Linux 限制IP——/etc/hosts.allow和/etc/hosts.deny文件【转】

就像是

• 限制特定IP来访

想法

• 看起来一般的作法是利用hosts的拒绝设置，而它的设置是针对某一个具体的进程，具体的服务，在这里就是sshd了
• 看起来设置一个网段使用的是

x.x.x.0/24

后面加个24真是有趣，是保持全部的可能性吗

• 上面的方法看起来是子网匹配的方式
• 若是更简单一些看起来能够直接保留前面一部分去

131.155. 能够匹配后面是任何玩意的玩意，好比131.155.1.1

• 除了做为sshd限制，它看起来能限制一切玩意呢，这个就像是更特殊一点的hosts，只是hosts只是解析域名而已

经验

• 生效是当即发生的，可是对已经打开的shell无效，因此一边留着shell设置，一边再开shell
• 它的语法颇有趣，最后一部分看起来能够要也能够不要

192.168.0.0/255.255.255.0:deny

• 在每一条里，[,]是分割多个ip，而[:]是分割它的处理
• 噢见鬼的[255.255.255.0]看起来指的是局域网
• 看起来all大小小写均可以
• 它的工做是实时的，修改后就生效了

困扰

• allow和deny的优先是怎样的呢

一个有效的IP段工做

• 这样看起来工做了

[root@li576-236 ~]# cat /etc/hosts.allow # # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. #   # for the shell sshd:11.8.,12.1.,18.3.:allow

有趣

• 看起来.0这个ip是不存在的，它看起来是虚拟的

192.168.1.0

首次尝试

限制sshd

hosts.deny

• 直接进入编辑

vim /etc/hosts.deny

• 加入这个玩意，拒绝一切

# no sshd
sshd : ALL

hosts.allow

• 进入编辑

vim /etc/hosts.allow

• 试试一个0.0的段落-遗憾没法登录！被屏蔽

# for the shell - 它什么也没作到
sshd : 101.11.0.0/24

• 若是所有IP匹配呢？它能够登录，这说明了它工做了

# for the shell - 它能够准确的容许这个ip，24起到做用了
sshd : 101.11.10.1/24

• 那么后面部分都去掉呢？-它工做了！

# for the shell - 它能够容许这个ip段！哇喔
sshd : 101.11.

别的状况

• 这里注意有个诡异的状况！-若是省略最后的部分的话，必须彻底避开空格！空格也会做为正则匹配的一部分
• 在这个基础上加个24的玩意呢？-它不工做

# for the shell - 它不能容许这个ip段，失败
sshd : 101.11./24

• 后面加个标签什么的呢？-它也工做

# for the shell - 后面的标签看起来不碍事 
sshd : 101.11.: allow

• 若是是任意的标签呢？-不，它不干了

# for the shell - 它如今什么也不干了，不认ip了- 可能有正则问题
sshd : 101.11. : hello

• 若是再补回中间的allow呢？-不也不干了

# for the shell - 依旧的啥也不干- 可能有正则问题
sshd : 101.11.:allow : hello

• 加上逗号，多个ip段呢？此次第二个没工做，可能少了.的缘由

# for the shell - 逗号，此次工只工做了第一个，可能少了第二个的点-值得再尝试
sshd : 101.11.,103.22:allow : hello

• 带上逗号，而后每一个都有最后的点，它工做了！

# for the shell - 逗号，所有工做了！必须最后带点，并且看起来空格也不要依赖（最好了）
sshd:101.11.,103.22.:allow

想法

• windows里看起来也有这个文件呢

音频想法

---

• sshd的限制看起来并不复杂,它经过一个host的限制文件等命(命令?)于这样的一个设置,来完成它的一大部分,而接着你能够对它进行绝交(拒绝交谈)设置,而与此有趣的是此项设置也能用在pptp的服务,由于看起来它限制的是一个hosts端的玩意(系统底层网络服务?)

->....hosts.allow?目标..mac看起来仍是保留了它...win也拐弯的有了它..(c:/windows/driver/etc/hosts?)

见识

linux下的/etc/hosts.allow和/etc/hosts.deny文件_老游爱你_百度空间 ^{沿途见识[1]}

linux下的/etc/hosts.allow和/etc/hosts.deny文件
/etc/hosts.allow和/etc/hosts.deny这两个文件是tcpd服务器的配置文件，tcpd服务器能够控制外部IP对本机服务的访问。这两个配置文件的格式以下：

1. 服务进程名:主机列表:当规则匹配时可选的命令操做server_name:hosts-list[:command]

/etc/hosts.allow控制能够访问本机的IP地址，/etc/hosts.deny控制禁止访问本机的IP。若是两个文件的配置有冲突，以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例：
ALL:127.0.0.1 #容许本机访问本机全部服务进程smbd:192.168.0.0/255.255.255.0 #容许192.168.0.网段的IP访问smbd服务
ALL关键字匹配全部状况，EXCEPT匹配除了某些项以外的状况，PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名假装)的状况。
今天用来禁止一些恶意的ip地址登录到服务器。由于远程登录须要sshd进程，因此：
修改步骤以下：
1：修改“/etc/hosts.allow”文件，在最下面添加一行：
sshd:192.168.100.0/255.255.255.0        #容许局域网内全部机器访问服务器上的sshd进程
sshd:60.28.160.244                                  #容许外网的60.28.160.244访问这个服务器上的sshd进程
2：修改“/etc/hosts.deny”文件，在最后一行添加：
sshd:all                                                    #禁止全部
注： 1）：修改前，请先修改“/etc/hosts.allow”文件，而且修改完毕以后切勿当即退出，应该作登录测试
          2）：文件修改后，当即生效，可是对于已经运行的程序则不生效。

 

鳥哥的 Linux 私房菜 -- 移除不要的服務 ^{沿途见识[2]}

察看是否具备 tcp_wrappers 套件：

要使連線電腦的設定啟動，以使用 /etc/hosts.allow 與 /etc/hosts.deny 檔案的話，须要這一套軟體『tcp_wrappers』，要察看你的 Linux 主機內是否有這一套軟體的話，請使用：
 
rpm -q tcp_wrappers 或者 rpm -qa | grep tcp

若是有這套軟體的話，天然就會顯示出來，若是沒有的話，請放入你的 Linux 光碟片，將 rpm 檔案裝上去吧！
 

設定允許登入的電腦(/etc/hosts.allow)：

其實很簡單，只要修改 /etc/hosts.allow（若是沒有此檔，請自行以 vi 編輯）這這檔案便可，例如，我家裡的電腦中，个人內部網域（區域網路）是 192.168.1.0/255.255.255.0，這樣的網域表明電腦 IP 在於 192.168.1.1 - 192.168.1.255 之間！因此，我就將 /etc/hosts.allow 這個檔案的內容設定成為如此：
 
in.telnetd: 192.168.1.0/255.255.255.0, .ncku.edu.tw : Allow

加入 .ncku.edu.tw 的缘由是因為我人在成大，因此加入此行的話，可使我在成大連上我家裡的 Linux 主機。
 

設定不許登入的電腦(/etc/hosts.deny)：

由於正常的情況下， Linux 會先判斷 hosts.allow 這個檔案，這個檔案中的電腦若是設定為可連線的話，則 hosts.deny 就不會被使用，所以，設定好了 hosts.allow 之後，將 /etc/hosts.deny 設定為『全部電腦都不許登入』的情況，以下所示：
 
in.telnetd: ALL : Deny

這樣一來，基本的防護措施就有了（不用从新開機就自動執行了！）。

 

hosts.allow - Linux Command - Unix Command ^{沿途见识[3]}

PATTERNS

The access control language implements the following patterns:

• A string that begins with a `.' character. A host name is matched if the last components of its name match the specified pattern. For example, the pattern `.tue.nl' matches the host name `wzv.win.tue.nl'.
• A string that ends with a `.' character. A host address is matched if its first numeric fields match the given string. For example, the pattern `131.155.' matches the address of (almost) every host on the Eindhoven University network (131.155.x.x).
• A string that begins with an `@' character is treated as an NIS (formerly YP) netgroup name. A host name is matched if it is a host member of the specified netgroup. Netgroup matches are not supported for daemon process names or for client user names.
• An expression of the form `n.n.n.n/m.m.m.m' is interpreted as a `net/mask' pair. An IPv4 host address is matched if `net' is equal to the bitwise AND of the address and the `mask'. For example, the net/mask pattern `131.155.72.0/255.255.254.0' matches every address in the range `131.155.72.0' through `131.155.73.255'.

SSH限制ip登录 - Mr. Kang - 51CTO技术博客 ^{沿途见识[4]}

在/etc/hosts.allow输入  
  (其中192.168.10.88是你要容许登录ssh的ip,或者是一个网段192.168.10.0/24)  
  sshd:192.168.10.88:allow  
   
  在/etc/hosts.deny输入(表示除了上面容许的，其余的ip   都拒绝登录ssh)  
  sshd:ALL
本文将讲述一些能够增强Unix,Linx服务器SSH访问的安全性的一些措施。
我我的极力很是推荐的措施是:
1.限制性SSH访问，将sshd绑定到一个ip地址，和容许全部ip地址是彻底不一样的安全。
2.将sshd默认端口22改成其它端口。
步骤以下：
前提：
SSH 客户端 - 我推荐使用 putty (搜索google,你会很快找到它)
SSH 服务已安装
第一步: 以root身份SSH登陆到服务器。
第二步:在命令提示符下输入:pico -w /etc/ssh/sshd_config
第三步:向下翻页，在这个文件中找到像这样的区域：

1. Port 22
2. Protocol 2, 1
3. ListenAddress 0.0.0.0
4. ListenAddress ::

第四步:取消注释符号#，并修改
端口 #Port 22
像这样修改它
Port 5678
(选择你未被使用的4到5位数字组成的端口(49151是最高端口数))
协议 #Protocol 2, 1
改成这样：
Protocol 2
监听地址 #ListenAddress 0.0.0.0
改成这样：
ListenAddress 125.121.123.15(这里的地址改成你本身访问服务器经常使用的客户端ip地址)
第五步 若是你想禁用直接用root登陆,向下翻知道你看见

1. PermitRootLogin yes

去掉前面的注释符号#,修改成
PermitRootLogin no
按住Ctrl键保存修改，在按Ctrl + x组合键退出。
第六步 在命令提示符下输入: /etc/rc.d/init.d/sshd restart
第七步 退出SSH,之后再登陆就必须使用新的端口号(如:49151),而且服务器限制只容许从一个指定的
IP地址(如:125.121.123.15)SSH登陆了。
注意事项：
若是修改后出现不能登陆或者其余问题，你只须要为服务器接上显示器 或者 Telnet 到你的服务器，修改设置，而后再从新SSH登陆。Telnet 是一个很是不安全的协议，因此在你使用它以后最好是修改一下你的root密码。
(the end)
 
或者
linux限制IP访问ssh
 
在/etc/hosts.allow输入  
(其中192.168.10.88是你要容许登录ssh的ip,或者是一个网段192.168.10.0/24)  
sshd:192.168.10.88:allow  
   
在/etc/hosts.deny输入(表示除了上面容许的，其余的ip   都拒绝登录ssh)  
sshd:ALL
 
更改端口
vi /etc/ssh/sshd_config
port 3333

最后一行加上ip
allowusers root@ip   ------------------容许某个ip用什么账户登录

转自

Linux 限制IP——/etc/hosts.allow和/etc/hosts.deny文件 - 生死看淡，不服就干！ - CSDN博客 https://blog.csdn.net/u013634961/article/details/39855543