class="22345">
Q:在;RedHat;6.x;版本中,要如何限制遠端用;Telnet;或;FTP;進入;Server;主機?
A:可以在;/etc/hosts.deny;&;/etc/hosts.allow;加入幾行設定即可。;
;
說明如下:;
;
RedHat;的;OS;中,通常在;/etc;裡面會存放著許多重要的系統設定值,其重要性相似微軟中的;C:windowssystem,所以請多多研究此目錄的設定值,會讓您的功力增進不少。修改的第一步驟,
先到;/etc/inetd.conf;的這個檔案內去檢查您的設定,請先找到此行:;
#;These;are;standard;services.
#
ftp;stream;tcp;nowait;root;/usr/sbin/tcpd;in.ftpd;-l;-a
telnet;stream;tcp;nowait;root;/usr/sbin/tcpd;in.telnetd
#
上面的設定值,主要是針對;ftp&telnet;去作定義,如果您的系統值是像上述結果的話,
表示您的;ftp;&;telnet;的功能都有開啟,反之亦然。如果看到的結果如下:
#;These;are;standard;services.
#
ftp;stream;tcp;nowait;root;/usr/sbin/tcpd;in.ftpd;-l;-a
#;telnet;stream;tcp;nowait;root;/usr/sbin/tcpd;in.telnetd
#
表示您的;telnet;的功能被關閉了(disable),那所有人都不能利用23;port;telent進入;Server。
看到了此處的設定值,請注意後面的"in.ftpd"及"in.telnetd",因為我們去設定hosts.deny&hosts.allow時,
必須要用到此字串。
說明;/etc/hosts.deny;如下(您可以下面的文字到hosts.deny中,方便您的設定):;
#;e.g:;"in.programname:n.n.n.n"
#;說明:此檔是"限制"某一網段或是某一個IP-Address不可以;telnet;&;ftp;進入本台伺服器主機。
#;使用語法:在下面加入'in.telnetd:210.89.54.172',指;ip;address。
#;或是加入'in.telnetd:210.19.37.',指;network。
#;或是加入'in.telnetd:ms3.hinet.net',指主機名稱。
#;或是加入'in.telnetd:seed.net.tw',指領域名稱。
#;而;FTP;的設定方式如下:'in.ftpd:210.89.34.192'。
#;如果想要所有的人都可以進入本機的話,將所有的設定值;clear;掉即可。
#;重要說明:此處的;telnetd;&;ftpd;是對應到;/etc/ientd.conf;此檔的設定,
#;所以要先去確認此檔內容,才能去修改;/etc/hosts.deny;檔。
#;以下是本台伺服器所限制進入的名單(例說明)
#;in.telnetd:210.243.112.154;-------限制210.243.112.154的IP利用telnet進入主機。
#;in.telnetd:210.243.172.155;-------限制210.243.172.155的IP利用telnet進入主機。
#;in.telnetd:210.243.182.;---------限制210.243.182.的網段IP利用telnet進入主機。
#;in.telnetd:all;--------------------限制所有人的IP利用telnet進入主機。
#;說明事項:'all'表示所有;IP-Address;皆不可以進入。可是您還有一個作法,就是將/etc/ientd.conf的
#;telnet;stream;tcp;nowait;root;/usr/sbin/tcpd;in.telnetd
#;直接加上#號解掉,那表示23-ports無法開啟功能,自然所有人皆不可telnet進入主機。
#;如果您想只限定某一個IP或某一段網域才能上來此伺服器時,請將設定值變更為"in.telnetd:all",
#;然後到;hosts.allow;去設定允許進入的IP或某一段網域,那樣才能達到您想要需求。
說明;/etc/hosts.allow;如下(您可以下面的文字到hosts.allow中,方便您的設定):
#;說明:此檔是"允許"某一段或是某一個IP-Address可以;telnet;&;ftp;進入本台伺服器主機。
#;使用語法:在下面加入'in.telnetd:192.168.90.192',指;ip;address。
#;或是加入'in.telnetd:222.254.76.',指;network。
#;或是加入'in.telnetd:ms3.hinet.net',指主機名稱。
#;或是加入'in.telnetd:seed.net.tw',指領域名稱。
#;而;FTP;的設定方式如下:'in.ftpd:112.34.97.166'。
#;如果想要所有的人都可以進入本機的話,將所有的設定值;clear;掉即可。
#;重要說明:此處的;telnetd;&;ftpd;是對應到;/etc/ientd.conf;此檔的設定,
#;所以要先去確認此檔內容,才能去修改;/etc/hosts.allow;檔。
#以下是本台伺服器所允許進入的名單(例說明)
#;in.telnetd:119.113.252.199;----------------允許119.113.252.199的IP利用telnet進入主機。
#;in.telnetd:129.167.189.;---------------------允許129.167.189.的網段IP利用telnet進入主機。
#;in.ftpd:211.19.66.22;------------------------允許211.19.66.22的IP利用ftp進入主機。
#;in.ftpd:122.15.80.;---------------------------允許122.15.80.的網段IP利用ftp進入主機。;
後記:此項功能對於網路安全有很重要的關連,請您多加注意,最好去深入解一下;
知道此功能的作法,對於網管人員有莫大的幫助。;