linux hosts的allow和deny

linux hosts的allow和deny


/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。


网络防火墙是阻挡非授权主机访问网络的第一道防护,但是它们不应该仅有一道屏障。

Linux使用了两个文件/etc/host.allow和/etc/hosts.deny,根据网络请求的来源限制对服务的访问。

host.allow文件列出了允许连接到一个特定服务的主机,而hosts.deny文件则负责限制访问。

不过,这两个文件只控制对有hosts_access功能的服务(如xinetd所管理的那些服务、sshd和某些配置的sendmail)的访问。

在大多数情况下,明智的做法是先做限制,然后只允许从指定主机访问关键服务。

我们建议,默认在hosts.deny文件中加上下面这一行配置,拒绝所有的访问:

ALL:ALL

接下来,您可以在hosts.allow文件中逐个开放访问许可。下面的配置允许从网络192.168/16访问SSH,而从任何地方访问sendmail。

sshd: 192.168.0.0/255.255.0.0

sendmail: ALL

 

两个文件每行配置的格式都是service: host或者service: network。失败的连接企图被记录到syslog中。从没有得到允许访问该服务的主机来的连接会被立即关闭。

大多数Linux发行版本默认都带host.allow和hosts.deny,但是它们通常为空。



修改/etc/hosts.allow文件

#

# hosts.allow This file describes the names of the hosts which are

# allowed to use the local INET services, as decided

# by the ‘/usr/sbin/tcpd’ server.

#

sshd:210.13.218.*:allow

sshd:222.77.15.*:allow


以上写法表示允许210和222两个ip段连接sshd服务(这必然需要hosts.deny这个文件配合使用),当然:allow完全可以省略的。

当然如果管理员集中在一个IP那么这样写是比较省事的

all:218.24.129.110 //他表示接受110这个ip的所有请求!



/etc/hosts.deny文件,此文件是拒绝服务列表,文件内容如下:

#

# hosts.deny This file describes the names of the hosts which are

# *not* allowed to use the local INET services, as decided

# by the ‘/usr/sbin/tcpd’ server.

#

# The portmap line is redundant, but it is left to remind you that

# the new secure portmap uses hosts.deny and hosts.allow. In particular

# you should know that NFS uses portmap!

sshd:all:deny


注意看:sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。

所以:当hosts.allow和 host.deny相冲突时,以hosts.allow设置为准。


注意修改完后:

service xinetd restart

才能让刚才的更改生效。

/etc/hosts.allow(允许)和/etc/hosts.deny(禁止)这两个文件是tcpd服务器的配置文件

tcpd服务器可以控制外部IP对本机服务的访问

linux 系统会先检查/etc/hosts.deny规则,再检查/etc/hosts.allow规则,如果有冲突 按/etc/hosts.allow规则处理

比如:

1.禁止所有ip访问linux 的ssh功能

可以在/etc/hosts.deny添加一行 sshd:all:deny

2.禁止某一个ip(192.168.11.112)访问ssh功能

可以在/etc/hosts.deny添加一行sshd:192.168.11.112

3.如果在/etc/hosts.deny和/etc/hosts.allow同时 有sshd:192.168.11.112 规则,则192.168.11.112可以访问主机的ssh服务




你可能感兴趣的:(linux,hosts.deny,hosts.allow)