配置hosts.allow和hosts.deny 控制登陆

最新推荐文章于 2024-10-29 18:16:42 发布
转载 最新推荐文章于 2024-10-29 18:16:42 发布 · 494 阅读 · 2

本文介绍如何通过修改hosts.allow和hosts.deny文件来控制特定IP地址对Linux服务器的SSH远程访问权限,包括允许和禁止访问的具体操作步骤。

对于 Linux 安全性,我们以前视频中 演示了Linux自带防火墙 iptables的配置。

其实还有其他办法来提高Linux安全性,例如 修改 hosts.allow , hosts.deny

这2个文件来配置 允许某个ip访问 , 或者禁止访问。

通常我们设置限制 sshd 的远程访问,

下面演示一下:

只允许某个ip通过sshd 远程登录管理服务器。

hosts.allow , hosts.deny 这2个文件在 /etc 目录下,

我使用 CentOS5.1 Linux 来演示一下,其实适用很多版本的 Linux 吧。

首先修改 /etc/hosts.deny

加入  sshd:all 表示禁止所有ip访问 sshd 这个进程吧,这样理解

刚才远程登录出现了问题,好修改完,保存退出。

是吧,如果你现在 重新远程登录就会发现无法登陆上去了。

那么我们还要修改 hosts.allow  允许我们自己的ip登陆上去,现在没有办法了,
只能在主机上登录上去修改。

xp 下: cmd->ipconfig

Ethernet adapter 本地连接:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 192.168.1.2

查看本机ip: 192.168.1.2

然后修改 /etc/hosts.allow 
加入 sshd:192.168.1.2 保存退出。

现在我们再试一下  通过 sshd 远程登录是否成功。

现在可以成功登陆了。
----------------------------
 /etc/hosts.allow 
加入 sshd:192.168.1.2

修改 /etc/hosts.deny
加入  sshd:all

表示 只允许 ip为 192.168.1.2 登陆到sshd

====================================

如果禁止某个ip访问呢 ?

其实也很简单,看我演示一下, 好了,我首先把刚才的全部去掉。。。

现在来修改  /etc/hosts.deny

修改 /etc/hosts.deny
加入  sshd:192.168.1.2

这样就禁止了 192.168.1.2 远程访问 sshd进程了,

这个限制 sshd 访问,我觉得还是挺方便的,比起如果通过修改 iptables Linux 自带防火墙

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/29065182/viewspace-1162565/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/29065182/viewspace-1162565/

