    快捷配置apache虚拟目录和HOSTS文件

    Order allow,deny Allow from all ``` 这里,`ServerName`是你的域名,`DocumentRoot`是网站的根目录。 3. **更新HOSTS文件**:为了让本地机器识别这个虚拟域名,我们需要编辑HOSTS文件(`/etc/hosts`或`C:...

    Linux 基本设置技巧:如何使用tcpwrappers控制文件

    Linux系统中的tcpwrappers是一种强大的安全工具,它允许管理员通过设置`hosts.allow`和`hosts.deny`两个访问控制文件来控制哪些网络服务可以接受来自特定客户端的连接。这两个文件基于简单的规则集,用于增强系统...

Magicbox
Global site tag (gtag.js) - Google Analytics