精华内容
下载资源
问答
  • /etc/hosts.allow和/etc/hosts.deny的讲解

    千次阅读 2020-06-23 13:20:17
    /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置

    一、概述

    这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:

    #服务进程名:主机列表:当规则匹配时可选的命令操作
    server_name:hosts-list[:command]
    /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。

    /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。
    比如SSH服务,我们通常只对管理员开放,那我们就可以禁用不必要的IP,而只开放管理员可能使用到的IP段。

    二、配置

    1、修改/etc/hosts.allow文件

    #hosts.allow This file describes the names of the hosts which are
    #allowed to use the local INET services, as decided
    #by the ‘/usr/sbin/tcpd’ server.

    sshd:210.13.218.:allow
    sshd:222.77.15.
    :allow

    all:218.24.129.110 #表示接受110这个ip的所有请求!

    in.telnetd:140.116.44.0/255.255.255.0
    in.telnetd:140.116.79.0/255.255.255.0
    in.telnetd:140.116.141.99
    in.telnetd:LOCAL
    smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务

    #sendmail:192.168.1.0/255.255.255.0
    #pop3d:192.168.1.0/255.255.255.0
    #swat:192.168.1.0/255.255.255.0
    pptpd:all EXCEPT 192.168.0.0/255.255.255.0
    httpd:all
    vsftpd:all

    以上写法表示允许210和222两个ip段连接sshd服务(这必然需要hosts.deny这个文件配合使用),当然:allow完全可以省略的。

    ALL要害字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。

    2、修改/etc/hosts.deny文件

    #hosts.deny This file describes the names of the hosts which are
    #not allowed to use the local INET services, as decided
    #by the ‘/usr/sbin/tcpd’ server.

    #The portmap line is redundant, but it is left to remind you that
    #the new secure portmap uses hosts.deny and hosts.allow. In particular
    #you should know that NFS uses portmap!
    sshd:all:deny

    in.telnet:ALL

    ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,
    202.10.5.0/255.255.255.0

    注意看:sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。

    3、启动服务
    注意修改完后:
    #service xinetd restart
    才能让刚才的更改生效。

    =======================================================

    hosts.allow与hosts.deny
    两个文件均在/etc/目录下
    优先级为先检查hosts.deny,再检查hosts.allow,
    后者设定可越过前者限制,

    例如:
    1.限制所有的ssh,
    除非从218.64.87.0——127上来。
    hosts.deny:
    in.sshd:ALL
    hosts.allow:
    in.sshd:218.64.87.0/255.255.255.128

    2.封掉218.64.87.0——127的telnet
    hosts.deny
    in.sshd:218.64.87.0/255.255.255.128

    3.限制所有人的TCP连接,除非从218.64.87.0——127访问
    hosts.deny
    ALL:ALL
    hosts.allow
    ALL:218.64.87.0/255.255.255.128

    4.限制218.64.87.0——127对所有服务的访问
    hosts.deny
    ALL:218.64.87.0/255.255.255.128

    其中冒号前面是TCP daemon的服务进程名称,通常系统
    进程在/etc/inetd.conf中指定,比如in.ftpd,in.telnetd,in.sshd

    其中IP地址范围的写法有若干中,主要的三种是:
    1.网络地址——子网掩码方式:
    218.64.87.0/255.255.255.0
    2.网络地址方式(我自己这样叫,呵呵)
    218.64.(即以218.64打头的IP地址)
    3.缩略子网掩码方式,既数一数二进制子网掩码前面有多少个“1”比如:
    218.64.87.0/255.255.255.0《====》218.64.87.0/24

    以下的故障是因为在/etc/hosts.allow和/etc/hosts.deny设置了IP,所以导致的ssh无法登陆,这个是链接

    展开全文
  • 他们两个的关系为:/etc/hosts.allow的设定优先于/etc/hosts.deny1.当档案/etc/hosts.allow存在时,则先以此档案内之设定为准;2.而在/etc/hosts.allow没有规定到的事项,将在/etc/hosts.deny当中继...
        

    可以通过配置hosts.allow和hosts.deny来控制访问权限。

    他们两个的关系为:/etc/hosts.allow 的设定优先于 /etc/hosts.deny

    1. 当档案 /etc/hosts.allow 存在时,则先以此档案内之设定为准;

    2. 而在 /etc/hosts.allow 没有规定到的事项,将在 /etc/hosts.deny 当中继续设定!

