在默認情況下, RedHat Linux允許所有的服務請求。用 TCP_WRAPPERS來保護服務器的安
全,使其免受外部的***,比想像的要簡單和輕鬆得多。在“
/etc/hosts.deny”文件中加入
“ALL: ALL@ALL, PARANOID”以禁止所有計算機訪問服務器,然後在“ /etc/hosts.allow”文
件中加入允許訪問服務器的計算機。這種做法是最安全的。
TCP_WRAPPERS是由兩個文件控制的,它們是:“/etc/hosts.allow”和“ /etc/hosts.deny”。
判斷是依次進行的,具體的規則如下:
如果在“ /etc/hosts.allow”文件中有匹配的項( daemon,client),那麼允許訪問;否則,查
看“/etc/hosts.deny”,如果找到匹配的項,那麼訪問被禁止;否則,訪問被允許。
第一步 編輯hosts.deny文件(vi /etc/hosts.deny),加入下面這些行:
Access is denied by default.
# Deny access to everyone.
ALL: ALL@ALL, PARANOID
這樣 做的 目 的 是 :所有的服務、訪問位置 ,如果沒有被明確地允許 ,也就是在
“/etc/hosts.allow”中找不到匹配的項,就是被禁止的。
注意 加上“PARANOID”參數之後,如果要在服務器上使用 telnet或ftp服務,就要在服
務器的“/etc/hosts”文件中加入允許使用telnet和ftp服務的客戶端計算機的名字和 IP地址。
否則,在顯示登錄提示之前,因爲 DNS的域名解析,可能要等上幾分鐘時間。
第二步
編輯hosts.allow文件(vi /etc/hosts.allow)。例如,可以加入下面這些行(被授權訪
問的計算機要明確地列出來):
sshd: 208.164.186.1 gate.openarch.com
被授權訪問的計算機的 IP地址是: 208.164.186.1,主機名是: gate.openarch.com,允許使用
的服務是: sshd。
第三步 tcpdchk是檢查TCP_WAPPERS配置的程序。它檢查 TCP_WAPPERS的配置,並報告
它可以發現的問題或潛在的問題。在所有的配置都完成了之後,運行 tcpdchk程序:
[root@Aid]# tcpdchk