centos白名单(访问控制) /etc/hosts.allow

最新推荐文章于 2025-06-25 15:20:45 发布
原创 最新推荐文章于 2025-06-25 15:20:45 发布 · 4.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#centos #linux

本文介绍如何通过设置系统白名单进行安全加固,包括修改/etc/hosts.allow和/etc/hosts.deny文件,仅允许特定IP(如192.168.121.35)登录SSH,以及重启SSH服务的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

公司过等保,安全加固,系统白名单

修改 /etc/hosts.allow

vim /etc/hosts.allow
sshd:192.168.121.35:allow //只允许192.168.121.35登录

修改 /etc/hosts.deny

vim /etc/hosts.deny
sshd:ALL //开启白名单,只允许192.168.121.35登录
service sshd restart,重启sshd

对了,直接搜索 /etc/hosts.allow 会出现很多这样的文档。

本文 参考文档
具体介绍 参考文档

开源精神,允许转载。
请标明出处。

2020.07.10  楠有枝 于北京·海淀
linux使用/etc/hosts.deny拒绝恶意ssh到本机
潇洒哥的运维之道
05-11 1768
etc/hosts.allow 优先于 /etc/hosts.deny。如果在allow和deny文件中都有某个ip,那么这个ip是被允许ssh。如果在allow中有,deny没有,那么这个ip是被允许ssh。如果allow中没有,deny有,那么这个ip是被禁止ssh。还可以在 /etc/hosts.deny文件里追加一个额外配置,让其读取另外一个ip列表。这样可以使你以后维护需要禁止的ip更方便。
centos7.5启动防火墙配置事项--推荐使用
wtt234的专栏
07-11 501
分为两部分: 1.hosts_allow.ini配置文件内容: 2.setup_IVS_firewall.sh内容【把软件包放到/opt目录下】
openssh 8.4版本的RPM包,支持hosts.allow的版本 openssh-server-8.4p1-1.el7.centos.x86_64.rpm
10-13
openssh-server-8.4p1-1.el7.centos.x86_64.rpm源生的openssh的版本不支持tcpwraper
Linux hosts.allowhosts.deny文件设置
purpen
07-29 2454
redhat as4常用应用之hosts.allowhosts.deny 一、概述 这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作server_name:hosts-list[:command]/etc/hosts.allow控制可以访问本机的IP地址,/etc/hos...
centos7通过配置hosts.allowhosts.deny限制登陆
最新发布
xabtltpc8的博客
06-25 205
文件中配置的规则,特定的主机将被允许或拒绝登录到您的CentOS 7系统。请确保您谨慎地配置这些文件,以避免意外地限制访问。文件,您可以在CentOS 7系统上限制特定主机的登录。从现在开始,根据您在。
centos7通过配置hosts.allowhosts.deny限制登陆教程
高性价比服务器就选:蓝易云
12-16 3046
文件中配置的规则,特定的主机将被允许或拒绝登录到您的CentOS 7系统。请确保您谨慎地配置这些文件,以避免意外地限制访问。同时,建议备份这些文件以备不时之需。文件,您可以在CentOS 7系统上限制特定主机的登录。从现在开始,根据您在。
linux centos添加访问白名单,LinuxCentos7添加远程ip访问白名单
weixin_39996234的博客
05-05 1425
编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能#vim /etc/sysconfig/iptables打开配置文件,修改即可。*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]###-N whitelist-A whitelist -s 1.2.3.0/24 -j ACCEPT-A ...
【ceph】如何打印一个osd的op流程,排查osd在干什么
zerotoall的博客
11-24 500
【ceph】如何打印一个osd的op流程,排查某个osd具体在干什么
操作系统安全:配置etchosts.allow及etchosts.deny.docx
06-02
#服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts....
ISPSRV (UOS) mount /dev/sr0 /mnt vim /etc/apt/sources.list [trusted=yes] file:///mnt fou main apt update nmtui hostname -f vim /etc/hosts apt install -y isc-dhcp-server bind9 vim /etc/default/isc-dhcp-server INERFACEv4="ens33" vim /etc/dhcp/dhcpd.conf subnet 81.6.63.0 netmask 255.255.255.0{ range 81.6.63.110 81.6.63.190; option domain-name-servers 81.6.63.100; option domain -name "chinaskills.cn"; option routers 81.6.63.254; } systemctl restart isc-dhcp-server.service systemctl status isc-dhcp-server.service cd /etc/bind/ ls cp -ap db.local db.root vim named.conf zone"."