加固Linux系统----TCP封装器

TCP 封装器

如果您决定不使用 xinetd，而是使用 inted，那么您可以使用 TCP 封装器来记录请求和具体的对特定网络的 允许/拒绝。TCP 封装器会为了认证和记录日志而去检查 /etc/hosts.allow 和 /etc/hosts.deny，并将客户机请求封装起来，不直接回应它们。一旦认证成功，请求就会被转发到原来请求的服务。

相对于使用普通的 inetd，使用 TCP 封装器有两个主要的好处：

• 发出请求的客户机不会察觉到 TCP 封装器；因此，没有异心的人不会发现任何区别，而心怀不轨的人也得不到关于他们的请求失败的任何信息。
• TCP 封装器的工作不会理会任何已经被封装的服务，让应用程序能够共享它们的配置文件，从而简化管理。

        为了防范与不应该运行的服务或者不应该被 Internet 等特定网络所访问的服务的通信，建议安装一个防火墙。防火墙提供网络间基于信任级别的受控通信，并权衡使用基于角色的安全策略和最小权限原则允许或者拒绝对特定服务的访问。