csdn426523
关注
openssh 8.4版本的RPM包,支持hosts.allow的版本 openssh-server-8.4p1-1.el7.centos.x86_64.rpm
10-13
openssh-server-8.4p1-1.el7.centos.x86_64.rpm源生的openssh的版本不支持tcpwraper
DenyHosts 安装及配置详解
weixin_34415923的博客
08-08 190
http://www.vpser.net/security/denyhosts.html http://moo1985.blog.51cto.com/401365/290662 http://www.lllusion.com/?p=437 DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc...
限制ip ssh远程登录
weixin_30325971的博客
12-11 380
有时候为了服务器的安全考虑,我们可以在服务器上做限制,禁止其他ip地址连接服务器。 方法一:修改ssh配置文件 其实做这个操作很简单,只需要改/etc/ssh/sshd_config配置文件,再最后一行添加下面语句即可 allowusers root@49.4.151.24 ##注意此处添加的ip地址应为内网出口的公网ip地址,而不是局域网的内网ip allowuser...
服务器安全加固之通过/etc/hosts.allow/etc/hosts.deny限制可以登录服务器的ip
weixin_42730504的博客
05-31 952
一,首先讨论/etc/hosts.allow/etc/hosts.deny文件控制 1.一个IP请求连入,linux的检查策略是先看/etc/hosts.allow中是否允许,如果允许直接放行;如果没有,则再看/etc/hosts.deny中是否禁止,如果禁止那么就禁止连入。 2.实验发现对/etc/hosts.allow/etc/hosts.deny配置不用重启就立即生...
Linux基本安全设置
weixin_34405925的博客
09-18 197
一 :禁止用户su 1. 修改配置文件 /etc/pam.d/su ,取消下面一行的注释.auth required /lib/security/$ISA/pam_wheel.so use_uid 2. 將允许 使用 su 的用户名 加入用户组 wheel .#vi /etc/group wheel:x:10:hacder,dege,root 自己实验成功; 二 禁...
利用hosts.allowhosts.deny限制IP登陆分解、iptables拒绝所有ip访问22端口,开通白名单、linux官方下载rpm包地址
崔崇鑫的博客,你linux/云运维工作中的百科全书。
06-28 9736
文章目录说明设置/etc/hosts.allow允许规则添加单条规则添加多条设置/etc/hosts.deny拒绝规则拒绝所有 说明 其实限制IP登陆用防火墙这没有区别,只是有些没有使用防火墙的服务器,用该方法,就更方便一些。 有2个文件,一个是配置允许规则(/etc/hosts.allow),一个是配置拒绝规则(/etc/hosts.deny)。 设置/etc/hosts.allow允许规则 方法一:vim /etc/hosts.allow在最后面添加规则即可 方法二:echo "规则" >&gt
操作系统安全:配置etchosts.allow及etchosts.deny.docx
06-02
/etc/hosts.allow/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。 比如SSH服务,我们通常只对管理员开放,那我们就可以禁用不必要的IP,而只开放...
如何正确地编写`hosts.allow``hosts.deny`文件中的规则?
09-12
`hosts.allow``hosts.deny`是用于控制基于TCP Wrappers程序访问权限的配置文件。TCP Wrappers是一种用于监控控制进入的网络请求的工具,主要用于提供简单的访问控制列表功能。规则的编写应遵循以下格式: 1. ...
linux服务器下的hosts.allowhosts.deny文件
04-01
hosts.allow hosts.deny 文件是 Linux 中用于控制网络访问的文件。它们通常存储在 /etc 目录下。 hosts.allow 文件用于允许特定的 IP 地址或主机名访问服务器上的服务。可以在 hosts.allow 文件中添加规则来允许...
linux系统hosts.allowhosts.deny如何限制ipv6地址
09-24
Linux 系统中的 `hosts.allow` `hosts.deny` 文件主要用于防火墙规则,它们控制了哪些主机可以访问本地网络服务。对于 IPv6 地址的管理,这两个文件同样适用,不过需要使用双冒号 (`::`) 来表示IPv6 地址范围。 ...
hosts.allowhosts.deny详解
zyqash的博客
10-29 4667
这条规则允许访问sshd,并将 "Access granted to %c" 写入日志文件。libwrap库是一个独立的库文件,通常以共享库的形式存在,一般命名为libwrap.so。在 CentOS 或其他 Linux 系统上,这个文件的路径通常是或,取决于系统架构库的安装位置。libwrap提供了的核心功能,使服务程序可以调用其函数(如)来解析中的规则。因此,只要应用程序在编译时链接了libwrap库,就可以直接使用进行访问控制,而不需要额外的配置
linux hosts.allow 只允许adsl动态ip登录
weixin_33800593的博客
09-29 186
【场景】公司采用ADSL拨号上网,即上网获得是动态IP。服务器安全策略升级,只允许公司内可以访问服务器。实现过程:服务器指定固定IP可以访问服务器,其实很容易,一般有以下三下方法:方法一: 在/etc/hosts.allow中添加允许ssh登陆的ip或者网段 sshd:192.168.1.2:allow或者 sshd:192.168.1.0/24:allow 在/...
