Loading

Loading

【访问控制】hosts.allow/deny配置说明

一、前言

一个IP请求连入,linux的检查策略是先看/etc/hosts.allow中是否允许,如果允许直接放行;如果没有,则再看/etc/hosts.deny中是否禁止,如果禁止那么就禁止连入。
两个配置文件的关系为:/etc/hosts.allow 的设定优先于/etc/hosts.deny

二、支持服务

hosts.allow和hosts.deny规则的执行者为TCP wrappers,对应守护进程为tcpd;而tcpd执行依赖于程序使用了libwrap库
hosts.alllow和hosts.deny只支持libwrap库的服务,可通过以下两种方式查看
注:目前已知支持的常见服务有:sshdvsftpdrpcbindrpc.mountd

1、方式一

通过命令strings /usr/sbin/<services-name> | grep hosts_access查看,若返回结果为hosts_access,则代表支持

root@node61:~# strings /usr/sbin/sshd | grep hosts_access
hosts_access

2、方式二

通过命令ldd /usr/sbin/<services-name> | grep libwrap查看,若返回结果为hosts_access,则代表支持

root@node61:~# ldd /usr/sbin/vsftpd | grep libwrap
    libwrap.so.0 => /lib/aarch64-linux-gnu/libwrap.so.0 (0x0000ffffabec0000)

三、配置方式

1、修改/etc/hosts.deny配置文件,设置默认不允许所有客户端访问对应服务

注:service_name 必须与/etc/rc.d/init.d/* 里面的程序名称要相同

示例不允许所有客户端访问rpcbind服务,此时所有客户端都无法对主机进行showmount -e <nfs-server-ip>操作

echo "rpcbind:ALL:deny" >> /etc/hosts.deny

2、修改/etc/hosts.allow配置文件,添加对应服务的客户端IP地址

示例允许172.16.21.62/172.16.21.86两台客户端访问rpcbind服务,此时这两台客户端可以对主机进行showmount -e <nfs-server-ip>操作

echo "rpcbind:172.16.21.62,172.16.21.86:allow" >> /etc/hosts.allow
posted @ 2023-10-07 15:46  Luxf0  阅读(1977)  评论(0编辑  收藏  举报