换句话说,为什么不拒绝主机只需引用/etc/hosts.allow? 为什么它有自己的文件?
您看到的一些denyhosts教程指示用户将pipe理IP添加到此文件,而忽略甚至提及/ var / lib / denyhosts / allowed-hosts。 这些教程是错误的吗? 或者这会按预期的方式工作(即阻止拒绝主机将IP添加到/etc/hosts.allow中)?
/etc/hosts.allow和/etc/hosts.deny用于TCP包装器,并以不同方式影响许多服务,但其主要目的是对关键服务进行粒度访问控制
denyhosts基本上是一个暴力破解保护系统,它dynamic地阻止攻击IP在ACL中更加简单,要么是由于暴力破解试图或允许的(因为允许列表或正确的login而没有超过失败阈值)
这个ACL太简单了,放入hosts.allow / hosts.deny和denyhosts不能读取hosts.allow或hosts.deny(还)
还要注意 – denyhosts在防火墙(IPtables)级别工作,TCP Wrappers(hosts.allow / hosts.deny)位于防火墙之后,因此更有意义的是不允许通过防火墙的这种不良请求为了使用TCP包装文件。
对于IPtables和TCP Wrappers的区别,我们来看看这个问题和答案: 使用主机来保护一个linux的盒子。[allow | deny] vs iptables有什么区别?
好的,所以我想出了两者之间的相互作用。 基本上,虽然DenyHosts与/etc/hosts.allow没有任何交互,但是你可以把你的IP地址放在那里以防止DenyHosts 试图禁止你。
你可以这样做的原因是, TCP包装将首先检查hosts.allow ,如果你在那里,将停止检查hosts.deny(你可能被DenyHosts放置在哪里)。
如果您想阻止DenyHosts将您置于首位,只需将自己添加到他们的私人“允许主机”文件中即可。
^ 当然,除非你在像FreeBSD这样的系统上使用/etc/hosts.allow代替/etc/hosts.deny,在这种情况下,你必须告诉DenyHosts它看起来在那里,而不是禁止参赛 。