Linux 通过host.allow限制特定IP来访

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux 通过host.allow限制特定IP来访相关的知识,希望对你有一定的参考价值。

Linux 通过host.allow限制特定IP来访

SSH

本文转载:原文地址

  看起来通常的做法是利用hosts的拒绝设置,而它的设置是针对某一个具体的进程,具体的服务,在这里就是sshd了
   看起来设置一个网段使用的是

    x.x.x.0/24    后面加个24真是有趣,是保持所有的可能性吗
上面的方法看起来是子网匹配的方式
如果更简单一些看起来可以直接保留前面一部分去
    131.155. 可以匹配后面是任何玩意的玩意,比如131.155.1.1
除了作为sshd限制,它看起来能限制一切玩意呢,这个就像是更特殊一点的hosts,只是hosts只是解析域名而已

经验

生效是立即发生的,但是对已经打开的shell无效,所以一边留着shell设置,一边再开shell
它的语法很有趣,最后一部分看起来可以要也可以不要

192.168.0.0/255.255.255.0:deny

在每一条里,[,]是分割多个ip,而[:]是分割它的处理
噢见鬼的[255.255.255.0]看起来指的是局域网
看起来all大小小写都可以
它的工作是实时的,修改后就生效了

困扰

allow和deny的优先是怎样的呢

一个有效的IP段工作

开启设置

  1. [[email protected]-236 ~]# cat /etc/hosts.allow

  2. #

  3. # hosts.allow   This file describes the names of the hosts which are

  4. #               allowed to use the local INET services, as decided

  5. #               by the ‘/usr/sbin/tcpd‘ server.

  6. #


  7. # for the shell

  8. sshd:11.8.,12.1.,18.3.:allow

有趣

看起来.0这个ip是不存在的,它看起来是虚拟的

    192.168.1.0

首次尝试
限制sshd
hosts.deny

直接进入编辑

    vim /etc/hosts.deny

加入这个玩意,拒绝一切

  1. # no sshd

  2. sshd : ALL


  3. hosts.allow

  4. 进入编辑


  5. vim /etc/hosts.allow

  6. 试试一个0.0的段落-遗憾无法登陆!被屏蔽

匹配设置

  1. # for the shell - 它什么也没做到

  2. sshd : 101.11.0.0/24


  3. 如果全部IP匹配呢?它可以登陆,这说明了它工作了


  4. # for the shell - 它可以准确的允许这个ip,24起到作用了

  5. sshd : 101.11.10.1/24


  6. # for the shell - 它可以允许这个ip段!

  7. sshd : 101.11.


  8. 别的情况


  9. 这里注意有个诡异的情况!-如果省略最后的部分的话,必须完全避开空格!空格也会作为正则匹配的一部分

  10. 在这个基础上加个24的玩意呢?-它不工作


  11. # for the shell - 它不能允许这个ip段,失败

  12. sshd : 101.11./24


  13. 后面加个标签什么的呢?-它也工作

  14. # for the shell - 后面的标签看起来不碍事

  15. sshd : 101.11.: allow


  16. 如果是任意的标签呢?-不,它不干了

  17. # for the shell - 它现在什么也不干了,不认ip了- 可能有正则问题

  18. sshd : 101.11. : hello


  19. 如果再补回中间的allow呢?-不也不干了

  20. # for the shell - 依旧的啥也不干- 可能有正则问题

  21. sshd : 101.11.:allow : hello


  22. 加上逗号,多个ip段呢?这次第二个没工作,可能少了.的原因

  23. # for the shell - 逗号,这次工只工作了第一个,可能少了第二个的点-值得再尝试

  24. sshd : 101.11.,103.22:allow : hello


  25. 带上逗号,然后每个都有最后的点,它工作了!

  26. # for the shell - 逗号,全部工作了!必须最后带点,而且看起来空格也不要依赖(最好了)

  27. sshd:101.11.,103.22.:allow

想法

linux下的/etc/hosts.allow和/etc/hosts.deny文件
  /etc/hosts.allow和/etc/hosts.deny这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:

服务进程名:主机列表:当规则匹配时可选的命令操作server_name:hosts-list[:command]

/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:

  1. ALL:127.0.0.1 #允许本机访问本机所有服务进程smbd:192.168.0.0/255.255.255.0


  2. #允许192.168.0.网段的IP访问smbd服务

  3. ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。

今天用来禁止一些恶意的ip地址登陆到服务器。因为远程登陆需要sshd进程,所以:
修改步骤如下:

1:修改“/etc/hosts.allow”文件,在最下面添加一行:sshd:192.168.100.0/255.255.255.0        #允许局域网内所有机器访问服务器上的sshd进程sshd:60.28.160.244                                  #允许外网的60.28.160.244访问这个服务器上的sshd进程2:修改“/etc/hosts.deny”文件,在最后一行添加:sshd:all                                                    #禁止所有

注:  
1):修改前,请先修改“/etc/hosts.allow”文件,并且修改完毕之后切勿立即退出,应该做登陆测试
2):文件修改后,立即生效,但是对于已经运行的程序则不生效。

鳥哥的 Linux 私房菜 -- 移除不要的服務 沿途见识

  1. 察看是否具有 tcp_wrappers 套件:


  2. 要使連線電腦的設定啟動,以使用 /etc/hosts.allow /etc/hosts.deny 檔案的話,需要這一套軟體『tcp_wrappers』,要察看你的 Linux 主機內是否有這一套軟體的話,請使用:


  3. rpm -q tcp_wrappers 或者 rpm -qa | grep tcp


  4. 如果有這套軟體的話,自然就會顯示出來,如果沒有的話,請放入你的 Linux 光碟片,將 rpm 檔案裝上去吧!



