- 综合排序
- 最热优先
- 最新优先
- 来自专栏DBA随笔
SSH之hosts.allow和hosts.deny文件
这里,看到了hosts.allow和hosts.deny这两个文件,于是研究了一下这两个文件的差别。 2hosts.allow和hosts.deny hosts.allow和hosts.deny是linux系统/etc/目录中的两个文件,hosts.allow和hosts.deny规则的执行者为TCP wrappers,对应守护进程为tcpd;而tcpd执行依赖于程序使用了libwrap库,也就是说,hosts.allow和hosts.deny支持且只支持使用了libwrap库的服务。 我们可以简单理解为:/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。 当有请求从远程到达本机的时候 首先检查/etc/hosts.allow 如有匹配的,就默认允许访问,跳过 /etc/hosts.deny这个文件 没有匹配的,就去匹配/etc/hosts.deny 文件
16.2K21发布于 2019-11-06 - 来自专栏运维经验分享
hosts.allow和hosts.deny支持哪些服务
一、背景简介 在linux上多用iptables来限制ssh和telnet,编缉hosts.allow和hosts.deny感觉比较麻烦比较少用。 aix没有iptables且和linux有诸多不同,多种因素导致默认hosts.allow和hosts.deny在aix也是没用。 (据说其实aix有类似iptables的东西的,只是我不会用大部份人应该也都不会用) 二、hosts.allow和hosts.deny支持哪些服务 2.1 hosts.allow和hosts.deny支持哪些服务 hosts.allow和hosts.deny规则的执行者为TCP wrappers,对应守护进程为tcpd;而tcpd执行依赖于程序使用了libwrap库。 也就是说:hosts.allow和hosts.deny支持且只支持使用了libwrap库的服务。
3.9K30发布于 2019-03-11 - 来自专栏运维经验分享
通过配置hosts.allow和hosts.deny文件允许或禁止ssh或telnet操作
3、编辑/etc/hosts.deny文件 vi /etc/hosts.deny 在文件中加入: sshd:ALL in.telnetd:ALL 具体在/etc/hosts.deny加入内容如下: ? 说明: 1.一个IP请求连入,linux的检查策略是先看/etc/hosts.allow中是否允许,如果允许直接放行;如果没有,则再看/etc/hosts.deny中是否禁止,如果禁止那么就禁止连入。 2.实验发现对/etc/hosts.allow和/etc/hosts.deny的配置不用重启就立即生效,但不管重启不重启当前已有会话都不会受影响;也就是说对之前已经连入的,即便IP已配置为禁止登录会话仍不会强制断开
8.1K20发布于 2019-03-11 - 来自专栏散尽浮华
Linux服务器安全登录设置记录
如果当iptables、hosts.allow和hosts.deny三者都设置时或设置出现冲突时,遵循的优先级是hosts.allow > hosts.deny >iptables 下面来看一下几个限制本地服务器登陆的设置 : 1)iptables和hosts.allow设置一致,hosts.deny不设置。 设置(二者出现冲突,以hosts.deny为主) [root@localhost ~]# cat /etc/sysconfig/iptables ..... 3)当iptables、hosts.allow、hosts.deny三者都设置时,遵循的hosts.allow! [root@localhost ~]# cat /etc/hosts.deny # # hosts.deny This file contains access rules which are used
3.8K100发布于 2018-01-23 - 来自专栏运维经验分享
防攻击可以增加IP白名单/etc/hosts.allow和黑名单/etc/hosts.deny
防攻击可以增加IP白名单/etc/hosts.allow和黑名单/etc/hosts.deny 配置文件格式参考: 修改/etc/hosts.allow文件 # # hosts.allow This *:allow 以上写法表示允许210和222两个ip段连接sshd服务(这必然需要hosts.deny这个文件配合使用),当然:allow完全可以省略的。 /etc/hosts.deny文件,此文件是拒绝服务列表,文件内容如下: # # hosts.deny This file describes the names of the hosts which /etc/hosts.allow(允许)和/etc/hosts.deny(禁止)这两个文件是tcpd服务器的配置文件 tcpd服务器可以控制外部IP对本机服务的访问 linux 系统会先检查/etc hosts.deny添加一行 sshd:all:deny 2.禁止某一个ip(192.168.11.112)访问ssh功能 可以在/etc/hosts.deny添加一行sshd:192.168.11.112
5K30发布于 2019-03-11 - 来自专栏Laoqi's Linux运维专列
ssh访问控制,多次失败登录即封掉IP,防止暴力破解
