---

深入解析/etc/hosts.allow與 /etc/hosts.deny：靈活控制 Linux 網絡訪問權限

引言

在 Linux 服務器管理中，保障服務的安全性至關重要。除了防火墻（如 iptables 或 firewalld），TCP Wrappers 是一個輕量級但高效的工具，可通過 /etc/hosts.allow 和 /etc/hosts.deny 文件快速定義網絡服務的訪問規則。本文將深入探討這兩個文件的作用、配置方法以及實際應用場景。

什么是 TCP Wrappers？

TCP Wrappers 是一個基于主機的訪問控制系統，通過封裝網絡服務（如 sshd、vsftpd 等），在服務請求到達前進行權限驗證。只有支持 libwrap 庫的服務才能使用此機制（可以通過 ldd /usr/sbin/sshd | grep libwrap 來驗證服務是否啟用了 TCP Wrappers）。

工作原理

TCP Wrappers 通過檢查 /etc/hosts.allow 和 /etc/hosts.deny 文件來決定是否允許遠程主機訪問本機服務。其工作流程如下：

1. 系統首先檢查 /etc/hosts.allow 文件，查看是否有匹配的規則。如果匹配成功，則允許訪問。
2. 如果 /etc/hosts.allow 中沒有匹配項，系統會繼續檢查 /etc/hosts.deny 文件。如果找到匹配項，則拒絕訪問。
3. 如果兩個文件都沒有匹配項，系統默認允許訪問。

這種訪問控制機制簡單、直接，適用于大多數 Linux 系統服務。

什么是 /etc/hosts.allow 和 /etc/hosts.deny？

/etc/hosts.allow 和 /etc/hosts.deny 文件是 TCP Wrappers 的一部分，用于控制主機對系統上服務的訪問權限。它們的主要作用是通過 IP 地址、主機名或網絡地址來允許或拒絕遠程主機的訪問。

• /etc/hosts.allow：定義允許訪問指定服務的主機或網絡。
• /etc/hosts.deny：定義拒絕訪問指定服務的主機或網絡。

匹配規則

1. 客戶端發起請求時，系統首先檢查 /etc/hosts.allow。
2. 若匹配到允許規則，則直接放行。
3. 若未匹配，則繼續檢查 /etc/hosts.deny。
4. 如果 hosts.deny 中有匹配規則，則拒絕訪問。
5. 如果兩個文件都沒有匹配規則，默認情況下允許訪問。

這兩個文件的作用是互補的：如果 /etc/hosts.allow 中匹配到某個主機或 IP 地址，則允許訪問；如果 /etc/hosts.deny 中匹配到，則拒絕訪問。

配置語法詳解

/etc/hosts.allow 和 /etc/hosts.deny 的配置格式類似，每一行都包含三個部分：

服務列表 : 客戶端列表 [: 操作選項]

• 服務列表：多個服務用逗號分隔（如 sshd, vsftpd），或者使用 ALL 表示所有服務。
• 客戶端列表：可以使用以下格式：
  • 單個 IP 地址（192.168.1.10）
  • 網段（192.168.1.0/255.255.255.0 或 192.168.1.）
  • 域名（.example.com 匹配所有子域）
  • 特殊關鍵字：ALL（所有客戶端）、LOCAL（本地網絡）、KNOWN（可解析的主機名）等。
• 操作選項：可以指定網絡接口、用戶名等額外限制。

配置示例

允許特定 IP 訪問 SSH 服務

sshd: 192.168.1.0/24
sshd: 192.168.1.20, 10.0.0.5
httpd: .mydomain.com

• 允許 192.168.1.0/24 網段的主機訪問 SSH 服務（sshd）
• 允許 192.168.1.20 和 10.0.0.5 訪問 SSH 服務（sshd）
• 允許來自 .mydomain.com 域名的所有主機訪問 HTTP 服務（httpd）

拒絕整個子網訪問 FTP 服務

# /etc/hosts.deny
vsftpd: 192.168.2.0/255.255.255.0
ALL: ALL

這里一個ALL已經是全部了，我把vsftpd加到這，是表示可以拒絕FTP服務的意思

• 拒絕 192.168.2.0/24 網段的所有主機訪問 FTP 服務（vsftpd）。
• ALL: ALL 會拒絕所有未在 /etc/hosts.allow 中明確允許的訪問。

