鸟哥的
Linux 与
ADSL 私房菜
限制连接上您 Linux 主机的计算机网域
最近更新日期:2001/10/02
前言:
那如果你已经将一些可能造成侵入的服务关掉之后,下一步要作什幺呢?当然就是限制挂机进来计算机罗!通常,若你有打开
http 或
mail 的情况下,在
apache 与
sendmail
的设定档中限制挂机的计算机,可能会造成一些网域无法注册,当然,除非你只对内部开放,否则的话,通常是不在该服务下关闭某一网域的计算机的!但是
telnet 这个服务就不是这样罗!基本上,我们并不希望有任何人以
telnet 注册我们的主机,(除非你有架设
BBS)因为如果你开放
telnet
的话,那等于是请所有的人进入你的主机中,窃取你的数据,甚至以你的主机为中继站去攻击别人!因此,最好限制每一台主机可以挂机的网域才好。
参考数据:
以下的部分内容,我是参考
study-area
『我本善良』兄写的文章,另外,『卧龙小三』的文章也很值得参考!
限制挂机的范围:
tcp_wrappers 套件;
/etc/hosts.allow;
/etc/hosts.deny。
简单的说, hosts.allow 与 hosts.deny 这两个文件就是在限制 /etc/inetd.conf 这个文件中,所允许的服务内容啦!
察看是否具有
tcp_wrappers 套件:
要使挂机计算机的设定激活,以使用
/etc/hosts.allow 与
/etc/hosts.deny 文件的话,需要这一套软件『tcp_wrappers』,要察看你的
Linux 主机内是否有这一套软件的话,请使用:
rpm -q tcp_wrappers 或者 rpm -qa | grep tcp
如果有这套软件的话,自然就会显示出来,如果没有的话,请放入你的
Linux 光盘片,将
rpm 文件装上去吧!
设定允许注册的计算机(/etc/hosts.allow):
其实很简单,只要修改
/etc/hosts.allow(如果没有此档,请自行以
vi 编辑)这这文件即可,例如,我家里的计算机中,我的内部网域(局域网)是
192.168.1.0/255.255.255.0,这样的网域代表计算机
IP 在于
192.168.1.1 - 192.168.1.255 之间!所以,我就将
/etc/hosts.allow 这个文件的内容设定成为如此:
in.telnetd: 192.168.1.0/255.255.255.0, .ncku.edu.tw : Allow
加入
.ncku.edu.tw 的原因是因为我人在成大,所以加入此行的话,可以使我在成大连上我家里的
Linux 主机。
设定不许注册的计算机(/etc/hosts.deny):
由于正常的情况下,
Linux 会先判断
hosts.allow 这个文件,这个文件中的计算机如果设定为可挂机的话,则
hosts.deny 就不会被使用,因此,设定好了
hosts.allow 之后,将
/etc/hosts.deny 设定为『所有计算机都不许注册』的情况,如下所示:
in.telnetd: ALL : Deny
这样一来,基本的防护措施就有了(不用重新引导系统就自动运行了!)。
记录限制注册的主机
IP:
通常我们会希望如果有人尝试注册我们的系统时,系统不但可以将他摒弃在外,并且可以将他的尝试记录下来!这时,我们可以藉由
/etc/hosts.deny 来实现这个目标!在这个文件中(当然,您的
/etc/hosts.allow 必须已经先完成编辑了!),你可以这样输入:
|
[root @tsai /etc]# vi hosts.deny in.telnetd:
ALL : spawn (echo Security notice from host `/bin/hostname`; \
|
在上面的例子中,黄色的 root 部分,可以写成你的个人帐号或者其他 e-mail ,以免很少以 root 身份注册 Linux 主机时,容易造成不知道的情况,另外,最后几行(颜色怪怪的那一行)为同一行。如此一来,当未经允许的计算机尝试注册你的主机时,他的屏面就会显示上面的最后一行,并且将他的 IP 寄到 root (或者是你自己的信箱)那里去!
Designed by VBird
during 2001-2004. Aerosol Lab.