-gt 0 ];then echo "sshd:$IP:deny" >> /etc/hosts.deny fi fi done 3、将secure_ssh.sh脚本放入cron计划任务 再看看服务器上的hosts.deny [[email protected] ~]# cat /etc/hosts.deny 2、从另一个终端窗口继续“暴力”连接服务器。 看看服务器上的黑名单文件: [[email protected] ~]# cat /usr/local/bin/black.txt 13.26.21.27=6 再看看服务器上的hosts.deny [[email protected] ~]# cat /etc/hosts.deny sshd:13.7.3.6:deny sshd:92.4.0.4:deny sshd:94.10.4.2:deny sshd:94.4.1.6:deny sshd:11.64.11.5:deny sshd:13.26.21.27:deny IP 已经被加入到服务器的hosts.deny,再用正确的密码连接服务器
5.8K40发布于 2018-05-09 - 来自专栏贰叁壹运维
[Centos7]关于限制IP通过ssh登陆
*:allow #允许.3网段的所有IP连接 再配合/etc/hosts.deny配置文件 vi /etc/hosts.deny sshd:ALL:deny 以上配置表示除了hosts.allow中配置的地址可以连接 ,其他所有的IP都无法通过ssh连接 还可以通过直接配置hosts.deny来拒绝某个IP进行连接 vi /etc/hosts.deny sshd:192.168.3.2:deny
3.7K50发布于 2020-07-22 - 来自专栏开源部署
SSH访问控制,多次失败登录即封掉IP,防止暴力破解
sshd[29223]: Failed password for root from 13.7.3.6 port 56482 ssh2 从这些行中提取IP地址,如果次数达到5次则将该IP写到 /etc/hosts.deny '{print $1}'` NUM=`echo $i|awk -F= '{print $2}'` if [ $NUM -gt $DEFINE ];then grep $IP /etc/hosts.deny -gt 0 ];then echo "sshd:$IP:deny" >> /etc/hosts.deny fi fi done 3、将secure_ssh.sh脚本放入 很快,服务器上黑名单文件里已经有记录了: [root@ ~]# $ cat /root/black.txt 13.26.21.27=3 再看看服务器上的hosts.deny [root@ ~]# cat 看看服务器上的黑名单文件: [root@ ~]# cat black.txt 13.26.21.27=6 再看看服务器上的hosts.deny [root@ ~]# cat /etc/hosts.deny
2K20编辑于 2022-07-03 - 来自专栏LongJava学习资料
网安-基于TCP-Wrappers的系统服务安全实验
四、实验原理TCP Wrappers是通过/etc/hosts.allow和/etc/hosts.deny这两个配置文件来实现一个类似防火墙的机制。 当有请求从远程到达本机的时候首先检查/etc/hosts.allow如有匹配的,就默认允许访问,跳过 /etc/hosts.deny这个文件没有匹配的,就去匹配/etc/hosts.deny 文件,如果有匹配的 在服务端命令行中输入命令:vi /etc/hosts.deny,打开配置文件hosts.deny。 如下图所示:12、在服务端命令行中输入命令:vi /etc/hosts.deny,打开配置文件hosts.deny。 ,打开hosts.deny文件,编辑hosts.deny文件,在末尾加入一行命令:in.telnetd: 192.168.100.101,如下图所示:20、配置好规则后再在Linux客户端命令行输入telnet
62210编辑于 2023-12-24 - 来自专栏散尽浮华
总结几个常用的系统安全设置(含DenyHosts)
4.1)Tcp_Wrappers的使用很简单,仅仅两个配置文件:/etc/hosts.allow和/etc/hosts.deny查看系统是否安装了Tcp_Wrappers: [root@localhost sshd: 222.90.66.4 61.185.224.66 softpark.com 接着设置不允许登录的机器,也就是配置/etc/hosts.deny文件了。 不满足hosts.allow文件设定的规则的话,就会去使用hosts.deny文件了,如果满足hosts.deny的规则,此主机就被限制为不可访问linux服务器,如果也不满足hosts.deny的 设定,此主机默认是可以访问linux服务器的,因此,当设定好/etc/hosts.allow文件访问规则之后,只需设置/etc/hosts.deny为"所有计算机都不能登录状态"即可。 中也会加入192.168.10.205,即禁止这台机器使用ssh来连接: [root@host-200 ~]# cat /etc/hosts.deny # # hosts.deny This file
3.4K11编辑于 2022-03-29 - 来自专栏Maroon1105
使用TCP Wrappers保护您的Linode