    也就是说, /etc/hosts.allow 的设定优先于 /etc/hosts.deny 啰!了解了吗?基本上,只要 hosts.allow 也就够了,因为我们可以将allow 与 deny 都写在同一个档案内,只是这样一来似乎显得有点杂乱无章,因此,通常我们都是:

    1. 允许进入的写在 /etc/hosts.allow 当中;

    2. 不许进入的则写在 /etc/hosts.deny 当中。

    再强调一次,那个 service_name 『必需』跟你的 xinetd 或者是 /etc/rc.d/init.d/* 里面的程序名称要相同。好了,我们以telnet 为例子来说明好了,现在假设一个比较安全的流程来设定,就是:

    1. 只允许 140.116.44.0/255.255.255.0 与 140.116.79.0/255.255.255.0 这两个网域,及 140.116.141.99 这个主机可以进入我们的 telnet 服务器;

    2. 此外,其它的 IP 全部都挡掉!

    这样则首先可以设定 /etc/hosts.allow 这个档案成为:

    [root @test root]# vi /etc/hosts.allow

    telnetd: 140.116.44.0/255.255.255.0 : allow

    telnetd: 140.116.79.0/255.255.255.0 : allow

    telnetd: 140.116.141.99 : allow

    再来,设定 /etc/hosts.deny 成为『全部都挡掉』的状态:

    [root @test root]# vi /etc/hosts.deny

    telnetd: ALL : deny

    那个 ALL 代表『全部』的意思!呵呵!很棒吧!那么有没有更安全的设定,例如,当当有其它人扫瞄我的 telnet port 时,我就

    将他的 IP 记住!以做为未来的查询与认证之用!那么你可以将 /etc/hosts.deny 这个档案改成这个样子:

    [root @test root]# vi /etc/hosts.deny

    telnetd: ALL : spawn (echo Security notice from host `/bin/hostname`; \

    echo; /usr/sbin/safe_finger @%h ) | \

    /bin/mail -s "%d-%h security" root & \

    : twist ( /bin/echo -e "\n\nWARNING connection not allowed. Your attempt has been logged.

    \n\n\n警告您尚未允许登入,您的联机将会被纪录,并且作为以后的参考\n\n ". )

    在上面的例子中『 root 』,可以写成你的个人账号或者其它 e-mail ,以免很少以 root 身份登入 Linux 主机时,

    容易造成不知道的情况,另外,最后几行,亦即 :twist 之后的那几行为同一行。如此一来,当未经允许的计算机尝试登入你的主机时,对方的屏幕上就会显示上面的最后一行,并且将他的 IP 寄到 root (或者是你自己的信箱)那里去!(注:某些没有安装 tcp_wrappers 的套件之 distribution 中,由于没有 safe_finger 等程序,所以无法执行相关的功能,这点还请多加注意呢!)

    etc/hosts.allow和/etc/hosts.deny

    这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:

    #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command]

    /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:

    ALL:127.0.0.1 #允许本机访问本机所有服务进程 smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务

    192.168.6.100代表一个主机,192.168.6.代表整个网段。同理,ringkee.com代表一台主机,.ringkee.com代表ringkee.com域内的所有主机。

    ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。KNOWN关健字匹配一台名字和地址(通过各种名字解析服务)已知的主机。LOCAL匹配任何一个不包含"."字符的主机名。我们应该尽量使用IP地址,因为主机名或域名会出现名称解析出错的问题,从而造成匹配失效。

    tcpdchk程序可用于检查这两个配置文档是否有错,因为tcpd依赖许多配置文档(/etc/services,/etc/inetd.conf,/etc/hosts.allow和/etc/hosts.deny),并且要求这些文档中的相关信息必须一致。有了tcpdchk,就可帮我们自动检查。还有一个有用的工具叫tcpdmatch,它可以模拟一个进入的连接,测试tcpd的行为。

    通过spawn选项,我们还可以根据匹配情况执行各种命令。如发邮件或记录日志等。下面是一个示例:

    ALL:ALL : spawn (/bin/echo Security Alter from %a on %d on `date`| \ tee -a /var/log/Security_alter | mail)

    使用:

    修改/etc/hosts.allow文件

    #

    # hosts.allow This file describes the names of the hosts which are

    # allowed to use the local INET services, as decided

    # by the '/usr/sbin/tcpd' server.

    #

    sshd:210.13.218.*:allow

    sshd:222.77.15.*:allow

    以上写法表示允许210和222两个ip段连接sshd服务(这必然需要hosts.deny这个文件配合使用),当然:allow完全可以省略的。

    当然如果管理员集中在一个IP那么这样写是比较省事的

    all:218.24.129.110//他表示接受110这个ip的所有请求!

