在默认情况下, RedHat Linux允许所有的服务请求。用 TCP_WRAPPERS来保护服务器的安


全,使其免受外部的攻击,比想像的要简单和轻松得多。在“


/etc/hosts.deny”文件中加入


ALL: ALL@ALL, PARANOID”以禁止所有计算机访问服务器,然后在“ /etc/hosts.allow”文

件中加入允许访问服务器的计算机。这种做法是最安全的。

TCP_WRAPPERS是由两个文件控制的,它们是:“/etc/hosts.allow”和“ /etc/hosts.deny”。

判断是依次进行的,具体的规则如下:

如果在“ /etc/hosts.allow”文件中有匹配的项( daemonclient),那么允许访问;否则,查

看“/etc/hosts.deny”,如果找到匹配的项,那么访问被禁止;否则,访问被允许。

第一步 编辑hosts.deny文件(vi /etc/hosts.deny),加入下面这些行:

Access is denied by default.

# Deny access to everyone.

ALL: ALL@ALL, PARANOID

这样 做的 目 的 是 :所有的服务、访问位置 ,如果没有被明确地允许 ,也就是在

/etc/hosts.allow”中找不到匹配的项,就是被禁止的。

注意 加上“PARANOID”参数之后,如果要在服务器上使用 telnetftp服务,就要在服

务器的“/etc/hosts”文件中加入允许使用telnetftp服务的客户端计算机的名字和 IP地址。

否则,在显示登录提示之前,因为 DNS的域名解析,可能要等上几分钟时间。


第二步


编辑hosts.allow文件(vi /etc/hosts.allow)。例如,可以加入下面这些行(被授权访


问的计算机要明确地列出来):

sshd: 208.164.186.1 gate.openarch.com

被授权访问的计算机的 IP地址是: 208.164.186.1,主机名是: gate.openarch.com,允许使用

的服务是: sshd

第三步 tcpdchk是检查TCP_WAPPERS配置的程序。它检查 TCP_WAPPERS的配置,并报告

它可以发现的问题或潜在的问题。在所有的配置都完成了之后,运行 tcpdchk程序:

[root@Aid]# tcpdchk