Другими словами, почему denyhosts просто не ссылается на /etc/hosts.allow? Почему у него собственный файл?
Некоторые из руководств по denyhosts вы видите указание пользователю добавить свои управляющие IP-адреса в этот файл, не упоминая даже / var / lib / denyhosts / allowed-hosts. Эти уроки просто неверны? Или это будет работать так, как задумано (т.е. предотвратит ли запрет denyhosts блокировать IP-адреса, добавленные в /etc/hosts.allow)?
/etc/hosts.allow и /etc/hosts.deny используются для TCP Wrappers и влияют на многие службы по-разному, но его основная цель - осуществлять детальный контроль доступа к ключевым службам.
denyhosts - это, по сути, система защиты от брутфорса, которая динамически блокирует атакующие IP-адреса, намного проще в ее ACL, она либо полностью заблокирована из-за попыток грубой силы, либо разрешена (из-за нахождения в списке разрешенных или правильного входа в систему без превышения пороговых значений отказа)
этот ACL слишком прост, чтобы его можно было поместить в hosts.allow / hosts.deny, а denyhosts не может читать hosts.allow или hosts.deny (пока)
также следует отметить - denyhosts работает на уровне брандмауэра (IPtables), TCP Wrappers (hosts.allow / hosts.deny) находится за брандмауэром, поэтому имеет смысл вообще не пропускать такие плохие запросы через брандмауэр, которые потребуются в чтобы использовать файлы-оболочки TCP.
Чтобы получить более подробное объяснение различий IPtables и TCP Wrappers, взгляните на этот вопрос и ответьте на этом сайте: В чем разница между защитой Linux-сервера с помощью hosts. [Allow | deny] и iptables?
Хорошо, поэтому я выяснил взаимодействие между ними. По сути, хотя DenyHosts не имеет никакого ^ взаимодействия с /etc/hosts.allow, вы можете поместить туда свои IP-адреса, чтобы DenyHosts не попытка забанить вас.
Причина, по которой вы можете это сделать, заключается в том, что Оболочки TCP сначала проверят hosts.allow и, если вы там, перестанете проверять hosts.deny (где вы могли быть размещены DenyHosts).
Если вы хотите, чтобы DenyHosts не помещал вас туда в первую очередь, просто добавьте себя в их личный файл «allowed-hosts».
^ Если, конечно, вы не находитесь в системе, такой как FreeBSD, которая на самом деле использует /etc/hosts.allow вместо /etc/hosts.deny, и в этом случае вам придется сообщить DenyHosts, чтобы он выглядел там вместо запрещенного записи.