SSH使用TCP Wrappers实现访问控制
主要配置文件
/etc/hosts.allow
/etc/hosts.deny
===
TCP Wrappers的访问控制原则
首先检查 hosts.allow 文件,若找到相匹配的策略,则允许访问
否则继续检查 hosts.deny 文件,若找到相匹配的策略,则拒绝访问
如果两个文件中都没有相匹配的策略,则允许访问
===
如果hosts.allow 文件匹配了策略,就不看hosts.deny 文件了
修改这2个文件里的内容,不需要刷新ssh服务,修改文件后立马生效
==
[root@lichao520 ~]# cat /etc/hosts.allow |grep -v ^#
sshd:10.0.0.253,10.0.0.254
[root@lichao520 ~]# cat /etc/hosts.deny |grep -v ^#
sshd:ALL
[root@lichao520 ~]# ssh root@10.0.0.145
ssh_exchange_identification: Connection closed by remote host
[root@lichao520 ~]#
====
生成一个防火墙:
iptables -A INPUT -s 10.0.2.223 -p tcp --dport 22 -j DROP :阻止来自10.0.2.223的主机访问22号端口
我们可以发现iptables比hosts.deny、hosts.allow灵活性更好