Linux网络服务器配置基础[6]

程序名列表指定一个或者多个提供相应服务的程序的名字，名字之间用逗号或者空格分割，可以在inetd.conf文件里查看提供相应服务的程序名：如上面的文件示例中，telent所在行的最后一项就是所需的程序名：in.telnetd。 

主机名/IP地址列表指定允许或者禁止使用该服务的一个或者多个主机的标识，主机名之间用逗号或空格分隔。程序名和主机地址都可以使用通配符，实现方便的指定多项服务和多个主机。 

Linux提供了下面灵活的方式指定进程或者主机列表: 

1.一个以"."起始的域名串，如 .amms.ac.cn 那么www.amms.ac.cn就和这一项匹配 

2.以"."结尾的IP串如 202.37.152. 那么IP地址包括202.37.152. 的主机都与这一项匹配。 

3.格式为n.n.n.n/m.m.m.m表示网络/掩码，如果请求服务的主机的IP地址与掩码的位与的结果等于n.n.n.n 那么该主机与该项匹配。 

4.ALL表示匹配所有可能性 

5.EXPECT表示除去后面所定义的主机。如:list_1 EXCEPT list_2 表示list_1主机列表中除去List_2所列出的主机 

6.LOCAL表示匹配所有主机名中不包含"."的主机 

上面的几种方式只是Linux提供的方式中的几种，但是对于我们的一般应用来说是足够了。我们通过举几个例子来说明这个问题： 

例一：我们只希望允许同一个局域网的机器使用服务器的ftp功能，而禁止广域网上面的ftp服务请求，本地局域网由 202.39.154.、202.39.153.和202.39.152. 三个网段组成。 

在hosts.deny文件中，我们定义禁止所有机器请求所有服务： 

ALL:ALL 

在hosts.allow文件中，我们定义只允许局域网访问ftp功能： 

in.ftpd -l –a: 202.39.154 202.39.153. 202.39.152. 

这样，当非局域网的机器请求ftp服务时，就会被拒绝。而局域网的机器可以使用ftp服务。此外，应该定期检查/var/log目录下的纪录文件，发现对系统安全有威胁的登录事件。last命令可以有效的查看系统登录事件，发现问题所在。 

最后tcpdchk是检查TCP_WAPPERS配置的程序。它检查TCP_WAPPERS的配置，并报告它可以发现的问题或潜在的问题。在所有的配置都完成了之后，请运行tcpdchk程序： 

[root@deep]# tcpdchk 

* /etc/services 文件 
端口号和标准服务之间的对应关系在RFC 1700 “Assigned Numbers”中有详细的定义。“/etc/services”文件使得服务器和客户端的程序能够把服务的名字转成端口号，这张表在每一台主机上都存在，其文件名是“/etc/services”。只有“root”用户才有权限修改这个文件，而且在通常情况下这个文件是没有必要修改的，因为这个文件中已经包含了常用的服务所对应的端口号。为了提高安全性，我们可以给这个文件加上保护以避免没有经过授权的删除和改变。为了保护这个文件可以用下面的命令： 

[root@deep]# chattr +i /etc/services 

* /etc/securetty 文件