Назад | Перейти на главную страницу

В чем разница между /etc/hosts.allow и denyhosts '/ var / lib / denyhosts / allowed-hosts?

Другими словами, почему denyhosts просто не ссылается на /etc/hosts.allow? Почему у него собственный файл?

Некоторые из руководств по denyhosts вы видите указание пользователю добавить свои управляющие IP-адреса в этот файл, не упоминая даже / var / lib / denyhosts / allowed-hosts. Эти уроки просто неверны? Или это будет работать так, как задумано (т.е. предотвратит ли запрет denyhosts блокировать IP-адреса, добавленные в /etc/hosts.allow)?

/etc/hosts.allow и /etc/hosts.deny используются для TCP Wrappers и влияют на многие службы по-разному, но его основная цель - осуществлять детальный контроль доступа к ключевым службам.

denyhosts - это, по сути, система защиты от брутфорса, которая динамически блокирует атакующие IP-адреса, намного проще в ее ACL, она либо полностью заблокирована из-за попыток грубой силы, либо разрешена (из-за нахождения в списке разрешенных или правильного входа в систему без превышения пороговых значений отказа)

этот ACL слишком прост, чтобы его можно было поместить в hosts.allow / hosts.deny, а denyhosts не может читать hosts.allow или hosts.deny (пока)

также следует отметить - denyhosts работает на уровне брандмауэра (IPtables), TCP Wrappers (hosts.allow / hosts.deny) находится за брандмауэром, поэтому имеет смысл вообще не пропускать такие плохие запросы через брандмауэр, которые потребуются в чтобы использовать файлы-оболочки TCP.

Чтобы получить более подробное объяснение различий IPtables и TCP Wrappers, взгляните на этот вопрос и ответьте на этом сайте: В чем разница между защитой Linux-сервера с помощью hosts. [Allow | deny] и iptables?

Хорошо, поэтому я выяснил взаимодействие между ними. По сути, хотя DenyHosts не имеет никакого ^ взаимодействия с /etc/hosts.allow, вы можете поместить туда свои IP-адреса, чтобы DenyHosts не попытка забанить вас.

Причина, по которой вы можете это сделать, заключается в том, что Оболочки TCP сначала проверят hosts.allow и, если вы там, перестанете проверять hosts.deny (где вы могли быть размещены DenyHosts).

Если вы хотите, чтобы DenyHosts не помещал вас туда в первую очередь, просто добавьте себя в их личный файл «allowed-hosts».

^ Если, конечно, вы не находитесь в системе, такой как FreeBSD, которая на самом деле использует /etc/hosts.allow вместо /etc/hosts.deny, и в этом случае вам придется сообщить DenyHosts, чтобы он выглядел там вместо запрещенного записи.