Я использую небольшой сервер, на котором я хочу заблокировать некоторые специальные IP-адреса, используя /etc/hosts.deny. Если я сделаю запись, как
ALL: <IP>
только служба ssh будет заблокирована для IP. Все остальные сервисы, такие как ftp, http и т.д., По-прежнему доступны по IP. Разве файл host.deny не определяет глобальные правила?
/etc/hosts.deny и /etc/hosts.allow являются частью TCP-Wrapper, программы, разработанной, чтобы запретить доступ к хакерам Wietse Venema в девяностых.
TCP wrappers контролирует TCP-доступ процессов, запущенных из /etc/inetd.conf. Большинство современных дистрибутивов Linux (все на основе Debian, Arch Linux, ...) больше не имеют inetd .
Некоторые приложения все еще контролируются TCPwrapper, потому что они скомпилированы с библиотекой libwrap и, таким образом, поддерживают tcpwrapper, даже если они не запускаются из /etc/inetd.conf. Эти приложения включают, насколько мне известно, telnet, ssh, sendmail, pop3 и stunnel.
Вы можете проверить, поддерживает ли ваше приложение tcp-wrapper, с помощью команды strings :
# strings /usr/sbin/sshd|grep hosts_access
hosts_access
или с помощью ldd:
# ldd /usr/sbin/sshd | grep libwrap
libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x00007f7059e7a000)
В настоящее время правильным способом запретить доступ злоумышленников к вашей системе является использование iptables:
iptables -A INPUT -s 11.22.33.44 -j DROP
Из памяти hosts.allow / hosts.deny читает только sshd. Вам нужно будет настроить брандмауэр для ограничения других служб.
Только сервисы, которые используют оболочку tcpd или sshd, обращают внимание на hosts.deny и hosts.allow. Большинство сервисов используют либо свою собственную оболочку TCP, либо x?Инетд обертка.
Soure: http://its.virginia.edu/unixsys/sec/hosts.html
PS, Некоторое время назад я наткнулся на заметку о том, что xinitd может быть скомпилирован для поддержки libwrap (или чего-то такого, что затрагивает), использующего hosts.deny/allow.