当前位置：首页 > news >正文

通过hosts.allow和hosts.deny限制用户登录

news 文章来源：https://blog.csdn.net/beck_li/article/details/142302771 2025/5/19 23:37:30

1、Hosts.allow和host.deny说明

两个文件是控制远程访问设置的，通过设置这个文件可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。如果请求访问的主机名或IP不包含在/etc/hosts.allow中，那么tcpd进程就检查/etc/hosts.deny。看请求访问的主机名或 IP有没有包含在hosts.deny文件中。如果包含，那么访问就被拒绝；如果既不包含在/etc/hosts.allow中，又不包含在/etc /hosts.deny中，那么此访问也被允许。在CentOS Stream或其他现代的Linux发行版中，你可能会发现传统的hosts.deny和hosts.allow文件已经不存在或不被使用。这是因为随着时间的推移，系统的安全策略和网络管理工具已经发生了演变，许多系统管理员和发行版维护者选择使用更现代、更灵活的工具来管理访问控制。

2、文件的格式为：:[:

3、配置拒绝访问

vim /etc /hosts.deny

in.telnetd:.python.org

vsftpd:192.168.0.

sshd:192.168.0.0/255.255.255.0

第一行vpser.net表示，禁止python.org这个域里的主机允许访问TELNET服务，注意前面的那个点(.)。
第二行表示，禁止192.168.0这个网段的用户允许访问FTP服务，注意0后面的点(.)。
第三行表示，禁止192.168.0这个网段的用户允许访问SSH服务，注意这里不能写为192.168.0.0/24。在CISCO路由器种这两中写法是等同的

4、配置充许访问

以ssh允许192.168.220.1和telnet允许192.168.220网段为例：

vim /etc/hosts.allow

保存文件退出编缉后，重启ssh服务和telnet服务【可选】

5、补充说明

一个IP请求连入，linux的检查策略是先看/etc/hosts.allow中是否允许，如果允许直接放行；如果没有，则再看/etc/hosts.deny中是否禁止，如果禁止那么就禁止连入。
实验发现对/etc/hosts.allow和/etc/hosts.deny的配置不用重启就立即生效，但不管重启不重启当前已有会话都不会受影响；也就是说对之前已经连入的，即便IP已配置为禁止登录会话仍不会强制断开。

6、异常现象说明

通过配置hosts.allow、hosts.deny，控制SSH限制固定IP登陆

按照以往的方法，分别在hosts.allow、hosts.deny加入以下配置

# more /etc/hosts.allow

sshd:192.168.1.20

# more /etc/hosts.deny

sshd:all

保存后测试，发现配置无效，其他IP还是可以登陆成功。

6.2、解决方法如下

hosts.allow和hosts.deny属于tcp_Wrappers防火墙的配置文件，而用tcp_Wrappers防火墙控制某一服务访问策略的前提是，该服务支持tcp_Wrappers防火墙，即该服务应用了libwrapped库文件。

6.2.1查看ssh是否应用libwrapped库文件

# ldd /usr/sbin/sshd |grep libwrap.so.0

没有显示，表示此服务器上安装的SSH没有应用libwrapped库文件，也就不能用tcp_Wrappers防火墙控制访问策略。（一般情况下服务器默认安装的SSH都是支持libwrapped库文件）

6.2.2最终解决方法是重新安装SSH

# yum -y remove openssh

# yum -y install openssh

# yum -y install openssh-server

安装完成后再次查看是否应用了libwrapped库文件，显示支持。

# ldd /usr/sbin/sshd |grep libwrap.so.0

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f3fb7f09000)

6.2.3再测试SSH登陆，配置生效

通过hosts.allow和hosts.deny限制用户登录

相关文章：

通过hosts.allow和hosts.deny限制用户登录

PWN College 关于sql盲注

【Linux篇】Http协议（1）（笔记）

员工疯狂打CALL！解锁企业微信新玩法，2024年必学秘籍来啦！

Spring boot从0到1 - day01

Flutter 项目结构的区别

EfficientFormerV2：重新思考视觉变换器以实现与MobileNet相当的尺寸和速度。

ASP.NET Core高效管理字符串集合

vm-tools的卸载重装,只能复制粘贴,无法拖拽文件!

Docker 容器网络技术

C++ 起始帧数、结束帧数、剪辑视频

【项目一】基于pytest的自动化测试框架———解读requests模块

升级Ubuntu内核的几种方法

Android绘制靶面，初步点击位置区域划分取值测试

【SpringBoot】调度和执行定时任务--Quartz(超详细)

低代码开发平台系统架构概述

源码编译llama.cpp 、ggml 后端启用自定义BLAS加速

glb数据格式

手语识别系统源码分享

Oracle 数据库部署与实施

【Python】 ast.literal_eval 与 eval

Java 入门指南：JVM（Java虚拟机）垃圾回收机制 —— 新一代垃圾回收器 ZGC 收集器

基于 K8S kubernetes 的常见日志收集方案

Unity3D 小案例像素贪吃蛇 02 蛇的觅食

【sgCreateCallAPIFunction】自定义小工具：敏捷开发→调用接口方法代码生成工具

京东商品详情的 API 探秘与应用

功能测试干了三年，快要废了。。。

【C++】多态的认识和理解

linux-安全管理-用户认证

webpack5 构建优化方案看这篇就够了！【Node.js进阶】