{ type master; file "/etc/bind/db.root"; }; zone "chinaskills.cn" { type slave; masters { 81.6.63.254; }; file "/etc/bind/db.chinaskills.cn"; }; ls vim named.conf.optins dnssec-validation no; dnssec-enable no; systemctl restart bind9 systemctl status bind9 chmod 777 -R /etc/bind ls vim db.root @ IN MS localhost * IN A 81.6.63.100 systemctl restart bind9 systemctl status bind9 vim /etc/default/isc-dhcp-server AppSrv(Centos) mount /dev/sr0 /mnt rm -rf /etc/yum.repos.d/* cat <<EOF > /etc/yum.repos.d/1.repo [1] name=1 baseurl=file:///mnt enabled=1 gpgcheck=0 EOF systemctl disable firewalld systemctl stop firewalld nmtui yum install -y vim bath-completion yum install -y dhcp bind vim /etc/dhcp/dhcp.conf cp -ap /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf y vim /etc/dhcp/dhcpd.conf v G I # default-lease-time 600; max-lease-time 7200; ddns-update-style none; subnet 192.168.0.0 netmask 255.255.255.0{ range 192.168.0.110 192.168.0.190; option domian-name-servers 192.168.100.100; option domain-name "chinaskills.cn"; interface ens33; option routers 192.168.0.254; } host insidecli{ hardware ethernet 00:0c:29:ce:e8:45; fixed-addrewss 192.168.0.190; } ip ad systemctl restart dhcpd nmtui systemctl status dhcpd systemctl restart dhcpd vim /etc/dhcp/dhcp.conf listen-on port 53 { any; }; allow-query { any; }; forward first; forwarders { 81.6.63.100; }; dnssec-enable on; dnssec-validation on; #zone vim /etc/named.rfc1912.zones viem in{ mathch-clients { 192.168.100.0/24;192.168.0.0/24;127.0.0.1/32;}; zone "chinaskills.cn"{ type master; file "in.chinaskills.cn"; }; }; viem out { match-client { any; }; zone "chinaskills.cn"{ type master; file "out.chinaskills.cn"; allow-transfer { 81.6.63.100; }; }; }; cd /var/named/ ll cp -ad named.localhost in.chinaskills.cn vim in.chinaskills.cn A 192.168.100.100 @ IN MAX 10 mail.chinaskills.cn www IN A 192.168.100.100 download IN a 192.168.100.100 mail IN A 192.168.100.100 ispweb IN A 81.6.63.100 cp -ad in.chinaskills.cn out.chinaskills.cn vim out.chinaskills.cn :%s/192.168.100.100/81.6.63.254 systemctl restart named systemctl status named vim /etc/name.rfc1912.zones systemctl restart named systemctl status named nslookup yum install bind-utils y nslookup www.chinaskills.cn download.chinaskillscn ispweb.chinaskills.cn yum install -y nfs-utils mkdir /webdata echo 192.168.100.200:/webdata /webdate nfs defaults 0 0 >> /etc/fstab mount -a ^c ll STORAGERV(Centos) mount /dev/sr0 /mnt rm -rf /etc/yum.repos.d/* cat <<EOF >etc/yum.repos.d/1.repo [1] name=1 baseurl=file:///mnt enabled=1 gpgcheck=0 EOF systemctl disable firewalld systemctl stop firewalld setemforce 0 nmtui yum install -y vim bath-completion lsblk echo "- - -" >> /sys/class/scsi_host/host echo "- - -" >> /sys/class/scsi_host/host0/scan echo "- - -" >> /sys/class/scsi_host/host1/scan echo "- - -" >> /sys/class/scsi_host/host2/scan yum install -y mdadm lvm2 mdadm -C /dev/md0 -1 5 -n 3 -x 1 /dev/sd[b-e] pvcreate /dev/md0 Vgcreate Vg01 /dev/md0 lvcreate -L 5G -n lv01 vg01 mkfs.ext4 -K /dev/vg01/lv01 mkdir /webdate echo /dev/vg01/lv01 /webdate ext4 0 0 >> /etc/fstab mount -a df -Th cd /webdate/ touth disk.txt cd yum install -y nfs-utils vim /etc/exports /webdata 192.168.100.100(rw,sync,no_root_squash,no_subtree_check) exportfs -av systemctl restart nfs-server ll cd yum install -y samba mkdir -p /data/{share,public} chmod o*rw /data/{share1,public} vim /etc/samba/sma.conf map to guest = bad user [share1] path= /data/share1 write list = zsuser valid users =zsuer,lsusr,wuusr [public] path = /date/public writeble = yes public = yes guest ok = yes systemctl restart smb systemctl status smb useradd -m zsuser useradd -m lsusr useradd -m wuusr pdbedit -a zsuser 1234 pdbedit -a lsusr 1234 pdbedit -a wuusr 1234 systemctl restart smb