一、背景简介
在linux上多用iptables来限制ssh和telnet,编缉hosts.allow和hosts.deny感觉比较麻烦比较少用。
aix一是与linux有诸多不同二是没有iptables,进而导致自己以认aix上也是没有hosts.allow和hosts.deny的。
但今天同事反馈说有堡垒机不能ssh某台机器请求放行,查看是aix,向其反馈aix没有iptables,他们发来hosts.allow的截图,感觉愰然大悟:确实没人说过aix不能用hosts.allow和hosts.deny限制ssh,只是自己习惯性认为。
aix上能用hosts.allow,又追究起以前想过的问题:hosts.allow能支持哪些服务?如果能支持所有服务那可以替代iptables来处理aix白名单的问题。
(据说其实aix有类似iptables的东西的,只是我不会用大部份人应该也都不会用)
二、hosts.allow和hosts.deny支持哪些服务
2.1 hosts.allow和hosts.deny支持哪些服务
hosts.allow和hosts.deny规则的执行者为TCP wrappers,对应守护进程为tcpd;而tcpd执行依赖于程序使用了libwrap库。
也就是说:hosts.allow和hosts.deny支持且只支持使用了libwrap库的服务。
2.2 查看程序是否使用libwarp
方法一、查看hosts_access字段串
查看应用程序是否支持 wrapper,可以使用 strings 程序然后 grep 字符串 hosts_access:
strings /usr/sbin/sshd | grep hosts_access
方法二、使用ldd
ldd /usr/sbin/sshd | grep libwrap
查测发现使用xinetd的都可以、sshd可以、vsftpd可以,httpd不可以,weblogic等java程序就不要想了。
参考:
https://www.ibm.com/developerworks/cn/aix/library/au-tcpwrapper/
通过配置hosts.allow和hosts.deny文件允许或禁止ssh或telnet操作(代码片段)
...,如果是普通账户先切换至root账号su-root 2、编缉/etc/hosts.allow文件vim/etc/hosts.allow允许内容书写格式(改成自自需要的IP或IP段)ssh允许单个ipsshd:192.168.220.1ssh允许ip段sshd:192.168.220.telnet允许单个ipin.telnetd:192.168.220.1telnet允许ip段 查看详情
使用/etc/hosts.allow和/etc/hosts.deny设置ssh白(黑)名单(代码片段)
...制服务器允许执行的ip登陆,比防火墙方便很多。/etc/hosts.allow/etc 查看详情
showmount-e(cve-1999-0554)nfs漏洞解决方案
...c/exportfs文件内容:172.16.10.210:执行showmount-e172.16.10.211通过hosts.allow和hosts.deny文件来限制挂载相关的权限。访问顺序:nfs服务先读取/etc/hosts.allow文件内容,然后再读取/etc/hosts.deny文件内容来获取的nfs相关权限信息hosts.allow内容:hos... 查看详情
ssh访问控制全攻略
一、设置hosts.allow hosts.deny权限1、将需要ssh访问该服务器的主机ip统统添加到hosts.allow中。 修改/etc/hosts.allow文件##hosts.allowThisfiledescribesthenamesofthehostswhichare#allowedtousethelocalINETservices,asdecided#byth 查看详情
ssh_exchange_identification:connectionclosedbyremotehost
解决方法:------------------------------------------------------------------------主要是/etc/hosts.allow和/etc/hosts.deny问题最好两个都设置一下。因为有些系统是先loadhosts.allow再loadhosts.allow.有些相反。 hosts.allow: ALL:ALL 查看详情
linux如何禁止ip访问http服务器
...进程名:主机列表:当规则匹配时可选的命令操作server_name:hosts-list[:command]/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。/etc/hosts.allow和/etc/hosts.deny两... 查看详情
访问限制
...制,请检查服务的“访问限制”,还有一个地方就是/etc/hosts.allow and /etc/hosts.deny顺便检查这两个文件,防火墙,selinux。在/etc/hosts.allow中添加允许客户端访问的规则ALL:127.0.0.1 #允许... 查看详情
locate命令
locate查找包含你想要找的东西例如:locate hosts [[email protected]mail]#locatehosts/etc/hosts/etc/hosts.allow/etc/hosts.deny/etc/selinux/targeted/modules/active/modules/denyhosts.pp/lib64/security/pam 查看详情
putty连接不上
...连接得上。但PUTTY总是Networkerror:Connectionrefused.版本是9.0的hosts.allow##hosts.allowthisfiledescribesthenamesofthehostswhichare#allowedtousethelocalINETservices,asdecided#bythe'/usr/sbin/tcpd'server.#LINUXPINGXP不通。。。很是郁闷,通的话估计就可以... 查看详情
ubuntu创建新用户ssh登录
...户通过SSH登录系统3.限制IPSSH登录linux服务器通过设置/etc/hosts.allow和/etc/hosts.deny这个两个文件,hosts.allow许可大于hosts.deny可以限制或者允许某个或者某段IP地址远程SSH登录服务器& 查看详情
快速修改linux服务器远程端口方法
...果。02假如要限制SSH登陆的IP,那么可以如下做:先:修改/etc/hosts.deny,在其中加入sshd:ALL然后:修改:/etc/hosts.allow,在其中进行如下设置:sshd:192.168.0.241这样就可以限制只有192.168.0.241的I第一种:01假如要改LinuxSSH的默认端口(22),那么你只要修... 查看详情
linux系统配置文件
...st.conf告诉网络域名服务器如何查找主机名。(通常是/etc/hosts,然后就是名称服务器;可通过netconf对其进行更改)2./etc/hosts包含(本地网络中)已知主机的一个列表。如果系统的IP不是动态生成,就可以使用它。对于简单的主机... 查看详情
linux中tcpwrappers访问控制(代码片段)
...的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略。两个策略文件的作用相反,但配置记录的格式一样:<服务程序列表>:<客户端地址列表>服务程序列表和客... 查看详情
数据包进入主机的流程(代码片段)
...ICMP、TCP、UDP.....第二层是软件管理的TCPWrappers防火墙/etc/hosts.allow/etc/hosts.deny过滤某些IP和Port2、服务的基本功能如http、ftp、samba、nfs 查看详情
服务的防火墙管理xinted,tcpwrappers
...方式。Linux默认有提供一个软件分析的工具,那就是/etc/hosts.deny和/etc/hosts.allow 这两个配置文件。 查看详情
linux使用方法
...进程inetd的配置/etc/gateways设定路由器/etc/protocols设定系统支持的协议/etc/named.boot设定本机为名字服务器的配置文件/etc/sysconfig/network-scripts/ifcfg-eth0设置IP/etc/resolv.conf设置DNS/etc/X1 查看详情
centosroot密码正确ssh连接不上
...者不是yes就需要修改为yes,修改后要重启ssh服务查看/etc/hosts.deny和/etc/hosts.allow文件看是否有配置一些限制最好拍图看看,可以追问我 查看详情
linux问题解决:多种方法处理ssh暴力攻击(代码片段)
...具三、后续补充1.`iptables`持久化操作2.关于`/etc/hosts.allow`和`/etc/hosts.deny`失效的问题四、总结一、前言 说实话挺 查看详情
» 本文链接地址:https://blog.mydns.vip/4829.html
最新评论
麻烦发下检测工具
让我下载
非常好