如何来量身定制安全的Linux系统服务平台

　　5. “@”开头的串将被当作一个NIS组的名字。

　　6. ALL表示所有的主机，LOCAL匹配所有机器名中不带“.”号的主机，EXCEPT表示排除某些主机。

　　比如，hosts.allow中有一行，ALL: .edu.cn EXCEPT example.edu.cn表示允许除了主机名叫example.edu.cn 以外的所有.edu.cn域内的机器访问所有的服务。而在hosts.deny中，ALL EXCEPT in.fingerd:192.168.0.0/255.255.255.0则表示禁止192.168.0.1到192.168.0.254的机器访问除了in.fingerd以外的服务。

　　防火墙的选用和配置

　　前面介绍了tcpwrappers的详细应用，但是对管理员而言，只有经过Internet的考验才能真正得到直接有效的磨炼和提高。如何分辨和抵挡 Internet上形形色色的信息呢？仅仅 tcpwrappers是不够的，关键是防火墙的选用和配置。配置高效的防火墙是管理员要掌握的十分重要而且非常有效的必修课。在此，防火墙的功能和类型就不介绍了。最主要的是防火墙的构建要量身定制，应从企业自身状况和需求特点来考虑所需要的防火墙解决方案。不同规模、不同类型的企业，其网络保护的要求也存在明显的差异。防火墙是个重要的话题，在这里限于篇幅不可能详细分析每一种配置。有兴趣的朋友可以详见参考资料http://linux- firewall-tools.com/linux/faq/index3.html，这是个很不错的主题。

　　入侵检测系统

　　对攻击者来说，端口扫描是入侵主机的必备工作，可以用端口扫描程序扫描服务器的所有端口来收集有用的信息，如哪些端口打开、哪些端口关闭、提供服务的程序版本、操作系统的版本等。下面介绍几种对付端口扫描的工具。

　　1. PortSentry

　　PortSentry是一个被设计成实时地发现端口扫描并对端口扫描快速作出反应的检测工具。一旦发现端口扫描，PortSentry做出的反应有：