    /etc/hosts.deny文件,此文件是拒绝服务列表,文件内容如下:

    #

    # hosts.deny This file describes the names of the hosts which are

    # *not* allowed to use the local INET services, as decided

    # by the '/usr/sbin/tcpd' server.

    #

    # The portmap line is redundant, but it is left to remind you that

    # the new secure portmap uses hosts.deny and hosts.allow. In particular

    # you should know that NFS uses portmap!

    sshd:all:deny

    注意看:sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。

    所以:当hosts.allow和 host.deny相冲突时,以hosts.allow设置为准。

    注意修改完后:

    service xinetd restart

    才能让刚才的更改生效。

    展开全文
  •  有关/etc/resolv.conf、/etc/hosts、/etc/sysconfig/network 有关/etc/resolv.conf、/etc/hosts、/etc/sysconfig/network发布时间:2018-01-19 来源:网络 上传者:用户关键字: ETC sysconfig network ...
    • 阿里云  >  教程中心   >  linux教程  >  有关/etc/resolv.conf、/etc/hosts、/etc/sysconfig/network  
    • 有关/etc/resolv.conf、/etc/hosts、/etc/sysconfig/network
    • 发布时间:2018-01-19 来源:网络 上传者:用户

      关键字: ETC sysconfig network 有关 resolv hosts conf

      发表文章
    • 摘要:1./etc/resolv.conf/etc/resolv.conf设置linux本地的客户端DNS的配置文件DNS可以实现域名和IP的互相解析setup->networkconfiguration->DNSconfiguration上述设置实际上是修改/etc/resolv.cof这个文件[root@muban~]#cat/etc/resolv.conf;generatedby/sbin/dhclient-scriptnameserver8.8.8.8负责域名与
    • 1./etc/resolv.conf

      /etc/resolv.conf设置linux本地的客户端DNS的配置文件

      DNS可以实现域名和IP的互相解析 
      setup->network configuration->DNS configuration

      有关/etc/resolv.conf、/etc/hosts、/etc/sysconfig/network

      上述设置实际上是修改/etc/resolv.cof这个文件

      [root@muban ~]# cat /etc/resolv.conf; generated by /sbin/dhclient-scriptnameserver 8.8.8.8

      负责域名与IP互相解析的服务就是DNS(domain name system) 
      www.baidu.com <=>203.71.88.10

      小结:

      1. 客户端DNS可以在网卡配置文件里设置(ifcfg-eth0)
      2. 客户端DNS也可以在/etc/resolv.conf里设置
      3. 网卡里的设置优先于/etc/resolv.f
      2./etc/hosts

      /etc/hosts设定用户IP与名字(或域名)的对应解析表。主机名和IP解析,相当于DNS工具(手动维护的)。

      [root@muban ~]# ping mubanping: unknown host muban

      vi /etc/hosts 
      有关/etc/resolv.conf、/etc/hosts、/etc/sysconfig/network

      aliyunzixun@xxx.com ~]# tail -1 /etc/hosts192.168.31.199 muban[ aliyunzixun@xxx.com ~]# ping mubanPING muban (192.168.31.199) 56(84) bytes of data.64 bytes from muban (192.168.31.199): icmp_seq=1 ttl=64 time=0.154 ms64 bytes from muban (192.168.31.199): icmp_seq=2 ttl=64 time=0.023 ms

      /etc/hosts类似C:/Windows/System32/drivers/etc/hosts,LAN内IP域名解析文件。 
      开发、测试时做临时的域名解析常用,英文hosts - The static table lookup for host names。 
      host的解析在机房常用的服务器互相调用中也会常用,如门户网站的解析真实案例: 
      alibaba: 
      172.26.58.40 vafd.china.alibaba.com 
      172.23.54.47 normyl.vip.xyi.cn.alidc.net 
      小结: 
      hosts 的作用

      1. 开发、产品、测试等人员,用于通过正式的域名测试产品。
      2. 服务器之间的调用可以用域名(内部的DNS),方便迁移。
      3./etc/sysconfig/network

      /etc/sysconfig/network设定主机名与网卡启动、网关配置

      [root@muban ~]# cat /etc/sysconfig/networkNETWORKING=yesHOSTNAME=muban

      修改主机名:

      1. vi /etc/sysconfig/network 修改HOSTNAME(永久改)
      2. hostname再修改(临时改)

