Hosts.deny 和hosts.allow
基本语法:
daemon list:client list:option
tcpwrraper自身工作在内核,却可以通过这两个文件来提供访问控制
请求
↓
服务 --->/etc/hosts.allow ---> 如有有就放行
↓ 没有
/etc/hosts.deny ----> 如果没有就放行
↓
如果有明确的匹配条目拒绝
/etc/hosts.allow|deny文件格式:damon_list: client_list [:option]
option值:
sshd:192.168.87.128:severity warn
severityn. 严重;严格;猛烈
这里默认的是将tcpwrapper中host.deny中的产生的消息错误警告放到authpriv.info中对应的日志文件中,可以在/etc/syslog查看。例如在/etc/syslog 中有authpriv.warn /var/log/hosts.deny。在hosts.deny中是这样设置的sshd : ALL : severity warn ,那么这就表示的是当有用户ssh我的主机的时候,只有达到了warn的状态才写日志了
twistvt.捻;拧;扭伤;编织;使苦恼
spawnn. 卵;菌丝;产物vt. 产卵;酿成,造成;大量生产
spawn 表示的是将命令执行在本机
twist表示的是将命令执行在对方的机器或者是在对方的日志中
在/etc/hosts.deny中设置如下(banner旗帜,横幅;标语)
sshd:192.168.87.128:spawn /bin/echo "aaaaa" >> /root/a
[root@centos6 ~]# tail /root/a
aaaaa
sshd:192.168.87.128:twist /bin/echo "aaaaa"
那么要想完成这个功能,就要在/var/banners下建立一个和进程名一样的文件,然后将banner写在这个文件里面
本文转自陈仲阳0 51CTO博客,原文链接:http://blog.51cto.com/wolfword/1212502
