|
Linux服務器安裝完成以后���,應該馬上采取哪些措施來增強服務器的安全性���。對于其他的Linux發布或者版本����,這些方法也是適用的�。
◆一�����、關閉不必要的服務
Linux的服務分為兩種���,一種是由inetd超級服務器來啟動的��,如:ftp���、telnet等�;對于這些服務來說��,系統并不總是運行telnetd��、ftpd等服務進程���,而是由inetd進程監聽這些服務的服務端口�����,一旦有服務請求到達就啟動對應的服務進程(如:telnetd等)來提供服務���。另外一種是獨立的服務器�����,系統一直運行有對應的服務進程����。
關閉這兩種服務的方法是不同的��,對于inetd啟動的進程:
inetd超級服務器的配置文件為/etc/inetd.conf�,該文件指示了inetd應該監聽哪些服務請求�����,并在請求時啟動對應的服務���。因此只要通過編輯/etc/inetd.conf文件就可以實現關閉不需要的服務���,例如希望關閉pop3服務�����,則在編輯/etc/inetd.conf文件以前文件中有如下的內容:
pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d
要關閉pop3服務則在該行前添加注釋符即可:
#pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d
通過編輯該文件����,實現關閉不需要的服務(例如我的系統我僅僅開放了telnet和ftp服務)以后�,則需要重新啟動inetd超級服務器���。首先找到inetd的進程號:
[root@aid/etc]#psax|grepinetd
358?S0:00inetd
然后重新啟動inetd服務器:
[root@aid/etc]#kill-HUP358
最后因為inetd.conf應該不允許普通用戶讀寫���,因此設置其訪問權限為600:
chmod600/etc/inetd.conf
而且該文件應該不被任何用戶修改��,包括root用戶����。因此為了防止用戶錯誤的修改該文件��,為該文件添加不可修改位:
chattr+i/etc/inetd.conf
對于獨立服務器�,則需要通過/usr/sbin/ntsysv命令來修改:
只需要服務前面通過空格鍵來選擇是否在系統啟動時啟動該服務就可以實現關閉某個服務器�����,如:希望系統關閉dhcpd服務�����,則通過上下鍵選中該服務器�,然后通過空格鍵去掉該服務前[]內的星號即表示系統啟動時不開放該服務��。若希望了解某個服務的具體含義��,可以選擇該服務以后按F1鍵來查看該服務的含義�����。
設置完畢以后���,只有希望打開的服務前的[]內才會有星號�。然后通過Tab鍵選擇OK�����,按空格鍵�����。重新啟動機器��。
重新啟動機器以后��,可以通過下面的命令來察看系統打開了哪些服務��,來決定是否已經關閉了不需要的服務���,例如我僅僅希望提供telnet服務則:
[ideal@aidideal]$netstat-ln
ActiveInternetconnections(onlyservers)
ProtoRecv-QSend-QLocalAddressForeignAddressState
tcp000.0.0.0:230.0.0.0:*LISTEN
raw000.0.0.0:10.0.0.0:*7
raw000.0.0.0:60.0.0.0:*7
ActiveUNIXdomainsockets(onlyservers)
ProtoRefCntFlagsTypeStateI-NodePath
從上面的命令輸出可以看到系統僅僅開放了23號端口�����,也就是telnet服務����。
◆二����、控制使用開放的服務的用戶
在上面提到的/etc/inetd.conf的配置文件中����,我們看到pop3服務配置一行的最后兩個字段為:
/usr/sbin/tcpdipop3d
很顯然�,pop3的服務器程序為ipop3d����,那么/usr/sbin/tcpd又是什么含義呢��?這是一個稱為Tcpwrapper的安全程序�����。該程序用來在啟動某個服務以前查看兩個配置文件來決定該用戶是否允許使用該服務�����。在/etc目錄下�,有兩個文件:hosts.denyhosts.allow�。
通過配置這兩個文件����,你可以指定哪些客戶機允許使用這些服務���。配置這兩個文件是通過一種簡單的訪問控制語言來實現的����,訪問控制語句的基本格式為:程序名列表���,主機名/IP地址列表��。
程序名列表指定一個或者多個提供相應服務的程序的名字���,名字之間用逗號或者空格分隔�,可以在inetd.conf文件里查看提供相應服務的程序名:如上面的文件示例中����,pop所在行的最后一項就是所需的程序名:ipop3d���。
主機名/IP地址列表指定允許或者禁止使用該服務的一個或者多個主機的標識����,主機名之間用逗號或空格分隔���。程序名和主機地址都可以使用通配符���,實現方便的指定多項服務和多個主機����。當服務請求到達服務器時�,訪問控制軟件就按照下列順序查詢這兩個文件�����,直到遇到一個匹配為止:
1�����、當在/etc/hosts.allow里面有一項與請求服務的主機地址項匹配����,那么就允許該主機獲取該服務
2��、否則�,如果在/etc/hosts.deny里面有一項與請求服務的主機地址項匹配����,就禁止該主機使用該項服務
3����、若均沒有匹配����,則允許使用該服務�����。若相應的配置文件不存在���,訪問控制軟件就認為是一個空文件���,所以可以通過刪除或者移走配置文件實現對所有主機關閉所有服務�����。
在文件中�����,空白行或者以#開頭的行被忽略�����,你可以通過在行前加#實現注釋功能��。Linux提供了下面靈活的方式指定進程或者主機列表:
1����、一個以"."起始的域名串�,如.amms.ac.cn那么www.amms.ac.cn就和這一項匹配成功
2����、以.結尾的IP串如202.37.152.那么IP地址包括202.37.152.的主機都與這一項匹配
3��、格式為n.n.n.n/m.m.m.m表示網絡/掩碼�,如果請求服務的主機的IP地址與掩碼的位與的結果等于n.n.n.n那么該主機與該項匹配��。
4�、ALL表示匹配所有可能性
5���、EXPECT表示除去后面所定義的主機��。如:list_1EXCEPTlist_2表示list_1主機列表中除去List_2所列出的主機
6���、LOCAL表示匹配所有主機名中不包含.的主機
上面的幾種方式只是Linux提供的方式中的幾種��,但是對于我們的一般應用來說是足夠了�。我們通過舉幾個例子來說明這個問題:
例一:我們只希望允許同一個局域網的機器使用服務器的ftp功能��,而禁止互聯網上面的ftp服務請求��,本地局域網由202.39.154.�����、202.39.153.和202.39.152.三個網段組成���。在hosts.deny文件中���,我們定義禁止所有機器請求所有服務:ALL:ALL在hosts.allow文件中���,我們定義只允許局域網訪問ftp功能:
in.ftpd:202.39.154202.39.153.202.39.152.
這樣����,當非局域網的機器請求ftp服務時����,就會被拒絕��。而局域網的機器可以使用ftp服務��。
ALL:ALL
然后重新啟動你的inetd進程:
/etc/rc.d/init.d/inetrestart
但是hosts.deny|allow文件只控制/etc/inetd.conf文件中包含的服務的訪問這些服務有/usr/bin/tcpd管理��,監聽接入的網絡請求���,然后與在hosts.allow和hosts.deny的中的服務比較����,然后做出允許或拒絕的決定����。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商�����!15年品質保障�!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