        修改了/etc/sysconfig/network下的HOSTNAME后,然后使用hostname命令使其生效。但是需要注意的是当前会话还是不会变化,但是后续新建会话会生效。 
        结合永久性修改和临时性修改hostname,使其不必重启Linux服务器

      有关/etc/resolv.conf、/etc/hosts、/etc/sysconfig/network

      有关/etc/resolv.conf、/etc/hosts、/etc/sysconfig/network

    以上是有关/etc/resolv.conf、/etc/hosts、/etc/sysconfig/network的内容,更多 ETC sysconfig network 有关 resolv hosts conf 的内容,请您使用右上方搜索功能获取相关信息。
    展开全文
  • /etc/hosts.deny和/etc/hosts.allow无法限制FTP访问 问题描述: 想通过/etc/hosts.allow与/etc/hosts.deny文件限制某些网段访问FTP服务器(在不动防火墙和交换机的情况下) 本机FTP服务器ip为192.168.0.13 vim /...

    /etc/hosts.deny和/etc/hosts.allow无法限制FTP访问

    问题描述:

    想通过/etc/hosts.allow与/etc/hosts.deny文件限制某些网段访问FTP服务器(在不动防火墙和交换机的情况下)

    本机FTP服务器ip为192.168.0.13

    vim /etc/hosts.allow

    vsftpd:196.168.0.:allow  #允许196.168.0网段的所有IP访问FTP

    vsftpd:all:deny  #拒绝所有IP访问FTP服务(allow优先,所以这里拒绝所有会除开上面已经允许的网段)

    保存后,用其他网段IP192.168.10.1登录FTP服务器依然允许访问。

     

    解决:

    在FTP服务器上用which vsftpd查看命令路径后,用ldd查看库文件

    缺少libwrap库文件,将vsftpd的启动模式改为xinetd

    vim /etc/xinetd.d/vsftpd

    disable的yes改为no

    启动xinetd

    rcxinted restart

    再尝试用192.168.10.1登录FTP服务器,拒绝访问,成功。

    原因:

    vsftpd分两种启动模式,startalone模式和xinetd模式。支持/etc/hosts.allow和/etc/hosts.deny文件需要引用到libwrap库,这里用ldd查到并没有该库。而xinetd是有libwrap库的,所以将vsftpd改由xinetd模式启动,则支持了/etc/hosts.allow和/etc.hosts.deny文件。

     

     

     

     

     

     

     

    展开全文
  • 一,首先讨论/etc/hosts.allow和/etc/hosts.deny文件控制 1.一个IP请求连入,linux的检查策略是先看/etc/hosts.allow中是否允许,如果允许直接放行;如果没有,则再看/etc/hosts.deny中是否禁止,如果禁止那么就...
  • 1.1/etc/hosts 主机名称与IP地址的映像关系存放在/etc/hosts文件中,只有超级用户才能对其进行编辑。该文件的格式为:IP地址 主机名称 [别名]。 例如: 127.0.0.1 localhost localhost 198.0.0.101 kjqt kjqt 1.2./...
  • /etc/hosts.allow和/etc/hosts.deny

    千次阅读 2013-01-18 09:38:31
    /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #...
  • Linux下有三个网络配置文件 /etc/hosts、/etc/host.conf、/etc/resolv.conf   1. /etc/hosts 文件  它与Windows系统下的host的文件相类似,就是一个文本文件,里面存放一些IP和域名的对应关系   例如: root@sha...
  • 2、编缉/etc/hosts.allow文件 vim /etc/hosts.allow 允许内容 书写格式(改成自自需要的IP或IP段) ssh允许单个ip sshd:192.168.220.1 ssh允许ip段 ...
  • 它们是同一文件, /etc映射到/private/etc 终奌站 $ cd / $ pwd / $ ls -lsa 8 lrwxr-xr-x@ 1 root wheel 11 Aug 20 07:11 etc -> private/etc 参考文献 OS X中的“专用”目录是什么 标签: 主机 mac...
  • Linux下有三个网络配置文件 /etc/hosts、/etc/host.conf、/etc/resolv.conf 1./etc/hosts 文件 是一个文本文件,里面存放一些IP和域名的对应关系 [aime@EDG-dc1-OEL-slcz02cn01 /etc]$ pwd /etc [aime@EDG-dc1-...
  • 浅析/etc/hosts和/etc/resolv.conf的作用