{allow,deny} 编辑hosts.allow和hosts.deny 您可以使用任何您喜欢的文本编辑器编辑hosts.allow和hosts.deny。 hosts.deny在首选文本编辑器中打开该文件。 如果你从未打开过hosts.deny,它会看起来像这样: 的/etc/hosts.deny 1 2 3 4 5 6 7 8 9 10 11 12 13 # # hosts.deny This hosts.deny规则必须按特定顺序插入,如果应用更高规则,则将忽略文件中较低的规则。规则还具有您必须遵守的特定语法。 允许例外 在规则的hosts.allow文件中有比规定更高的优先级hosts.deny的文件。这允许我们使用hosts.allow文件为我们的拒绝规则创建例外。
1.4K20发布于 2018-09-21 - 来自专栏运维经验分享
linux设置允许和禁止访问的IP host.allow 和 host.deny
linux设置允许和禁止访问的IP host.allow 和 host.deny 对于能过xinetd程序启动的网络服务,比如ftp telnet,我们就可以修改/etc/hosts.allow和/etc/hosts.deny 这只是举个例子,实际上,系统默认状态 下,都是能用这些网络服的 如果我们在 /etc/hosts.deny中加入,就限制了来自218.24.129.*域的所有的所有的IP。 如果我们在 /etc/hosts.deny中加入 all:218.24.129.134,这样就限制了所有在218.24.129.134中的所有的用户的访问。 TCP_wrappers的,例如使用命令ldd /usr/sbin/sshd,如果输出中有libwrap,则说明可以使用TCP_wrappers, 即该服务可以使用/etc/hosts.allow和/etc/hosts.deny
7.5K20发布于 2019-09-29 - 来自专栏开源部署
tcp_wrapper:简单的基于主机的访问控制工具
配置文件:/etc/hosts.allow,/etc/hosts.deny 但是并非所有服务都能接受tcp_wrapper的控制,事实上,tcp_wrapper与其说是一个服务,不如说是一个库更合适。 三、使用tcp_wrapper控制 a).只需将受控制程序名写入配置文件即可实现控制: 允许访问:/etc/hosts.allow 拒绝访问:/etc/hosts.deny b).控制原理 程序链接的库文件 ,会自动在用户访问服务时,基于tcpd检测 /etc/hosts.allow、/etc/hosts.deny两个配置文件,并判断某一主机是否能够访问服务。 c).匹配机制 1.先检查/etc/hosts.allow,如果被允许,则直接放行; 2.如果/etc/hosts.allow没有匹配项,则检查/etc/hosts.deny;如果有匹配项则禁止访问; EXCEPT 172.16.251.105 f).事例 如果我们要定义仅放行某一网段,则定义/etc/hosts.allow放行网段,在/etc/hosts.deny定义拒绝所有主机。
1.2K20编辑于 2022-06-30 - 来自专栏运维猫
DenyHosts 阻止SSH暴力攻击
THESE SETTINGS ARE REQUIRED ############ # 系统安全日志文件,主要获取ssh信息 SECURE_LOG = /var/log/secure # 拒绝写入IP文件 hosts.deny HOSTS_DENY = /etc/hosts.deny # #过多久后清除已经禁止的,其中w代表周,d代表天,h代表小时,s代表秒,m代表分钟 PURGE_DENY = 4w # denyhosts echo -n "" > /var/log/secure tail -f /var/log/secure tail -f /etc/hosts.deny /var/log/secure 日志信息: /etc/hosts.deny 信息: ? 用户登录信息: ? 六、关于清除及添加可信主机记录 如果想删除一个已经禁止的主机IP,只在 /etc/hosts.deny 删除是没用的。 需要进入 /var/lib/denyhosts 目录,进入以下操作: 1、停止DenyHosts服务:service denyhosts stop 2、在 /etc/hosts.deny(黑名单列表)
2.3K20发布于 2019-09-23 - 来自专栏全栈程序员必看
防暴力激活成功教程密码的脚本「建议收藏」
发现日志文件/var/log/auth.log(ubuntu)或者/var/log/secure(centos),存在好多尝试激活成功教程用户密码的现象,如下脚本通过获取到日志文件的IP地址,加入到/etc/hosts.deny awk '/Failed/{print $(NF-3)}' $DIR_file|sort|uniq -c|sort -nr|sed 's/ /,/g'|sed -e 's/^,*//g'` #2.导出当前hosts.deny 文件中的IP地址,导入到hosts.deny.ip中 grep -v "^#\|^$" /etc/hosts.deny|awk -F "sshd:" '{print $2}'|sort -nr|uniq sort -nr|uniq -u|awk '{print "sshd:"$1}'>/etc/hosts.deny.bak #5.去除/etc/hosts.deny.bak文件重复的值,导入到/etc/hosts.deny 中,生成新的列表 grep -v "^#\|^$" /etc/hosts.deny.bak|uniq -u >>/etc/hosts.deny \rm -rf /etc/hosts.deny.ip \mv
48130编辑于 2022-09-23 - 来自专栏数据和云
3种方式限制ip访问Oracle数据库
