在默认情况下, RedHat Linux允许所有的服务请求。用 TCP_WRAPPERS来保护服务器的安
全,使其免受外部的***,比想像的要简单和轻松得多。在“
/etc/hosts.deny”文件中加入
“ALL: ALL@ALL, PARANOID”以禁止所有计算机访问服务器,然后在“ /etc/hosts.allow”文
件中加入允许访问服务器的计算机。这种做法是最安全的。
TCP_WRAPPERS是由两个文件控制的,它们是:“/etc/hosts.allow”和“ /etc/hosts.deny”。
判断是依次进行的,具体的规则如下:
如果在“ /etc/hosts.allow”文件中有匹配的项( daemon,client),那么允许访问;否则,查
看“/etc/hosts.deny”,如果找到匹配的项,那么访问被禁止;否则,访问被允许。
第一步 编辑hosts.deny文件(vi /etc/hosts.deny),加入下面这些行:
Access is denied by default.
# Deny access to everyone.
ALL: ALL@ALL, PARANOID
这样 做的 目 的 是 :所有的服务、访问位置 ,如果没有被明确地允许 ,也就是在
“/etc/hosts.allow”中找不到匹配的项,就是被禁止的。
注意 加上“PARANOID”参数之后,如果要在服务器上使用 telnet或ftp服务,就要在服
务器的“/etc/hosts”文件中加入允许使用telnet和ftp服务的客户端计算机的名字和 IP地址。
否则,在显示登录提示之前,因为 DNS的域名解析,可能要等上几分钟时间。
第二步
编辑hosts.allow文件(vi /etc/hosts.allow)。例如,可以加入下面这些行(被授权访
问的计算机要明确地列出来):
sshd: 208.164.186.1 gate.openarch.com
被授权访问的计算机的 IP地址是: 208.164.186.1,主机名是: gate.openarch.com,允许使用
的服务是: sshd。
第三步 tcpdchk是检查TCP_WAPPERS配置的程序。它检查 TCP_WAPPERS的配置,并报告
它可以发现的问题或潜在的问题。在所有的配置都完成了之后,运行 tcpdchk程序:
[root@Aid]# tcpdchk