redhat7.1和以往的版本有一個明顯的區別,就是用xine td .conf代替原來的inetd.conf,並且直接使用了 firewall服務。出於系統整體 安全 性增強的考慮,7.1在默認安裝時沒有啟動老版本中大家比較熟悉的ftp, telnet等服務,並且由於ipchains的嚴格限制,給許多
redhat 7.1和以往的版本有一個明顯的區別,就是用xine
td.conf代替原來的inetd.conf,並且直接使用了
firewall服務。出於系統整體
安全性增強的考慮,7.1在默認安裝時沒有啟動老版本中大家比較熟悉的ftp,
telnet等服務,並且由於ipchains的嚴格限制,給許多用戶的配置帶來了麻煩。
為了方便大家的配置和使用,我在這裡將我摸索的配置過程介紹給大家。
xinetd(eXtended InterNET services daemon)對inetd功能進行了擴展,有關它的背景和其他內容在這裡就
不多講了,有興趣的可以去www.xinetd.org或其他相關網站查詢,我具體說一下如何使你的網絡服務轉起來。
xinetd的默認配置文件是/etc/xinetd.conf,它看起來盡管和老版本的/etc/inetd.conf完全不同,其實只是
以一個腳本的形式將inetd中每一行指定的服務擴展為一個/etc/xinetd.d/下的配置文件。其格式為:
service service-name
{
Socket_type = xxx; //TCP/IP socket type,such as stream,dgram,raw,....
protocol = xxx; //服務使用的協議
Server = xxx; //服務daemon的完整路徑
Server_args = xxx; //服務的參數
Port = xxx; //指定服務的端口號
Wait = xxx; //是否阻塞服務,即單線程或多線程
User = xxx; //服務進程的uid
Group = xxx; //gid
REUSE = xxx; //可重用標志
Disabled = yes/no; //是否禁用
......
}
我們以ftp和telnet為例,說明配置過程。
在/etc/xinetd.d目錄下,編輯ftp和telnet
ftp如下:
service proftpd
{
disable = no
port = 21
socket_type = stream
protocol = tcp
user = root
server = /usr/local/sbin/in.proftpd
wait = no
}
telnet如下:
Service telnetd
{
disable = no
port = 23
Socket_type=stream
protocol=tcp
wait=tcp
user=root
server=/usr/sbin/in.telnetd
}
然後,重新啟動服務
#/etc/rc.d/init.d/xinetd restart 或:#killall -HUP xinetd
這時候,telnet localhost和ftp localhost都應該沒有問題了。
但是,從局域網內的其他機器仍然可能使用不了ftp和telnet服務。原來還有一個地方需要設置,
就是ipchains,它具有firewall和路由的功能。
#vi /etc/sysconfig/ipchains,大家發現什麼了?
# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input A
CCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT //********
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT //********
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT
沒錯,出於安全,ipchains把0-1023端口的入口全部封閉了。所以必須將它們打開。
將其中我加了//********標記的行中的REJECT修改為ACCEPT,
然後重新啟動機器,一切OK.
其他的服務,如rlogin,talk等和上述配置基本相同,大家自己去摸索吧。不過,如果要更深入的了解,
可還要下一番工夫了。 :)