Поэтому я прочитал в справочной странице hosts.deny, что могу вводить файлы в /etc/hosts.allow или hosts.deny для ввода IP-адресов, которые я хочу заблокировать или отказать.
Поэтому я попытался сделать это в hosts.allow
sshd: ALL EXCEPT /root/denylist
в этом denylist я добавляю или удаляю IP-адреса динамически, используя скрипт. Денилист это что-то вроде этого
31.101.16.127
31.101.16.45
Но это не работает, и я все еще могу получить доступ через эти ips.
Что я делаю неправильно?
Я понял.
hosts.allow должен быть написан так
sshd:/root/denylist:deny
sshd:all
и список отказа может быть таким
31.101.16.127
31.101.16.45
Я положил это в hosts.deny
ALL:ALL@ALL
и теперь он работает должным образом и запрещает IP-адреса в denylist
Если вы добавляете IP-адреса в hosts.allow, то это разрешит IP-адреса. Если вы не хотите получать доступ к этим IP-адресам, поместите их в hosts.deny. Если вы хотите добавить в hosts.allow использовать EXCEPT.
Добавьте к hosts.deny:
sshd: /root/denylist
Я никогда не заставлял работать "ALL EXCEPT /file", не знаю почему, это может быть ошибкой.
Вы можете попробовать это в вашем hosts.deny для вашего конкретного случая:
ALL EXCEPT sshd: ALL
sshd: /root/denylist