    千次阅读 2019-03-23 15:53:05
    先介绍/etc/hosts hosts文件是linux系统中负责ip地址与域名快速解析的文件 以ASCII格式保存在/etc目录下 文件名为hosts(不同的linux版本,文件也可能不同,比如Debian的对应文件是/etc/hostname。) hosts文件...
  • 一 /etc/hosts: (1)/etc/hosts:The static table lookup for hostnames(详情:man 5 hosts)。 (2)/etc/hosts associates IP address with hostnames,one line per IP address. *格式:IP_address canonical_...
  • /etc/hosts.allow用来限制服务器允许执行的ip登陆感觉比防火墙方便很多。文章出自:http://see.sl088.com/wiki/Linux_%E9%99%90%E5%88%B6IP就像是限制特定IP来访想法看起来通常的做法是利用hosts的拒绝设置,而它的...
  • 对于能过xinetd程序启动的网络服务,比如ftp telnet,我们就可以修改/etc/hosts.allow和/etc/hosts.deny的配置,来许可或者拒绝哪些IP、主机、用户可以访问。 比如我们在 /etc/hosts.allow中加入 all:218.24.129. ...
  • etc/hosts.allow和/etc/hosts.deny详解

    千次阅读 2020-03-04 12:27:39
    修改/etc/hosts.allow文件 # # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the ‘/usr/sbin/tcpd’ server. # sshd:210.13.218...
  • Linux下/etc/hosts 和hostname文件的区别 hostname与/etc/hosts的关系 很过人一提到更改hostname首先就想到修改/etc/hosts文件,认为hostname的配置文件就是/etc/hosts。其实不是的。 hosts文件的作用相当如DNS,...
  • filename=/etc/hosts if [ -r "$filename" ] && [ -s "$filename" ]; then md5sum $filename else echo "$filename cannot be processed" fi filename=${1:-/etc/hosts} if [ -r "$filename" ] &&
  • 在linux中,一般使用/etc/passwd,/etc/shadow,/etc/group提供用户登陆的密码认证 ... 因此,为了提供同一的调用,产生了nsswitch,介于登录与认证数据之间 ...框架:/etc/passwd, /etc/shadow, /etc/group 库:...
  • /etc/hosts IP地址 主机名/域名 别名 第一部份:网络IP地址;第二部份:主机名或域名;第三部份:主机名别名; 主机名通常在局域网内使用,通过hosts文件,主机名就被解析到对应ip; 域名通常在internet上...
  • /etc/hosts.allow 及 /etc/hosts.deny关系<br />上一篇 / 下一篇 2008-04-02 10:50:00 / 个人分类:linux学习查看( 158 ) / 评论( 0 ) / 评分( 0 / 0 )他们两个的关系为:/etc/hosts.allow 的设定优先于 /etc/hosts....
  • Mac的/etc/hosts立即生效方法

    万次阅读 2019-06-24 08:41:17
      有时因工作需要在内网和外网的host里来回切换,也就是更改Mac的/etc/hosts,但是经常更改后输入网址还是原先的,需要等1分钟左右浏览器输入网址才能跳转到指定的内网或者外网服务器,而ping对应的域名则是更改后...
  • /etc/hosts 详解

    2019-10-12 09:15:06
    1,/etc/hosts,主机名何ip配置文件。 hosts—The static table lookup for host name(主机名查询静态表) linux 的/etc/hosts是配置ip地址和其对应主机名的文件,这里可以记录本机的或其他主机的ip及其对应主机名。 ...
  • 这两个配置文件的格式如下:#服务进程名:主机列表:当规则匹配时可选的命令操作server_name:hosts-list[:command]/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的...
  • 域名解析-/etc/hosts

    2019-03-26 14:14:50
    解析/etc/hosts文件 1./etc/hosts-主机名和ip配置文件 Linux 的/etc/hosts是配置ip地址和其对应主机名的文件,这里可以记录本机的或其他主机的ip及其对应主机名。不同的linux版本,这个配置文件也可能不同。比如...
  • 关于/etc/hosts文件

    万次阅读 2017-10-06 19:13:37
    1,/etc/hosts,主机名何ip配置文件。 hosts---The static table lookup for host name(主机名查询静态表) linux 的/etc/hosts是配置ip地址和其对应主机名的文件,这里可以记录本机的或其他主机的ip及其对应主机...
  • 关于/etc/hosts和/etc/resolv.conf学习

    千次阅读 2016-01-14 00:41:12
    /etc/resolv.conf配置的是本地DNS服务器,也就是本机要访问某个域名时,就会向/etc/resolv.conf中配置的DNS服务器发起DNS解析的请求 默认网关,当主机已经通过DNS解析到了目的IP时,本机器会将数据包发送的默认网关...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 260,322
精华内容 104,128
关键字:

/etc/hosts