centos白名单(访问控制) /etc/hosts.allow
nanhavezhi的博客
07-10 4627
公司过等保,安全加固,系统白名单 修改 /etc/hosts.allow vim /etc/hosts.allow sshd:192.168.121.35:allow //只允许192.168.121.35登录 修改 /etc/hosts.deny vim /etc/hosts.deny sshd:ALL //开启白名单,只允许192.168.121.35登录 service sshd restart,重启sshd 对了,直接搜索 /etc/hosts.allow 会出现很多这样的文档。 本文 参考文
Linux hosts.allowhosts.deny文件设置
热门推荐
IChen.的博客
02-21 2万+
一、概述 这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow/etc/hosts.deny两个文件是控制远程访问设置
hosts文件配置问题
qq_39855912的博客
06-01 4154
访问线上环境的时候,发现部分页面无法访问。一开始误以为是本地开发证书没有安装好,但是访问线上环境需要什么证书呀。我真是蠢。  ping了一下访问地址,发现是127.0.0.1,本地的 我XXX。 将127.0.0.1 换成了 线上环境的 ip  问题解决了hosts文件的介绍Hosts是一个没有扩展名的系统文件,可以用记事本等工具打开,其作用就是将一些常用的网址域名与其对应的IP地址建立一个关联“...
CentOS8.5系统访问限制
无痕有静
11-25 5629
CentOS8.5 访问限制 CentOS7.x 使用的是hosts.allowhosts.deny文件进行限制,到CentOS8.x已弃用hosts.allowhosts.deny文件,可使用sshd_config文件firewalld防火墙规则限制。 一、使用sshd_config进行限制 # 在/etc/ssh/sshd_config文件中添加限制 AllowUsers root@192.168.10.0/24 DenyUsers root@192.168.10.2 allow/deny
etc/hosts.allow/etc/hosts.deny
weixin_34054866的博客
03-13 458
他们两个的关系为:/etc/hosts.allow 的设定优先于 /etc/hosts.deny 1. 当档案 /etc/hosts.allow 存在时,则先以此档案内之设定为准; 2. 而在 /etc/hosts.allow 没有规定到的事项,将在 /etc/hosts.deny 当中继续设定! 也就是说, /etc/hosts.allow 的设定优先于 ...
通过配置hosts.allowhosts.deny限制登陆
开发笔记
06-29 1万+
/etc/hosts.allow/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。 我们通常只对管理员开放SSH登录,那我们就可以禁用不必要的IP,而只开放管理员可能使用到的IP段。 1.修改/etc/hosts.allow文件 sshd:192.168.137.*:allow 以上写法表示允许19
麒麟系统无hosts.allowhosts.deny
最新发布
01-23
### 麒麟操作系统中缺少 `hosts.allow` `hosts.deny` 文件的原因 在某些版本的麒麟操作系统以及其他现代Linux发行版中,可能不再依赖传统的 `/etc/hosts.allow` `/etc/hosts.deny` 文件来管理主机访问控制。这主要是因为这些系统采用了更先进的网络安全机制服务守护进程。 #### 原因分析 1. **默认安全策略** 许多现代Linux发行版,默认的安全策略更加严格,内置防火墙其他网络防护措施能够提供更强的安全保障[^1]。 2. **服务启动方式的变化** 新的服务管理初始化工具如 systemd 取代了传统 init 系统,在这种环境下,一些旧式的配置文件逐渐被淘汰或被新的配置手段所取代[^2]。 3. **TCP Wrappers 的弃用趋势** TCP Wrappers 是早期用于实现基于 IP 地址过滤的一种技术,随着 iptables、firewalld 等更为灵活高效的包过滤框架的发展,其重要性使用频率有所下降[^3]。 --- ### 替代方案 对于希望继续实施类似的访问控制功能,可以在麒麟操作系统上采用如下几种替代方法: #### 使用 Iptables 或 Firewalld 进行流量控制 Iptables firewalld 提供了强大的包过滤能力,可以通过定义规则集来精确地控制哪些源地址可以访问特定端口上的服务。 ##### 示例:使用iptables阻止SSH连接来自某个网段 ```bash sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/24 -j DROP ``` 此命令将拒绝来自192.168.0.0/24子网的所有尝试通过SSH协议建立的新连接请求。 #### 利用 PAM (Pluggable Authentication Modules) PAM模块允许管理员自定义认证流程中的各个阶段行为,从而达到限制登录的目的。例如,可以通过编辑 `/etc/pam.d/sshd` 来集成额外的身份验证逻辑或者条件判断语句。 #### SSHD 自身配置选项 OpenSSH服务器本身也提供了丰富的参数用来定制化接入权限。比如可以直接在SSHD配置文件(`/etc/ssh/sshd_config`)里指定允许或不允许哪个范围内的客户端发起连接。 ##### 修改sshd_config示例: ```bash AllowUsers user@192.168.1.* DenyHosts 172.16.*.* ``` 上述两行分别表示只允许来自192.168.1.x网段内用户的SSH登陆以及完全屏蔽整个172.16.x.x网段的机器进行任何类型的SSH通信尝试。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值