Linux限制SSHIP访问，hosts.allow与deny设置教程

本文深入解析了Linux系统中通过hosts.allow和hosts.deny文件限制SSH访问的核心机制与实战要点，强调hosts.allow的绝对优先级、规则语法细节（如必须使用sshd服务名、支持CIDR但禁用空格分隔）、常见失效原因（权限错误、libwrap未编译支持、域名解析风险），并对比了其与SSH内置AllowUsers及iptables的协同逻辑——三者分层防护：iptables做网络层初筛，hosts.*提供传输层兜底拦截，AllowUsers实现用户+IP精细控制；文章特别警示运维中最易踩坑的盲区：仅配置deny却遗漏allow自身IP、未验证TCP Wrappers启用状态、忽略DNS失败导致规则瘫痪等，为生产环境安全加固提供了清晰、可靠、即改即生效的落地指南。

hosts.allow 和 hosts.deny 的匹配优先级怎么判断

这两个文件不是“谁写在后面谁生效”，而是 hosts.allow 一定先于 hosts.deny 执行，只要某条连接匹配了 hosts.allow 中的任一规则，就直接放行，根本不会去查 hosts.deny；只有没匹配上 hosts.allow，才会继续看 hosts.deny 是否拒绝。

常见错误是只改了 hosts.deny 加 sshd: ALL，却忘了 hosts.allow 里必须显式放行你自己的 IP，否则连自己都会被锁在外面。

• hosts.allow 中每行一条规则，格式为 服务名: 地址模式，比如 sshd: 192.168.1.100 或 sshd: 192.168.1.0/24
• 地址支持单 IP、CIDR 网段、域名（但不推荐用域名，解析失败会导致规则失效）
• 规则中不能有空格分隔多个地址，要写多条独立行
• 修改后无需重启任何服务，sshd 进程会实时读取这两个文件

为什么加了规则还是能连上 SSH

最常见原因是规则写错服务名 —— 必须用 sshd，不是 ssh、openssh 或 sshd-server。Linux 的 TCP Wrappers 机制只认 sshd 这个服务标识符。

另一个高频问题是路径或权限：两个文件必须存在且权限为 644（root:root），如果被误删、改名、或 chmod 成了 600，TCP Wrappers 会静默跳过它们，相当于没设规则。

• 检查是否启用 TCP Wrappers：ldd $(which sshd) | grep libwrap，无输出说明未编译支持，规则无效
• 确认 sshd 编译时带 --with-libwrap（主流发行版默认开启，但某些精简镜像可能裁掉）
• 测试规则是否生效：临时加 sshd: ALL : deny 到 hosts.deny，然后从另一台机器 ssh -o ConnectTimeout=5 user@server，应立刻断连

AllowUsers @IP 和 hosts.allow 哪个更可靠

AllowUsers user@192.168.1.100 是 SSH 协议层控制，由 sshd 进程自己解析；而 hosts.allow 是内核网络栈之后、服务进程之前的 TCP Wrappers 层控制。两者不冲突，但生效位置不同。

关键区别在于：如果攻击者绕过 SSH 认证（比如利用已知漏洞），hosts.allow 仍能拦住连接；但若系统没编译 libwrap 支持，hosts.* 就完全失效。反过来，AllowUsers 更精准（可限定用户+IP组合），但依赖 sshd 正常运行。

• 生产环境建议双管齐下：用 AllowUsers 做主控，hosts.allow 做兜底防火墙
• AllowUsers 修改后必须 systemctl restart sshd，而 hosts.* 修改后立即生效
• AllowUsers 不支持通配符或网段（user@192.168.1.* 无效），hosts.allow 支持 CIDR

iptables 和 hosts.allow/deny 能否共存

可以共存，但顺序很重要：iptables 在网络层过滤，hosts.allow/deny 在传输层之后、应用层之前。也就是说，iptables 先决定“包能不能到 sshd 进程”，hosts.* 再决定“sshd 是否受理这个连接”。

典型组合是：用 iptables 拒绝所有非白名单 IP 的 22 端口入向流量，再用 hosts.allow 对漏过的连接做二次校验。这样既减轻 sshd 负担，又保留一层逻辑隔离。

• iptables 规则需注意插入顺序：iptables -I INPUT -p tcp --dport 22 -j DROP 必须在放行规则之前，否则会被覆盖
• iptables 规则重启后丢失，CentOS/RHEL 用 service iptables save，Debian/Ubuntu 需手动保存到 /etc/iptables.rules 并配置开机加载
• 若同时启用 firewalld，不要混用 iptables 命令，优先用 firewall-cmd 管理

到这里，我们也就讲完了《Linux限制SSHIP访问，hosts.allow与deny设置教程》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于Linux的知识点！