允許內網，拒絕外網

# /etc/hosts.allow
ALL: 192.168.1.0/24, LOCAL# /etc/hosts.deny
ALL: ALL

• 允許 192.168.1.0/24 網段和本地網絡訪問所有服務。
• 拒絕所有其他來源的訪問。

記錄非法訪問嘗試

# /etc/hosts.deny
sshd: ALL : spawn /bin/echo "Blocked %a at %d" >> /var/log/secure.log

• 每次拒絕 SSH 訪問時，記錄拒絕的 IP 地址和時間到 /var/log/secure.log 文件中。

注意事項

1. 優先級與順序：/etc/hosts.allow 的規則優先于 /etc/hosts.deny。如果同一服務在兩個文件中都有配置，hosts.allow 中的規則將優先生效。
2. 立即生效：修改后無需重啟服務，規則會自動生效。
3. 服務兼容性：只有支持 TCP Wrappers 的服務（如 sshd、xinetd 管理的服務）才會受此控制。可以通過 ldd 命令檢查服務是否鏈接了 libwrap 庫（例如：ldd /usr/sbin/sshd）。
4. 避免沖突：如果同時在兩個文件中為同一服務配置規則，可能會導致意外的訪問控制行為，需確保規則清晰明確。

高級配置與技巧

允許特定 IP 地址訪問服務

如果希望只允許某個特定 IP 地址訪問某個服務，可以這樣配置：

sshd: 192.168.1.10

這表示只允許 IP 地址為 192.168.1.10 的主機訪問 SSH 服務。

拒絕某個網段的訪問

你可以拒絕某個網段的所有訪問：

ALL: 192.168.2.0/24

這表示拒絕 192.168.2.0/24 網段的主機訪問所有服務。

混合使用/etc/hosts.allow和 /etc/hosts.deny

你可以靈活配置這兩個文件。以下是允許特定 IP 地址訪問 SSH 服務，同時拒絕其他所有主機的配置：

• /etc/hosts.allow：

sshd: 192.168.1.10

• /etc/hosts.deny：

sshd: ALL

常見問題及調試

1. 配置沒有生效：

   • 如果修改后規則沒有生效，可能是因為使用的服務沒有啟用 TCP Wrappers 支持。你可以通過 ldd 命令檢查服務是否鏈接了 libwrap 庫。例如：ldd /usr/sbin/sshd。

2. 優先級問題：
   /etc/hosts.allow 中的規則優先于 /etc/hosts.deny。因此，如果在 hosts.allow 中明確允許某個主機，而在 hosts.deny 中拒絕了該主機的訪問，hosts.allow 中的規則會優先生效。

3. 服務未使用 TCP Wrappers：
   不是所有服務都支持 TCP Wrappers 訪問控制。你需要查閱服務的文檔來確認是否支持此機制。如果不支持，建議使用防火墻（如 iptables）進行訪問控制。

實際應用場景

限制管理端口訪問

通過限制只允許特定 IP（如管理員 IP）訪問 SSH 服務，可以提高安全性：

• /etc/hosts.allow：

sshd: 192.168.1.0/24

• /etc/hosts.deny：

sshd: ALL

防止暴力破解

結合 Fail2Ban 動態更新 /etc/hosts.deny 來封禁暴力

破解攻擊者的 IP 地址。

內外網隔離

允許內網訪問數據庫服務，拒絕外網連接，以保護數據庫的安全。

與防火墻的對比

特性	TCP Wrappers	防火墻（iptables）
配置復雜度	簡單，基于文本文件	復雜，需學習規則語法
作用層級	應用層（服務進程）	網絡層（IP/端口）
適用場景	快速控制服務訪問權限	全面控制網絡流量

總結

/etc/hosts.allow 和 /etc/hosts.deny 是 Linux 系統中簡單卻強大的訪問控制工具。它們適合快速配置黑白名單，尤其在小規模環境中效果顯著。對于復雜的網絡控制，仍然需要結合防火墻進行全面防護。掌握其用法，能夠在安全與便捷之間找到完美平衡。

提示：修改前務必備份原文件，并通過 telnet 或 nc 等工具測試規則是否生效！在配置這些文件時，務必小心，避免誤配置導致合法用戶無法訪問系統。