  5. 設定允許登入的電腦(/etc/hosts.allow):


  6. 其實很簡單,只要修改 /etc/hosts.allow(如果沒有此檔,請自行以 vi 編輯)這這檔案即可,例如,我家裡的電腦中,我的內部網域(區域網路)是 192.168.1.0/255.255.255.0,這樣的網域代表電腦 IP 在於 192.168.1.1 - 192.168.1.255 之間!所以,我就將 /etc/hosts.allow 這個檔案的內容設定成為如此:


  7. in.telnetd: 192.168.1.0/255.255.255.0, .ncku.edu.tw : Allow


  8. 加入 .ncku.edu.tw 的原因是因為我人在成大,所以加入此行的話,可以使我在成大連上我家裡的 Linux 主機。



  9. 設定不許登入的電腦(/etc/hosts.deny):


  10. 由於正常的情況下, Linux 會先判斷 hosts.allow 這個檔案,這個檔案中的電腦如果設定為可連線的話,則 hosts.deny 就不會被使用,因此,設定好了 hosts.allow 之後,將 /etc/hosts.deny 設定為『所有電腦都不許登入』的情況,如下所示:


  11. in.telnetd: ALL : Deny


  12. 這樣一來,基本的防護措施就有了(不用重新開機就自動執行了!)。

  13. hosts.allow - Linux Command - Unix Command 沿途见识[3]


  14. PATTERNS


  15. The access control language implements the following patterns:


  16.    A string that begins with a `.‘ character. A host name is matched if the last components of its name match the specified pattern. For example, the pattern `.tue.nl‘ matches the host name `wzv.win.tue.nl‘.

  17.    A string that ends with a `.‘ character. A host address is matched if its first numeric fields match the given string. For example, the pattern `131.155.‘ matches the address of (almost) every host on the Eindhoven University network (131.155.x.x).

  18.    A string that begins with an `@‘ character is treated as an NIS (formerly YP) netgroup name. A host name is matched if it is a host member of the specified netgroup. Netgroup matches are not supported for daemon process names or for client user names.

  19.    An expression of the form `n.n.n.n/m.m.m.m‘ is interpreted as a `net/mask‘ pair. An IPv4 host address is matched if `net‘ is equal to the bitwise AND of the address and the `mask‘. For example, the net/mask pattern `131.155.72.0/255.255.254.0‘ matches every address in the range `131.155.72.0‘ through `131.155.73.255‘.

SSH限制ip登陆

/etc/hosts.allow输入
 (其中192.168.10.88是你要允许登陆ssh的ip,或者是一个网段192.168.10.0/24)
 sshd:192.168.10.88:allow

/etc/hosts.deny输入(表示除了上面允许的,其他的ip   都拒绝登陆ssh)
 sshd:ALL
本文将讲述一些可以加强Unix,Linx服务器SSH访问的安全性的一些措施。

我个人极力非常推荐的措施是:

1.限制性SSH访问,将sshd绑定到一个ip地址,和允许所有ip地址是完全不同的安全。
 2.将sshd默认端口22改为其它端口。

步骤如下:
前提:

SSH 客户端 - 我推荐使用 putty (搜索google,你会很快找到它)  
 SSH 服务已安装

第一步: 以root身份SSH登录到服务器。
第二步:在命令提示符下输入:pico -w /etc/ssh/sshd_config
第三步:向下翻页,在这个文件中找到像这样的区域:

Port 22Protocol 2, 1ListenAddress 0.0.0.0ListenAddress ::

第四步:取消注释符号#,并修改

端口 #Port 22

像这样修改它
Port 5678
(选择你未被使用的4到5位数字组成的端口(49151是最高端口数))

协议 #Protocol 2, 1
改为这样:
Protocol 2

监听地址 #ListenAddress 0.0.0.0
改为这样:
ListenAddress 125.121.123.15(这里的地址改为你自己访问服务器常用的客户端ip地址)
第五步 如果你想禁用直接用root登录,向下翻知道你看见
PermitRootLogin yes

去掉前面的注释符号#,修改为
PermitRootLogin no

第六步 在命令提示符下输入: /etc/init.d/sshd restart
第七步 退出SSH,以后再登录就必须使用新的端口号(如:49151),并且服务器限制只允许从一个指定的
IP地址(如:125.121.123.15)SSH登录了。
注意事项:
如果修改后出现不能登录或者其他问题,你只需要为服务器接上显示器 或者 Telnet 到你的服务器,修改设置,然后再重新SSH登录。Telnet 是一个非常不安全的协议,所以在你使用它之后最好是修改一下你的root密码。
(the end)

或者
linux限制IP访问ssh

  1. 在/etc/hosts.allow输入  

  2. (其中192.168.10.88是你要允许登陆sship,或者是一个网段192.168.10.0/24)  

  3. sshd:192.168.10.88:allow  


  4. 在/etc/hosts.deny输入(表示除了上面允许的,其他的ip   都拒绝登陆ssh)  

  5. sshd:ALL


  6. 更改端口

  7. vi /etc/ssh/sshd_config

  8. port 3333


  9. 最后一行加上ip

  10. allowusers [email protected]   ------------------允许某个ip用什么帐户登陆


本文出自 “一首老歌” 博客,谢绝转载!

以上是关于Linux 通过host.allow限制特定IP来访的主要内容,如果未能解决你的问题,请参考以下文章

Linux防火墙iptables限制几个特定ip才能访问服务器。

Linux防火墙iptables限制几个特定ip才能访问服务器。

如何通过 IP 限制对特定重写的访问

linux hosts_access

限制访问特定国家/地区的 PHP 网站

ssh_exchange_identification: Connection closed by remote host