我们在上页对 /etc/inetd.conf 所做的更改将在重新启动 inetd 程式后才生效。大多数分发版在 /etc/init.d 或 /etc/rc.d/init.d 中有初始脚本:
# /etc/rc.d/init.d/inet stop
Stopping INET services: [ OK ]
# /etc/rc.d/init.d/inet start
Starting INET services: [ OK ]
事实上,通常能够使用“restart”作为快捷方式:
# /etc/rc.d/init.d/inet restart
Stopping INET services: [ OK ]
Starting INET services: [ OK ]
用手工方式停止/启动 inetd
假如上页中的助手脚本不起作用,老式方法甚至更简单。能够使用 killall 命令停止 inetd:
# killall inetd
能够在命令行调用 inetd 来简单地再次启动他。他会自动在后台运行:
# /usr/sbin/inetd
有一个快捷方式无需停止 inetd 就可命令他重新读取配置文档:只要向他发送 HUP 信号:
# killall -HUP inetd
此刻应该不能 telnet 或 ftp 到这个系统,因为 telnet 和 ftp 被禁用。尝试用 telnet localhost 进行检查。假如需要 telnet 或 ftp 访问,所需做的全部就是重新启用他!
以下是我所碰到的情况:
# telnet localhost
telnet: Unable to connect to remote host: Connection refused
TCP 封装器简介
tcp_wrappers 包提供了一个名为 tcpd 的很小的守护程式,该程式由 inetd 而不是实际的服务守护程式调用。tcpd 程式将每个进入连接的源地址编入日志,并能够过滤他们而只允许来自可信系统的连接。
要使用 tcpd,能够按下列方式将他插入到 inetd 中:
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
用 TCP 封装器进行日志记录
缺省情况下,连接不受限制但会被日志记录下来。例如,我们能够重新启动 inetd 以使在前页做的更改生效。然后一些快速调查应该显示已记录的连接:
# telnet localhost
login: (press
tcpd 将记录 telnet 连接尝试,因此看起来有些东西在工作了。因为 tcpd 提供一致的连接日志记录服务,这就免除了单个服务守护程式每次自己将连接编入日志的需要。事实上,在接受连接的工作方面,他和 inetd 相似,因为那使每个守护程式无需接受自己的连接。Linux(UNIX)的简单程度真是不可思议!
用 TCP 封装器限制对本地用户的访问
tcpd 程式配置为使用两个文档:/etc/hosts.allow 和 /etc/hosts.deny。这两个文档中行的格式为:
daemon_list : client_list [ : shell_command ]
按以下顺序授权或拒绝访问。搜索在第一次匹配时停止:
- 当和 /etc/hosts.allow 中的项匹配时,则授权访问
- 当和 /etc/hosts.deny 中的项匹配时,则拒绝访问
- 若没有匹配项,则授权访问
例如,若只允许对内部网络进行 telnet 访问,可通过在 /etc/hosts.deny 中配置策略(拒绝除 localhost 以外的其他来源的任何连接)着手:
in.telnetd: ALL EXCEPT LOCAL
用 TCP 封装器将访问限制为已知主机
无需重新装入 inetd,因为每当 telnet 端口有连接时,就会调用 tcpd。因此我们能够立即尝试:
# telnet box.yourdomain.com
Trying 10.0.0.1...
Connected to box.yourdomain.com.
Escape character is '^]'.
Connection closed by foreign host.
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
