让Linux 更安全（三）

　　为了禁用这个服务，参数 disable 被设置为 yes，如上面示例所示。

　　为了更详细的访问控制，xinetd 支持以下三个另外的参数：

　　为了限制访问，但不完全禁用 ftp 后台进程，您可以如下修改配置文件 /etc/xinetd.d/ftp：

　　清单 2. 为限制访问而修改过的配置文件，/etc/xinetd.d/ftpservice ftp
　　{
　　　　socket_type　　　 = stream
　 　　　　protocol　　　　　= tcp
　 　　　　wait　　　　　　　= no
　 　　　　user　　　　　　　= root
　 　　　　server　　　　　　= /usr/bin/ftpd
　 　　　　server_args　　　 = -el
　 　　　　disable　　　　　 = no
　 　　　　only-from　　　　 = 192.168.200.3 192.168.200.7 192.168.200.9
　 　　　　only-from　　　　+= 192.168.200.10 192.168.200.12 172.16.0.0
　 　　　　no_access　　　　 = 172.16.{1,2,3,10}
　 　　　　access_times　　　= 07:00-21:00
　　}

　　only-from 和 no_access 可以接受数字 IP 地址（最右边的零作为任意数值处理）、IP 地址/网络掩码 范围、主机名以及 /etc/networks 中的网络名。如果组合使用 only-from 和 no_access， xinetd 会为每个主机连接寻找最接近的匹配。

　　在前面的代码示例中，表示 IP 地址为 172.16.x.x 的主机可以连接到此主机，但地址属于 172.16.1.x、 172.16.2.x、172.16.3.x 和 172.16.10.x 的则不能连接。可见，当使用 no_access 所用的因数符号时，不需要指定地址的所有四个部分。因数部分必须是地址最右边的部分。参阅下面的 参考资料 部分，以获得关于 xinetd 及其配置的文章。