linux /etc/hosts.allow和/etc/hosts.deny 限制禁止 ip连接黑名单白名单

怼烎@ 2021-08-24 11:51 650阅读 0赞

1、登录主机，如果是普通账户先切换至root账号

su - root

2、编缉/etc/hosts.allow文件

vim /etc/hosts.allow

<table> 
 <tbody> 
 <tr> 
 <td style="vertical-align:top;"> 允许内容 </td> 
 <td style="vertical-align:top;"> 书写格式（改成自自需要的IP或IP段） </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> ssh允许单个ip </td> 
 <td style="vertical-align:top;"> sshd:192.168.220.1 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> ssh允许ip段 </td> 
 <td style="vertical-align:top;"> sshd:192.168.220. </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> telnet允许单个ip </td> 
 <td style="vertical-align:top;"> in.telnetd:192.168.220.1 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> telnet允许ip段 </td> 
 <td style="vertical-align:top;"> in.telnetd:192.168.221. </td> 
 </tr> 
 </tbody> 
</table>

以ssh允许192.168.220.1和telnet允许192.168.220网段为例，具体在/etc/hosts.allow加入内容如下：

![format_png][]

3、编辑/etc/hosts.deny文件

vi /etc/hosts.deny

在文件中加入：

sshd:ALL
    in.telnetd:ALL

具体在/etc/hosts.deny加入内容如下：

![format_png 1][]

4、保存文件退出编缉后，重启ssh服务和telnet服务【可选】

service sshd  restart
    service  xinetd  restart

![format_png 2][]

说明：

1.一个IP请求连入，linux的检查策略是先看/etc/hosts.allow中是否允许，如果允许直接放行；如果没有，则再看/etc/hosts.deny中是否禁止，如果禁止那么就禁止连入。

2.实验发现对/etc/hosts.allow和/etc/hosts.deny的配置不用重启就立即生效，但不管重启不重启当前已有会话都不会受影响；也就是说对之前已经连入的，即便IP已配置为禁止登录会话仍不会强制断开。不过不知是否所有linux都一样，由此第四步标为可选。

3.网上发现有些教程写成不是sshd而是in.sshd不是in.telnetd而是telnetd的，个人觉得应该是独立启的不用加in.[托管于xinetd][xinetd]的需要加in.

[format_png]: /images/20210728/449ce1c48e62485fae95f53f633e5afd.png
[format_png 1]: /images/20210728/5c455fbabc2a40398d4ff2c79250e52a.png
[format_png 2]: /images/20210728/5fdd8deed8ce4f48aa57e5b2f1bcf448.png
[xinetd]: http://www.cnblogs.com/lsdb/p/6599142.html