Linux连接互联网之前必须做的十件事

4. 配置/etc/hosts.deny和/etc/hosts.allow文件

在前面的讲述中，我们提到这样一个例子，通过在防火墙上打开22端口，允许Secure Shell进行网络通信。为了进一步保护这一服务器不受未经许可的通信或潜在黑客的攻击，我们也许会希望限制能够连接到该服务器应用的主机或者电脑。我们可以使用/etc/hosts.deny 和/etc/hosts.allow文件实现这一目的。

当一台电脑试图访问一项服务的时候，比如你的新Linux电脑上的secure shell server，/etc/hosts.deny 和/etc/hosts.allow文件会进行处理，根据一些非常容易配置的规则，访问会被允许或者拒绝。对于Linux桌面电脑来说，在/etc/hosts.deny文件中增加下列内容会非常有帮助：

ALL: ALL

这将拒绝来自任何主机的、对于任何服务的访问。第一眼看到这个命令的时候可能会觉得它过于严格，但是之后，我们可以在/etc/hosts.allow文件中增加允许访问服务的主机。下面的例子中，允许了一些主机通过远程secure shell访问服务：

sshd: 192.168.0.1 #allow 192.168.0.1 to access ssh

sshd: somebox.somedomain.com #allow somebox.somedomain.com to access ssh

这两个文件为你的Linux电脑提供强大的、基于主机的过滤方法。

5. 关闭或者移除不重要的服务

和Windows系统一样，有一些你不希望、也不会用到的服务会在后台运行。使用Linux命令chkconfig，你可以看到有哪些服务在后台运行，并可以根据自己的需要打开或关闭它们。没有运行的服务不会为潜在的黑客提供安全漏洞，也不会消耗宝贵的CPU资源。

6. 保护你所需要的服务

如果你的新Linux电脑中有些服务需要连接到互联网，你要留意它们的配置，并且按照需要使用它们。例如，如果你的Linux电脑会接受安全shell connections，你应该检查sshconfig文件（对于Mandriva，它是/etc/ssh/sshd_config），然后禁用诸如root login之类的选项。每一台Linux电脑都有一名根用户，所以你应该通过ssh禁止根用户登录，以免黑客用暴力破解密码的方式获得你的超级用户帐户。