可以通過配置hosts.allow和hosts.deny來控制訪問權限。

他們兩個的關系為：/etc/hosts.allow?的設定優先于?/etc/hosts.deny

1.?當檔案?/etc/hosts.allow?存在時，則先以此檔案內之設定為準；

2.?而在?/etc/hosts.allow?沒有規定到的事項，將在?/etc/hosts.deny?當中繼續設定！

也就是說，?/etc/hosts.allow?的設定優先于?/etc/hosts.deny?啰！了解了嗎？基本上，只要?hosts.allow?也就夠了，因為我們可以將allow?與?deny?都寫在同一個檔案內，只是這樣一來似乎顯得有點雜亂無章，因此，通常我們都是：

1.?允許進入的寫在?/etc/hosts.allow?當中；

2.?不許進入的則寫在?/etc/hosts.deny?當中。

再強調一次，那個?service_name?『必需』跟你的?xinetd?或者是?/etc/rc.d/init.d/*?里面的程序名稱要相同。好了，我們以telnet?為例子來說明好了，現在假設一個比較安全的流程來設定，就是：

1.?只允許?140.116.44.0/255.255.255.0?與?140.116.79.0/255.255.255.0?這兩個網域，及?140.116.141.99?這個主機可以進入我們的?telnet?服務器；

2.?此外，其它的?IP?全部都擋掉！

這樣則首先可以設定?/etc/hosts.allow?這個檔案成為：

[root?@test?root]#?vi?/etc/hosts.allow

telnetd:?140.116.44.0/255.255.255.0?:?allow

telnetd:?140.116.79.0/255.255.255.0?:?allow

telnetd:?140.116.141.99?:?allow

再來，設定?/etc/hosts.deny?成為『全部都擋掉』的狀態：

[root?@test?root]#?vi?/etc/hosts.deny

telnetd:?ALL?:?deny

那個?ALL?代表『全部』的意思！呵呵！很棒吧！那么有沒有更安全的設定，例如，當當有其它人掃瞄我的?telnet?port?時，我就

將他的?IP?記住！以做為未來的查詢與認證之用！那么你可以將?/etc/hosts.deny?這個檔案改成這個樣子：

[root?@test?root]#?vi?/etc/hosts.deny

telnetd:?ALL?:?spawn?(echo?Security?notice?from?host?`/bin/hostname`;?\

echo;?/usr/sbin/safe_finger?@%h?)?|?\

/bin/mail?-s?"%d-%h?security"?root?&?\

:?twist?(?/bin/echo?-e?"\n\nWARNING?connection?not?allowed.?Your?attempt?has?been?logged.

\n\n\n警告您尚未允許登入，您的聯機將會被紀錄，并且作為以后的參考\n\n?".?)

在上面的例子中『?root?』，可以寫成你的個人賬號或者其它?e-mail?，以免很少以?root?身份登入?Linux?主機時，

容易造成不知道的情況，另外，最后幾行，亦即?:twist?之后的那幾行為同一行。如此一來，當未經允許的計算機嘗試登入你的主機時，對方的屏幕上就會顯示上面的最后一行，并且將他的?IP?寄到?root?（或者是你自己的信箱）那里去?。ㄗⅲ耗承]有安裝?tcp_wrappers?的套件之?distribution?中，由于沒有?safe_finger?等程序，所以無法執行相關的功能，這點還請多加注意呢！）

etc/hosts.allow和/etc/hosts.deny

這兩個文件是tcpd服務器的配置文件，tcpd服務器可以控制外部IP對本機服務的訪問。這兩個配置文件的格式如下：

#服務進程名:主機列表:當規則匹配時可選的命令操作?server_name:hosts-list[:command]

/etc/hosts.allow控制可以訪問本機的IP地址，/etc/hosts.deny控制禁止訪問本機的IP。如果兩個文件的配置有沖突，以/etc/hosts.deny為準。下面是一個/etc/hosts.allow的示例：

ALL:127.0.0.1?#允許本機訪問本機所有服務進程?smbd:192.168.0.0/255.255.255.0?#允許192.168.0.網段的IP訪問smbd服務

192.168.6.100代表一個主機，192.168.6.代表整個網段。同理，ringkee.com代表一臺主機，.ringkee.com代表ringkee.com域內的所有主機。

ALL關鍵字匹配所有情況，EXCEPT匹配除了某些項之外的情況，PARANOID匹配你想控制的IP地址和它的域名不匹配時(域名偽裝)的情況。KNOWN關健字匹配一臺名字和地址（通過各種名字解析服務）已知的主機。LOCAL匹配任何一個不包含"."字符的主機名。我們應該盡量使用IP地址，因為主機名或域名會出現名稱解析出錯的問題，從而造成匹配失效。

tcpdchk程序可用于檢查這兩個配置文檔是否有錯，因為tcpd依賴許多配置文檔（/etc/services，/etc/inetd.conf，/etc/hosts.allow和/etc/hosts.deny），并且要求這些文檔中的相關信息必須一致。有了tcpdchk，就可幫我們自動檢查。還有一個有用的工具叫tcpdmatch，它可以模擬一個進入的連接，測試tcpd的行為。

通過spawn選項，我們還可以根據匹配情況執行各種命令。如發郵件或記錄日志等。下面是一個示例：

ALL:ALL?:?spawn?(/bin/echo?Security?Alter?from?%a?on?%d?on?`date`|?\?tee?-a?/var/log/Security_alter?|?mail)

使用：

修改/etc/hosts.allow文件

#

#?hosts.allow?This?file?describes?the?names?of?the?hosts?which?are

#?allowed?to?use?the?local?INET?services,?as?decided

#?by?the?'/usr/sbin/tcpd'?server.

#

sshd:210.13.218.*:allow

sshd:222.77.15.*:allow

以上寫法表示允許210和222兩個ip段連接sshd服務（這必然需要hosts.deny這個文件配合使用），當然:allow完全可以省略的。

當然如果管理員集中在一個IP那么這樣寫是比較省事的

all:218.24.129.110//他表示接受110這個ip的所有請求！

/etc/hosts.deny文件，此文件是拒絕服務列表，文件內容如下：

#

#?hosts.deny?This?file?describes?the?names?of?the?hosts?which?are

#?*not*?allowed?to?use?the?local?INET?services,?as?decided

#?by?the?'/usr/sbin/tcpd'?server.

#

#?The?portmap?line?is?redundant,?but?it?is?left?to?remind?you?that

#?the?new?secure?portmap?uses?hosts.deny?and?hosts.allow.?In?particular

#?you?should?know?that?NFS?uses?portmap!

sshd:all:deny

注意看：sshd:all:deny表示拒絕了所有sshd遠程連接。:deny可以省略。

所以：當hosts.allow和?host.deny相沖突時，以hosts.allow設置為準。

注意修改完后：

service?xinetd?restart

才能讓剛才的更改生效。