Linux中hosts.allow与hosts.deny

  linux  /etc目录下有五个host开头的文件  ：host.conf hostname hosts hosts.allow hosts.deny。 1、host.conf 文件指定如何解析主机名，笔者的centos7的/etc/host.conf里面是 multi on，即指定的主机可以有多个IP地址。 2、hosts.allow与hosts.deny这两个配置文件控制外部IP对本机服务的访问，hosts.allow控制可以访问本机的IP地址，hosts.deny控制禁止访问本机的IP。配置完成之后是实时生效的。 3、hostname是主机名，当你在命令行输入hostname时返回的主机名，也是环境变量中命令行 prompt 显示的主机名。 4、 hosts负责IP地址与域名快速解析的文件，包含了IP地址和主机名之间的映射，还包括主机名的别名。详情参考笔者的文章-linux中/etc/hosts文件配置。     先来测试一下hosts.allow与hosts.deny这两个配置文件设置ssh的连接。     hosts.deny中添加设置 sshd : ALL，再次使用ssh连接，会出现：ssh_exchange_identification: read: Connection reset 的错误，但是已经连接上的ssh是不会中断的，说明 hosts.deny时在连接时查询的配置文件。     然后在hosts.allow中添加设置sshd : 192.168.56.1，再次使用ssh可以成功连接。     在设置屏蔽所有ssh后，在单独允许192.168.56.1这个ip地址，ssh是允许的，那么就存在优先级问题。优先级为先检查hosts.deny，再检查hosts.allow。      两个配置文件的格式如下： 服务进程名:主机列表:当规则匹配时可选的命令 *** 作。    为了安全可以在hosts.deny文件中配置拒绝所有的访问ALL:ALL，然后在hosts.allow文件中逐个开放访问许可，增强安全性。     sshd可以换成其他服务进程名，比如httpd、telnetd等等。

1、 *** 作记录是写在日志文件中的，可以查看var/log中的 *** 作日志。

2、如果是查看host.deny的内容，可以 用编辑器或者查看命令查看 /etc/hosts.deny

Linux防止暴力破解的一种方法

SofM 2020-03-20 15:26:24

修改/etc/hosts.allow和/etc/hosts.deny的配制，来允许或者拒绝哪些IP、主机、用户可以访问。

比如我们在 /etc/hosts.allow中加入sshd:192.168.10.

这样就会允许来自192.168.10.*网段的所有的客户来访问。

如果我们在 /etc/hosts.deny中加入sshd:all，就限制了所有IP地址访问。

当hosts.allow和 host.deny相冲突时，以hosts.allow设置优化。

---