在 RedHat 中限制、允許telnet&ftp功能(轉)

BSDLite發表於2007-08-11
在 RedHat 中限制、允許telnet&ftp功能(轉)[@more@]Q:在 RedHat版本中,要如何限制遠端用 Telnet 或 FTP 進入 Server 主機?
A:可以在 /etc/hosts.deny & /etc/hosts.allow 加入幾行設定即可。

 

說明如下:

 

RedHat 的 OS 中,通常在 /etc 裡面會存放著許多重要的系統設定值,其重要性相似微軟中的 C:windowssystem,所以請多多研究此目錄的設定值,會讓您的功力增進不少。修改的第一步驟,
先到 /etc/inetd.conf 的這個檔案內去檢查您的設定,請先找到此行:


# These are standard services.
#
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
#


上面的設定值,主要是針對 ftp&telnet 去作定義,如果您的系統值是像上述結果的話,
表示您的 ftp & telnet 的功能都有開啟,反之亦然。如果看到的結果如下:


# These are standard services.
#
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
# telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
#


表示您的 telnet 的功能被關閉了(disable),那所有人都不能利用23 port telent進入 Server。

看到了此處的設定值,請注意後面的"in.ftpd"及"in.telnetd",因為我們去設定hosts.deny&hosts.allow時,
必須要用到此字串。
說明 /etc/hosts.deny 如下(您可以下面的文字到hosts.deny中,方便您的設定):


# e.g: "in.programname:n.n.n.n"
# 說明:此檔是"限制"某一網段或是某一個IP-Address不可以 telnet & ftp 進入本臺伺服器主機。
# 使用語法:在下面加入'in.telnetd:210.89.54.172',指 ip address。
# 或是加入'in.telnetd:210.19.37.',指 network。
# 或是加入'in.telnetd:ms3.hinet.net',指主機名稱。
# 或是加入'in.telnetd:seed.net.tw',指領域名稱。
# 而 FTP 的設定方式如下:'in.ftpd:210.89.34.192'。
# 如果想要所有的人都可以進入本機的話,將所有的設定值 clear 掉即可。
# 重要說明:此處的 telnetd & ftpd 是對應到 /etc/ientd.conf 此檔的設定,
# 所以要先去確認此檔內容,才能去修改 /etc/hosts.deny 檔。
# 以下是本臺伺服器所限制進入的名單(例說明)
# in.telnetd:210.243.112.154 -------限制210.243.112.154的IP利用telnet進入主機。
# in.telnetd:210.243.172.155 -------限制210.243.172.155的IP利用telnet進入主機。
# in.telnetd:210.243.182. ---------限制210.243.182.的網段IP利用telnet進入主機。
# in.telnetd:all --------------------限制所有人的IP利用telnet進入主機。
# 說明事項:'all'表示所有 IP-Address 皆不可以進入。可是您還有一個作法,就是將/etc/ientd.conf的
# telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
# 直接加上#號解掉,那表示23-ports無法開啟功能,自然所有人皆不可telnet進入主機。
# 如果您想只限定某一個IP或某一段網域才能上來此伺服器時,請將設定值變更為"in.telnetd:all",
# 然後到 hosts.allow 去設定允許進入的IP或某一段網域,那樣才能達到您想要需求。

說明 /etc/hosts.allow 如下(您可以下面的文字到hosts.allow中,方便您的設定):


# 說明:此檔是"允許"某一段或是某一個IP-Address可以 telnet & ftp 進入本臺伺服器主機。
# 使用語法:在下面加入'in.telnetd:192.168.90.192',指 ip address。
# 或是加入'in.telnetd:222.254.76.',指 network。
# 或是加入'in.telnetd:ms3.hinet.net',指主機名稱。
# 或是加入'in.telnetd:seed.net.tw',指領域名稱。
# 而 FTP 的設定方式如下:'in.ftpd:112.34.97.166'。
# 如果想要所有的人都可以進入本機的話,將所有的設定值 clear 掉即可。
# 重要說明:此處的 telnetd & ftpd 是對應到 /etc/ientd.conf 此檔的設定,
# 所以要先去確認此檔內容,才能去修改 /etc/hosts.allow 檔。

#以下是本臺伺服器所允許進入的名單(例說明)
# in.telnetd:119.113.252.199 ----------------允許119.113.252.199的IP利用telnet進入主機。
# in.telnetd:129.167.189. ---------------------允許129.167.189.的網段IP利用telnet進入主機。
# in.ftpd:211.19.66.22 ------------------------允許211.19.66.22的IP利用ftp進入主機。
# in.ftpd:122.15.80. ---------------------------允許122.15.80.的網段IP利用ftp進入主機。



後記:此項功能對於網路安全有很重要的關連,請您多加註意,最好去深入解一下;
知道此功能的作法,對於網管人員有莫大的幫助。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-946687/,如需轉載,請註明出處,否則將追究法律責任。

相關文章