Я использую небольшой сервер, на котором я хочу заблокировать некоторые специальные IP-адреса, используя /etc/hosts.deny. Если я сделаю запись, как

ALL: <IP>

только служба ssh будет заблокирована для IP. Все остальные сервисы, такие как ftp, http и т.д., По-прежнему доступны по IP. Разве файл host.deny не определяет глобальные правила?

3 ответа3

5

/etc/hosts.deny и /etc/hosts.allow являются частью TCP-Wrapper, программы, разработанной, чтобы запретить доступ к хакерам Wietse Venema в девяностых.

TCP wrappers контролирует TCP-доступ процессов, запущенных из /etc/inetd.conf. Большинство современных дистрибутивов Linux (все на основе Debian, Arch Linux, ...) больше не имеют inetd .

Некоторые приложения все еще контролируются TCPwrapper, потому что они скомпилированы с библиотекой libwrap и, таким образом, поддерживают tcpwrapper, даже если они не запускаются из /etc/inetd.conf. Эти приложения включают, насколько мне известно, telnet, ssh, sendmail, pop3 и stunnel.

Вы можете проверить, поддерживает ли ваше приложение tcp-wrapper, с помощью команды strings :

 # strings /usr/sbin/sshd|grep hosts_access
 hosts_access

или с помощью ldd:

 # ldd /usr/sbin/sshd | grep libwrap
    libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x00007f7059e7a000)

В настоящее время правильным способом запретить доступ злоумышленников к вашей системе является использование iptables:

  iptables -A INPUT -s 11.22.33.44 -j DROP
0

Из памяти hosts.allow / hosts.deny читает только sshd. Вам нужно будет настроить брандмауэр для ограничения других служб.

0

Только сервисы, которые используют оболочку tcpd или sshd, обращают внимание на hosts.deny и hosts.allow. Большинство сервисов используют либо свою собственную оболочку TCP, либо x?Инетд обертка.

Soure: http://its.virginia.edu/unixsys/sec/hosts.html

PS, Некоторое время назад я наткнулся на заметку о том, что xinitd может быть скомпилирован для поддержки libwrap (или чего-то такого, что затрагивает), использующего hosts.deny/allow.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .