hosts.deny真的可以deny ALL吗?

有时针对某个安全问题需要防止几个IP与本机建立连接,通常可以使用添加到防火墙(如iptables)的方法来控制这些IP的行为。但有时防火墙根本就处于关闭的状态,要突然启用防火墙,可能导致某些正确的端口无法被其他合法用户访问(尽管可以查到哪些端口需要开,哪些不需要开,)因此要想禁止某些IP连接有人会想到hosts.deny,hosts.deny中提供的ALL选项让用户看起来它能规范一组IP、主机的所有行为。但如果设置成ALL就真的可以控制全部行为吗?

但实际上,hosts.deny 默认只对ssh好用,尽管看起来是ALL,但实际上只有sshd。 hosts.deny相当于一个配置文件,谁用它谁就去读它,默认只有ssh去读这个文件,例如可以用lsof来查看哪些程序使用了libwrap库,只有使用了libwrap库的才能调用hosts.deny文件,如图所示:

因此,hosts.deny并不能起到本来预期的作用,禁止这些IP访问本机还需要iptables防火墙这样的方法。

怎么启用hosts.allow和hosts.deny中所描述的功能呢?需要借助xinetd和tcp_wrappers这样的软件来实现,具体的可以自查相关man手册,在此就不深入研究了。

--end--

时间: 2024-10-16 11:28:41

hosts.deny真的可以deny ALL吗?的相关文章

linux hosts的allow和deny

/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务. 网络防火墙是阻挡非授权主机访问网络的第一道防护,但是它们不应该仅有一道屏障. Linux使用了两个文件/etc/host.allow和/etc/hosts.deny,根据网络请求的来源限制对服务的访问. host.allow文件列出了允许连接到一个特定服务的主机,而hosts.deny文件则负责限制访问. 不过,这两个文件只控制对

Linux 利用hosts.deny 防止暴力破解ssh(转)

一.ssh暴力破解 利用专业的破解程序,配合密码字典.登陆用户名,尝试登陆服务器,来进行破解密码,此方法,虽慢,但却很有效果. 二.暴力破解演示 2.1.基础环境:2台linux主机(centos 7系统).Development Tools. 主机ip:192.168.30.64 (服务器端).192.168.30.64(客户端+ 暴力破解[Hydra]) 在30.63上进行暴力破解30.64 2.2 客户端上安装 破解程序 hydra.关于该程序的详情请去官网. 安装该软件的依赖环境: [[

hosts.allow和hosts.deny文件

之前想通过外部主机访问自己主机上的VMWare虚拟机,使用了VMWare的NAT端口映射,经过一番尝试,算是成功了,总结一下. VMWare NAT端口映射就可以将虚拟机上的服务映射成自己主机上的端口,以供外部访问.不过需要主机上的windows系统开放相应的防火墙,windows的资料查起来比较困难,使用价值也不大,所以没有深究,目前直接关闭防火墙,以后有真正的需求再认真研究. 当然虚拟机上CentOS的防火墙也必须打开,这个好像默认就是打开的(至少sshd的22端口是打开的),然后发现还是访

Linux 利用hosts.deny 防止暴力破解ssh

一.ssh暴力破解 利用专业的破解程序,配合密码字典.登陆用户名,尝试登陆服务器,来进行破解密码,此方法,虽慢,但却很有效果. 二.暴力破解演示 2.1.基础环境:2台linux主机(centos 7系统).Development Tools. 主机ip:192.168.30.64 (服务器端).192.168.30.64(客户端+ 暴力破解[Hydra]) 在30.63上进行暴力破解30.64 2.2 客户端上安装 破解程序 hydra.关于该程序的详情请去官网. 安装该软件的依赖环境: [[

hosts.allow 和 deny

/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过它可以允许或者拒绝某个ip或者ip段的电脑访问linux的某项服务.比如SSH服务,我们通常只对管理员开放,那我们就可以禁用不必要的IP,而只开放管理员可能使用到的IP段. #vim /etc/hosts.allow # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # ssh

hosts.allow hosts.deny

简单控制访问ip,hosts.allow/hsots.deny  a simple access control language that is based on client (host name/address, user name), and server (process  name,  hostname/address)  patterns. 格式: daemon_list : client_list [ : shell_command ] 参数: ALL             

linux设置允许和禁止访问的IP host.allow 和 host.deny

对于能过xinetd程序启动的网络服务,比如ftp telnet,我们就可以修改/etc/hosts.allow和/etc/hosts.deny的配制,来许可或者拒绝哪些IP.主机.用户可以访问. 比如我们在 /etc/hosts.allow中加入all:218.24.129.这样就会允许来自218.24.129.*域的所有的客户来访问.这只是举个例子,实际上,系统默认状态 下,都是能用这些网络服的 如果我们在 /etc/hosts.deny中加入,就限制了来自218.24.129.*域的所有的

Apache的Order Allow,Deny 详解

Allow和Deny可以用于apache的conf文件或者.htaccess文件中(配合Directory, Location, Files等),用来控制目录和文件的访问授权.所以,最常用的是:Order Deny,AllowAllow from All 注意“Deny,Allow”中间只有一个逗号,也只能有一个逗号,有空格都会出错:单词的大小写不限.上面设定的含义是先设定“先检查禁止设定,没有禁止的全部允许”,而第二句没有Deny,也就是没有禁止访问的设定,直接就是允许所有访问了.这个主要是用

nginx访问控制allow、deny(ngx_http_access_module)

单看nginx模块名ngx_http_access_module,很多人一定很陌生,但是deny和allow相比没一个人不知道的,实际上deny和allow指令属于ngx_http_access_module.我们想控制某个uri或者一个路径不让人访问,在nginx就得靠它了. nginx的访问控制模块语法很简单,至少比apache好理解,apache的allow和deny的顺序让很多初学者抓头.好了具体看下这个插件的使用方法吧. 1.安装模块 这个模块内置在了nginx中,除非你安装中使用了-