linux强制踢出对应用户，禁止ip登录

踢出指定用户who#查看使用的连接who-m#查看当前用户pkill-kill-t对应的pts/$id限制两种ip访问使用hosts.allow和hosts.deny设置ip白名单和黑名单，在/etc/目录下。先勾选hosts.deny，再勾选hosts.allow。后一个设置可以覆盖前一个限制，例如：1.限制所有ssh，除了216.64.87.0-127。hosts.deny:in.sshd:ALLhosts.allow:in.sshd:216.64.87.0/255.255.255.1282.Block216.64.87.0-127telnethosts.denyin.sshd:216.64.87.0/255.255.255.1283.Restrict所有TCP连接，除非访问hosts.denyALL:ALLhosts.allowALL:216.64.87.0/255.255.255.128from216.64.87.0-1274.限制216.64.87.0-127访问所有服务hosts.denyALL:216.64.87.0/255.255.255.128冒号前的TCP守护进程的服务进程名称，通常系统进程在/etc/inetd.conf中指定，如in.ftpd,in.telnetd,in.sshd其中IP地址范围写法有几种，主要有三种：1、网络地址--子网掩码法：216.64.87.0/255.255.255.02、网络地址法（我是这么叫的，哈哈）216.64。（即以216.64开头3.简写子网掩码的方法是统计二进制子网掩码前面“1”的个数，如：216.64.87.0/255.255.255.0--216.64.87.0/24设置后,需要重启#/etc/rc.d/init.d/xinetdrestart#/etc/rc.d/init.d/networkrestart使用iptables命令单个IP的命令是iptables-IINPUT-s81.241.219.171-jDROPIP块的命令是iptables-IINPUT-s97.47.225.0/16-jDROPiptables-IINPUT-s97.47.225.0/16-jDROPiptables-IINPUT-s97.47。225.0/16-jDROP块整个段命令是iptables-IINPUT-s97.47.225.0/8-jDROP封几个段的命令是iptables-IINPUT-s97.47.225.0/24-jDROPiptables-IINPUT-s97.47.225.0/24-jDROP服务器自动启动运行的三种方式：1.加入到/etc/rc.local2.vi/etc/sysconfig/iptables你可以把你当前的iptables规则放在/etc/sysconfig/iptables,并且系统在iptables启动时自动执行3.serviceiptablessave你也可以把你当前的iptables规则放在/etc/sysconfig/iptables中，系统启动iptables时会自动执行。后两者更好。一般iptables服务会先于网络服务启动，这样解封比较安全：iptables-LINPUTiptables-L--line-numbers然后iptables-DINPUT序列号iptables限制ip访问通过iptables限制9889端口访问（只允许192.168.1.100、192.168.1.101、192.168.1.102），禁止其他ip访问iptables-IINPUT-ptcp--dport9889-jDROPiptables-IINPUT-s192.168.1.100-ptcp--dport9889-jACCEPTiptables-IINPUT-s192.168.1.101-ptcp--dport9889-jACCEPTiptables-IINPUT-s192.168.1.102-ptcp--dport9889-jACCEPT优先检查主机第一的。deny，然后检查hosts.allow，后面的设置可以覆盖前面的限制，例如：1.限制所有ssh，除了216.64.87.0-127。hosts.deny:in.sshd:ALLhosts.allow:in.sshd:216.64.87.0/255.255.255.1282.Block216.64.87.0-127telnethosts.denyin.sshd:216.64.87.0/255.255.255.1283.Restrict所有TCP连接，除非访问hosts.denyALL:ALLhosts.allowALL:216.64.87.0/255.255.255.128from216.64.87.0-1274.限制216.64.87.0-127访问所有服务hosts.denyALL:216.64.87.0/255.255.255.128冒号前的TCP守护进程的服务进程名称，通常系统进程在/etc/inetd.conf中指定，如in.ftpd,in.telnetd,in.sshd其中IP地址范围写法有几种，主要有三种：1、网络地址--子网掩码法：216.64.87.0/255.255.255.02、网络地址法（我是这么叫的，哈哈）216.64。（即以216.64开头3.简写子网掩码的方法是统计二进制子网掩码前面“1”的个数，如：216.64.87.0/255.255.255.0--216.64.87.0/24设置后,你需要重启#/etc/rc.d/init.d/xinetdrestart#/etc/rc.d/init.d/networkrestart