systemctl status smb cd /data/share1/ ll ROUTESRV(Centos) mount /dev/sr0 /mnt rm -rf /etc/yum.repos.d/* cat <<EOF > /etc/yum.repos.d/1.repo [1] name=1 baseurl=file:///mnt enabled=1 gpgcheck=0 EOF systemctl disable firewalld systemctl stop firewalld setenforce 0 nmtui yum install -y dhcp dhcrelay 192.168.100.100 echo net.ipv4.ip_forward=1 >> /etc/systcl.conf sysctl -p chcrelay 192.168.100.100 dhclient -r dhclient -v INSIDECLI(Centos) mount /dev/sr0 /mnt rm -rf /etc/yum.repos.d/* cat <<EOF > /etc/yum.repos.d/1.repo [1] name=1 baseurl=file:///mnt enabled=1 gpgcheck=0 EOF systemctl disable firewalld ststemctl stop firewalld setenforce 0 nmtui ip ad dhclient -r dhclient -v yum install -y sambd-client sabclient //192.168.100.200/share1 -U zsuser 1234 ls ^c touch 1 touch 2 ls ^c touch 1 touch 2 ls put 1 e^c sabclient //192.168.100.200/share1 -U zsuser 1234 ls put 2 ls q sabclient //192.168.100.200/public 1234 ls put 2 exit OUTSIDE(UOS) mount /dev/sr0 /mnt vim /etc/apt/sources.list [trusted=yes] file:///mnt fou main apt update nmtui dhclient -r dhclient -v ip ad ip route cat /etc/resolv.conf nslookup 将以上linux代码分析并讲述操作思路
06-16
data/lv_storage#创建挂载点目录mkdir/storage#将逻辑卷挂载到/storagemount/dev/vg_data/lv_storage/storage#将挂载信息写入/etc/fstab以实现开机自动挂载echo"/dev/vg_data/lv_storage/storageext4defaults00">>/...
CentOS 7.9安全加固
Tinmax的博客
01-07 2286
写在前面:CentOS即将停止更新服务,对于已经安装CentOS的用户来说,系统安全加固就显得更加重要。本文将基于最小化安装的CentOS 7.9,并参考《等级保护2.0》测评指导书(二级)的通用部分,从“身份鉴别”、“访问控制”、“安全审计”、“入侵防御”、“恶意代码防范”、“剩余信息保护”六个方面,介绍Linux安全加固。
防攻击可以增加IP白名单/etc/hosts.allow和黑名单/etc/hosts.deny
weixin_34133829的博客
04-30 717
2019独角兽企业重金招聘Python工程师标准>>> ...
hosts.allowhosts.deny详解
zyqash的博客
10-29 3573
这条规则允许访问sshd,并将 "Access granted to %c" 写入日志文件。libwrap库是一个独立的库文件,通常以共享库的形式存在,一般命名为libwrap.so。在 CentOS 或其他 Linux 系统上,这个文件的路径通常是或,取决于系统架构和库的安装位置。libwrap提供了的核心功能,使服务程序可以调用其函数(如和)来解析和中的规则。因此,只要应用程序在编译时链接了libwrap库,就可以直接使用进行访问控制,而不需要额外的配置。
CentOS8.5系统访问限制
无痕有静
11-25 5550
CentOS8.5 访问限制 CentOS7.x 使用的是hosts.allowhosts.deny文件进行限制,到CentOS8.x已弃用hosts.allowhosts.deny文件,可使用sshd_config文件和firewalld防火墙规则限制。 一、使用sshd_config进行限制 # 在/etc/ssh/sshd_config文件中添加限制 AllowUsers root@192.168.10.0/24 DenyUsers root@192.168.10.2 allow/deny按
深入解析/etc/hosts.allow与 /etc/hosts.deny:灵活控制 Linux 网络访问权限
XMYX-0
03-01 2912
TCP Wrappers 是一个基于主机的访问控制系统,通过封装网络服务(如sshdvsftpd等),在服务请求到达前进行权限验证。只有支持libwrap库的服务才能使用此机制(可以通过来验证服务是否启用了 TCP Wrappers)。和文件是 TCP Wrappers 的一部分,用于控制主机对系统上服务的访问权限。它们的主要作用是通过 IP 地址、主机名或网络地址来允许或拒绝远程主机的访问。:定义允许访问指定服务的主机或网络。:定义拒绝访问指定服务的主机或网络。和。
通过配置hosts.allowhosts.deny文件实现ssh白名单
Oliver King 的小窝
04-23 3235
reference: centos 安全配置应用之hosts.allowhosts.deny https://blog.csdn.net/yangjiehuan/article/details/9253855 通过配置hosts.allowhosts.deny文件允许或禁止ssh或telnet操作 https://www.cnblogs.com/lsdb/p/7095288.ht...
/etc/hosts.allow 限制ip登陆很好使
热门推荐
12-30 9万+
/etc/hosts.allow  用来限制服务器允许执行的ip登陆感觉比防火墙方便很多。 就像是 限制特定IP来访 想法 看起来通常的做法是利用hosts的拒绝设置,而它的设置是针对某一个具体的进程,具体的服务,在这里就是sshd了看起来设置一个网段使用的是 x.x.x.0/24 后面加个24真是有趣,是保持所有的可能性吗 上面的方法看起来
centos防火墙指定ip白名单
weixin_43249535的博客
07-05 569
firewall-cmd --permanent --add-rich-rule=‘rule family=“ipv4” source address=“YOUR_IP_ADDRESS” accept’firewall-cmd --reloadsystemctl restart firewall.service
/etc/hosts.allow和/etc/hosts.deny的讲解
IChen.的博客
06-23 2万+
一、概述 这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值