如何在 RedHat 中限制、允许telnet&ftp功能 (转)

如何在 RedHat 中限制、允许telnet&ftp功能

Q：在 RedHat 6.x 版本中，要如何限制远端用 Telnet 或 FTP 进入 Server 主机?
A：可以在 /etc/hosts.deny & /etc/hosts.allow 加入几行设定即可。 

　 

说明如下： 

　 

RedHat 的 OS 中，通常在 /etc 里面会存放着许多重要的系统设定值，其重要性相似微软中的 C:\windows\system，所以请多多研究此目录的设定值，会让您的功力增进不少。修改的第一步骤，
先到 /etc/inetd.conf 的这个档案内去检查您的设定，请先找到此行： 

# These are standard services.
#
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
#

上面的设定值，主要是针对 ftp&telnet 去作定义，如果您的系统值是像上述结果的话，
表示您的 ftp & telnet 的功能都有开启，反之亦然。如果看到的结果如下：

# These are standard services.
#
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
# telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
#

表示您的 telnet 的功能被关闭了(disable)，那所有人都不能利用23 port telent进入 Server。

看到了此处的设定值，请注意後面的"in.ftpd"及"in.telnetd"，因为我们去设定hosts.deny&hosts.allow时，
必须要用到此字串。
说明 /etc/hosts.deny 如下(您可以下面的文字到hosts.deny中，方便您的设定)： 

# e.g: "in.programname:n.n.n.n"
# 说明：此档是"限制"某一网段或是某一个IP-Address不可以 telnet & ftp 进入本台伺服器主机。
# 使用语法：在下面加入'in.telnetd:210.89.54.172',指 ip address。
# 或是加入'in.telnetd:210.19.37.',指 network。
# 或是加入'in.telnetd:ms3.hinet.net',指主机名称。
# 或是加入'in.telnetd:seed.net.tw',指领域名称。
# 而 FTP 的设定方式如下：'in.ftpd:210.89.34.192'。
# 如果想要所有的人都可以进入本机的话，将所有的设定值 clear 掉即可。
# 重要说明：此处的 telnetd & ftpd 是对应到 /etc/ientd.conf 此档的设定，
# 所以要先去确认此档内容，才能去修改 /etc/hosts.deny 档。
# 以下是本台伺服器所限制进入的名单(例说明)
# in.telnetd:210.243.112.154 -------限制210.243.112.154的IP利用telnet进入主机。
# in.telnetd:210.243.172.155 -------限制210.243.172.155的IP利用telnet进入主机。
# in.telnetd:210.243.182. ---------限制210.243.182.的网段IP利用telnet进入主机。
# in.telnetd:all --------------------限制所有人的IP利用telnet进入主机。
# 说明事项：'all'表示所有 IP-Address 皆不可以进入。可是您还有一个作法，就是将/etc/ientd.conf的
# telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
# 直接加上＃号解掉，那表示23-ports无法开启功能，自然所有人皆不可telnet进入主机。
# 如果您想只限定某一个IP或某一段网域才能上来此伺服器时，请将设定值变更为"in.telnetd:all"，
# 然後到 hosts.allow 去设定允许进入的IP或某一段网域，那样才能达到您想要需求。

说明 /etc/hosts.allow 如下(您可以下面的文字到hosts.allow中，方便您的设定)：

# 说明：此档是"允许"某一段或是某一个IP-Address可以 telnet & ftp 进入本台伺服器主机。
# 使用语法：在下面加入'in.telnetd:192.168.90.192',指 ip address。
# 或是加入'in.telnetd:222.254.76.',指 network。
# 或是加入'in.telnetd:ms3.hinet.net',指主机名称。
# 或是加入'in.telnetd:seed.net.tw',指领域名称。
# 而 FTP 的设定方式如下：'in.ftpd:112.34.97.166'。
# 如果想要所有的人都可以进入本机的话，将所有的设定值 clear 掉即可。
# 重要说明：此处的 telnetd & ftpd 是对应到 /etc/ientd.conf 此档的设定，
# 所以要先去确认此档内容，才能去修改 /etc/hosts.allow 档。

#以下是本台伺服器所允许进入的名单(例说明)
# in.telnetd:119.113.252.199 ----------------允许119.113.252.199的IP利用telnet进入主机。
# in.telnetd:129.167.189. ---------------------允许129.167.189.的网段IP利用telnet进入主机。
# in.ftpd:211.19.66.22 ------------------------允许211.19.66.22的IP利用ftp进入主机。
# in.ftpd:122.15.80. ---------------------------允许122.15.80.的网段IP利用ftp进入主机。 

 

後记：此项功能对於网路安全有很重要的关连，请您多加注意，最好去深入解一下；
知道此功能的作法，对於网管人员有莫大的帮助。