一、概述 本文将给大家介绍如何限制某个ip或某个ip段才能访问Oracle数据库 通过sqlnet.ora 通过/etc/hosts.deny和/etc/hosts.allow 通过iptables 为了避免这种情况,这时就需要通过/etc/hosts.allow和/etc/hosts.deny去限制某个ip或者ip段才能ssh访问数据库服务器 先删除前面实验添加的sqlnet.ora,然后重启监听 修改/etc/hosts.deny 在文件尾部添加一行 all:all:deny 第一个all表示禁掉所有使用tcp_wrappers库的服务,举例来说就是ssh,telnet等服务。 修改/etc/hosts.allow,在文件尾部添加 all:192.168.31.71:allow all:192.168.31.47:allow 格式与hosts.deny一样,第一行表示把本机放开 使用/etc/hosts.deny和iptables时一定要保证自己的操作机能连到服务器,不然很容易就把自己锁死在外面了。
4.1K10发布于 2020-08-20 - 来自专栏WalkingCloud
利用tcp_wrapper实现SSH登录的IP访问控制
hosts 包含hosts_access这类文件说明支持tcp_wrapper ---- 二、tcp wrapper实现访问控制主要依靠两个文件,一个是/etc.hosts.allow文件,另一个是/etc/hosts.deny 如果有匹配的规则,则允许访问,如果没有匹配的规则,则检查hosts.deny文件中是否有匹配的规则,如果有匹配的规则,则拒绝访问,如果没有匹配的规则,则视为默认规则,默认规则则为允许,所以允许访问。 ---- 三、/etc/hosts.allow,/etc/hosts.deny文件配置文件语法: daemon_list:client_list [:options] daemon_list: 1) PARANOID:主机名和ip地址的各自的正反解析结果不匹配 EXCEPT:除了 options deny:拒绝,主要用于hosts.allow文件 allow:允许,主要用于hosts.deny tcp_wrapper,若没有安装,可使用yum等方式进行安装 2)服务器IP为192.168.31.160,要拒绝192.168.31.51 ssh登录,其它主机全部允许,并记录日志 可以只用编辑/etc/hosts.deny
1.9K20发布于 2019-08-29 - 来自专栏linux 自动化运维
shell 脚本监控攻击IP禁止登录服务器
NUM 次数变量的值是: 打印行中 第1列 if [ ${NUM} -gt 5 ]; then # 判断 次数大于 5 就开始 (lt小于) grep $IP /etc/hosts.deny > /dev/null # 文件 hosts.deny 记录的是拒绝IP访问 # 过滤IP 的行 到空洞,等于删除 if [ $? 判断上一条命令执行城 大于0 次就开始 echo "sshd:$IP:deny" >> /etc/hosts.deny # 将规则写入 禁止 IP 访问配置文件 fi eisc$IP " > /etc/crontab # crontab -e 设置定时任务5s一次,指定脚本文件 echo "被禁止访问的IP 为:" grep sshd /etc/hosts.deny
2.1K00发布于 2021-01-13 - 来自专栏院长运维开发
CentOS7防ssh爆破脚本
$1}'` NUM=`echo $i|awk -F= '{print $2}'` if [ $NUM -gt 3 ];then grep $IP /etc/hosts.deny -gt 0 ];then echo "sshd:$IP:deny" >> /etc/hosts.deny fi fi done EOF 添加到定时任务计划 /etc/secure_ssh.sh 任务计划生效: crontab /etc/crontab 说明: 当输入三次密码错误时,ip将记录到/etc/black.txt文件,自动将ip添加到/etc/hosts.deny
1.4K30发布于 2021-02-19 - 来自专栏网站教程
CentOS服务器安全防护实例
使用工具DenyHosts,原理为: python2写成,分析/var/log/secure日志文件,当发现同一IP在进行多次SSH登陆尝试时,就会将IP记录到tcpwrappers配置文件/etc/hosts.deny //如果要禁止所有连接,那就 $ sshd: ALL ** //查看denyhosts收集到的恶意ip $ cat /etc/hosts.deny denyhosts配置详解 配置文件/etc SETTINGS ARE REQUIRED ############ SECURE_LOG = /var/log/secure #sshd的登陆日志文件 HOSTS_DENY = /etc/hosts.deny #将需要阻止的IP写入到hosts.deny,所以这个工具只支持调用TCP Wrapper的协议 PURGE_DENY = 1h #过多久后清除已阻止的IP,即阻断恶意IP的时长(1小时) touch /var/lock/subsys/local /usr/share/denyhosts/daemon-control start 在登陆过程中如果出现如下信息,表示/etc/hosts.deny
1.3K00发布于 2021-07-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号