Linux中hosts.allow与hosts.deny

  linux  /etc目录下有五个host开头的文件  ：host.conf hostname hosts hosts.allow hosts.deny。

1、host.conf 文件指定如何解析主机名，笔者的centos7的/etc/host.conf里面是 multi on，即指定的主机可以有多个IP地址。

2、hosts.allow与hosts.deny这两个配置文件控制外部IP对本机服务的访问，hosts.allow控制可以访问本机的IP地址，hosts.deny控制禁止访问本机的IP。配置完成之后是实时生效的。

3、hostname是主机名，当你在命令行输入hostname时返回的主机名，也是环境变量中命令行 prompt 显示的主机名。

4、 hosts负责IP地址与域名快速解析的文件，包含了IP地址和主机名之间的映射，还包括主机名的别名。详情参考笔者的文章-linux中/etc/hosts文件配置。

    先来测试一下hosts.allow与hosts.deny这两个配置文件设置ssh的连接。

    hosts.deny中添加设置 sshd : ALL，再次使用ssh连接，会出现：ssh_exchange_identification: read: Connection reset 的错误，但是已经连接上的ssh是不会中断的，说明 hosts.deny时在连接时查询的配置文件。

    然后在hosts.allow中添加设置sshd : 192.168.56.1，再次使用ssh可以成功连接。

    在设置屏蔽所有ssh后，在单独允许192.168.56.1这个ip地址，ssh是允许的，那么就存在优先级问题。优先级为先检查hosts.deny，再检查hosts.allow。

     两个配置文件的格式如下：

 服务进程名:主机列表:当规则匹配时可选的命令 *** 作。

    为了安全可以在hosts.deny文件中配置拒绝所有的访问ALL:ALL，然后在hosts.allow文件中逐个开放访问许可，增强安全性。

    sshd可以换成其他服务进程名，比如httpd、telnetd等等。

    在局域网中的Linux服务器集群，为了保障运维安全，只能从堡垒机登录到各个Linux服务器。那么需要对Linux服务器集群进行安全加固，限制访问权限。在堡垒机上可以部署脚本来记录用户 *** 作的审计日志（详情参考笔者的文章），那么整个局域网的Linux服务器集群的安全性就可以大大提高。

    堡垒机作用明显，其提供运维统一入口和安全审计功能，切断直接访问和事后审计定责，解决“运维混乱”变得“运维有序” 。

   下面是三种方法总结。分别从服务端，系统端、防火墙端来完成只允许堡垒机SSH登录的功能。

1、/etc/ssh/sshd_config

    修改添加AllowUsers到ssh配置文件/etc/ssh/sshd_config  ：

    AllowUsers myuser@20.132.4.*

    然后重启 sshd服务：systemctl restart sshd

2、hosts.allow与hosts.deny

    修改/etc/hosts.deny中添加设置 sshd : ALL ，拒绝所有的访问；

    修改/etc/hosts.allow，添加设置sshd : 20.132.4.* ，单独开启某个IP地址 。

    这两个文件优先级为先检查hosts.deny，再检查hosts.allow。

    更加详细信息参考笔者的文章-Linux中hosts.allow与hosts.deny  。

3、iptables防火墙

    tcp协议中，禁止所有的ip访问本机的22端口。

    iptables -I INPUT -p tcp--dport 22 -j DROP

    只允许20.132.4.* 访问本机的22端口

    iptables  -I  INPUT  -s  20.132.4.*   -ptcp  --dport  22  -j   ACCEPT

    另外/etc/pam.d/sshd也可以提供访问控制功能，调用的pam_access.so模块是根据主机名、IP地址和用户实现全面的访问控制，pam_access.so模块的具体工作行为根据配置文件/etc/security/access.conf来决定。但是囿于资料过少，待以后遇到再解决把。

---