如果您決定不使用 xinetd
,而是使用 inted
,那麼您可以使用 TCP 封裝器來記錄請求和具體的對特定網絡的 允許/拒絕。TCP 封裝器會爲了認證和記錄日誌而去檢查 /etc/hosts.allow
和 /etc/hosts.deny
,並將客戶機請求封裝起來,不直接回應它們。一旦認證成功,請求就會被轉發到原來請求的服務。
相對於使用普通的 inetd
,使用 TCP 封裝器有兩個主要的好處:
- 發出請求的客戶機不會察覺到 TCP 封裝器;因此,沒有異心的人不會發現任何區別,而心懷不軌的人也得不到關於他們的請求失敗的任何信息。
- TCP 封裝器的工作不會理會任何已經被封裝的服務,讓應用程序能夠共享它們的配置文件,從而簡化管理。
爲了防範與不應該運行的服務或者不應該被 Internet 等特定網絡所訪問的服務的通信,建議安裝一個防火牆。防火牆提供網絡間基於信任級別的受控通信,並權衡使用基於角色的安全策略和最小權限原則允許或者拒絕對特定服務的訪問。