# Deny access to everyone.
　　ALL: ALL@ALL, PARANOID

　　语句的意思是，除非在 allow 文件中说明允许访问，所有服务、所有主机都被拒绝。

　　步骤2
　　编辑 hosts.allow 文件（/etc/hosts.allow），例如在文件中添加如下行：

　　ftp: 202.54.15.99 foo.com

　　对于你的客户机来说：202.54.15.99为IP地址，foo.com为允许使用ftp的一个客户机。

　　步骤3
　　tcpdchk 程序是tcpd wrapper配置的检查程序。它对tcpd wrapper的配置进行检查，并报告所发现的潜在的和实际存在的问题。配置完成后，运行tcpdchk 程序：

　　[Root@kapil /]# tcpdchk

　　不要显示系统发行文件

　　当别人远程登录时，不应该显示系统发行文件。做法是在“/etc/inetd.conf”文件中更改telnet选项：

　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
　　改为：
　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

　　在末尾加“-h”标记使后台程序不显示任何系统信息，而只给用户提供一个 login: 提示符。

　　更改“/etc/host.conf”文件

　　“/etc/host.conf”文件用来指定如何解析名称的方法。编辑 host.conf 文件（/etc/host.conf），添加如下各行：

　　# Lookup names via DNS first then fall back to /etc/hosts.
　　order bind,hosts
　　# We have machines with multiple IP addresses.
　　multi on
　　# Check for IP address spoofing.
　　nospoof on

　　第一个选项首先通过DNS解析主机名称，然后解析主机文件。multi 选项用于确定“/etc/hosts”文件中的主机是否有多个IP地址（多接口以太网）。

　　nospoof 选项指明该机器不允许假信息。

　　为“/etc/services”文件免疫

　　必须为“/etc/services”文件进行磁盘免疫，以避免对文件未经授权的删除或添加。使用如下命令：
[root@kapil /]# chattr +i /etc/services

　　不接受从不同控制台的根用户登录

　　“/etc/securetty”文件可以指定“root”用户允许从哪个TTY设备登录。编辑“/etc/securetty”文件，在不需要的tty前面加“＃”，禁用这些设备。
 
http://netadmin.77169.com/HTML/20040622235600.html