在网络管理中，hosts.allow和hosts.deny文件是用于控制网络服务访问权限的重要工具，这些文件通常位于/etc目录下，它们基于TCP Wrappers机制工作，允许系统管理员定义哪些IP地址或主机可以或不能访问特定的网络服务。

hosts.allow 与 hosts.deny 的基本概念

hosts.allow文件用于定义允许访问特定服务的IP地址或主机名列表，而hosts.deny文件则用于指定禁止访问的列表，如果一个请求既没有在hosts.allow中找到匹配项，也没有在hosts.deny中找到匹配项，那么默认情况下，该请求会被拒绝，这种机制遵循“先允许，后拒绝”的原则。

配置语法

这两个文件的配置语法相对简单，主要由服务名、客户端地址、动作三部分组成，以下是一些基本的配置示例：

hosts.allow:

```

sshd: 192.168.1.

sshd: .example.com

httpd: 192.168.0.0/24

```

hosts.deny:

```

httpd: ALL

```

在上面的例子中，sshd和httpd是服务名，192.168.1.和.example.com是客户端地址模式，ALL表示所有客户端。

配置细节

服务名

服务名通常对应于服务器上运行的网络守护进程的名称，SSH服务对应的服务名通常是sshd，而HTTP服务对应的服务名是httpd。

客户端地址

客户端地址可以是IP地址、域名或网络段，使用通配符.可以匹配任何单个字符，而*则匹配任意数量的字符。192.168.1.将匹配以192.168.1开头的所有IP地址。

动作

动作部分定义了对匹配的客户端执行的操作，通常是允许（allow）或拒绝（deny）。

配置策略

在配置hosts.allow和hosts.deny时，应该遵循以下策略：

1、最小权限原则：只允许必要的访问，拒绝所有其他访问。

2、明确性：尽量使用具体的IP地址或网络段，避免使用过于宽泛的模式。

3、安全性：定期审查和更新访问控制列表，以响应网络环境的变化。

配置实例分析

假设我们有一个运行SSH和HTTP服务的Linux服务器，我们希望仅允许内网（192.168.0.0/24）的用户访问SSH，而允许所有用户访问HTTP服务，相应的配置可能如下：

hosts.allow:

```

sshd: 192.168.0.0/24

httpd: ALL

```

hosts.deny:

```

sshd: ALL

```

在这个例子中，hosts.allow文件允许来自内网的SSH访问和所有人的HTTP访问。hosts.deny文件则拒绝了所有其他SSH访问请求。

维护与监控

为了确保配置的有效性，定期监控和审计访问日志是非常重要的，这可以帮助发现未授权的访问尝试，并验证配置的正确性，大多数网络服务都会记录访问日志，这些日志通常位于/var/log/目录下。

FAQs

Q1: 如果hosts.allow和hosts.deny文件中都有相同的服务条目，会发生什么？

A1: 如果两个文件中都有相同的服务条目，那么hosts.allow中的规则将优先应用，如果一个请求在hosts.allow中被允许，即使在hosts.deny中被拒绝，该请求也会被允许。

Q2: 如何测试我的hosts配置是否生效？

A2: 你可以使用telnet命令或其他网络测试工具来测试配置，如果你想要测试SSH服务，可以运行telnet <服务器IP> 22，然后查看连接是否成功，如果配置正确，只有符合hosts.allow规则的请求才会成功。

通过合理配置和使用hosts.allow与hosts.deny文件，系统管理员可以有效地控制对网络服务的访问，从而提高系统的安全性和稳定性。

当前文章：怎样解析hosts.allow与hosts.deny设置（hosts解析）
当前路径：http://www.jxjierui.cn/article/djdspes.html