Linux网络服务器配置基础[5]

#auth stream tcp nowait nobody /usr/sbin/in.identd in.identd -l -e -o 

# 

# End of inetd.conf 

注意：改变了“inetd.conf”文件之后，别忘了给inetd进程发一个SIGHUP信号（killall –HUP inetd）。 

[root@deep /root]# killall -HUP inetd 

第四步： 

为了保证“inetd.conf”文件的安全，可以用chattr命令把它设成不可改变。把文件设成不可改变的只要用下面的命令： 

[root@deep]# chattr +i /etc/inetd.conf 

这样可以避免“inetd.conf”文件的任何改变（意外或是别的原因）。一个有“i”属性的文件是不能被改动的：不能删除或重命名，不能创建这个文件的链接，不能往这个文件里写数据。只有系统管理员才能设置和清除这个属性。如果要改变inetd.conf文件，你必须先清除这个不允许改变的标志： 

[root@deep]# chattr -i /etc/inetd.conf 

但是对于诸如sendmail，named，www等服务，由于它们不象finger，telnet等服务，在请求到来时由inet守护进程启动相应的进程提供服务，而是在系统启动时，作为守护进程运行的。而对于redhat linux，提供了一个linuxconfig命令，可以通过它在图形界面下交互式地设置是否在启动时运行相关服务。也可以通过命令来设置是否启动时启动某个服务，如：[root@deep]# chkconfig –level 35 named off 

具体命令可以参考man chkconfig的说明。
* /etc/hosts.allow 文件 
但是对于telnet、ftp等服务，如果将其一同关闭，那么对于管理员需要远程管理时，将非常不方便。Linux提供另外一种更为灵活和有效的方法来实现对服务请求用户的限制，从而可以在保证安全性的基础上，使可信任用户使用各种服务。Linux提供了一个叫TCP wrapper的程序。在大多数发布版本中该程序往往是缺省地被安装。利用TCP wrapper你可以限制访问前面提到的某些服务。而且TCP wrapper的记录文件记录了所有的企图访问你的系统的行为。通过last命令查看该程序的log，管理员可以获知谁曾经或者企图连接你的系统。 

在/etc目录下，有两个文件：hosts.deny hosts.allow 通过配置这两个文件，你可以指定哪些机器可以使用这些服务，哪些不可以使用这些服务。 

当服务请求到达服务器时，TCP wrapper就按照下列顺序查询这两个文件，直到遇到一个匹配为止： 

1.当在/etc/hosts.allow里面有一项与请求服务的主机地址项匹配，那么就允许该主机获取该服务 

2.否则，如果在/etc/hosts.deny里面有一项与请求服务的主机地址项匹配，就禁止该主机使用该项服务。 

3.如果相应的配置文件不存在，访问控制软件就认为是一个空文件，所以可以通过删除或者移走配置文件实现对清除所有设置。在文件中，空白行或者以#开头的行被忽略，你可以通过在行前加 # 实现注释功能。 

配置这两个文件是通过一种简单的访问控制语言来实现的，访问控制语句的基本格式为： 

程序名列表:主机名/IP地址列表。