RedFlag网络安全

安全性是网络服务器可靠运行的基础。随着通信技术和internet的广泛应用，服务器被攻击的情况可能经常发生，来自网络上的安全威胁是linux服务器安全问题的主要**。

本章介绍如何在red flag asianux server 3构建的服务器平台上，利用系统提供的安全工具，达到有效保护系统安全、减少成功入侵数量、检测和追踪入侵日志、降低危害程度并快速从攻击中恢复的策略。

xinetd提供了访问控制，改进的日志功能和资源管理，是red flag asianux server 3系统中的internet标准超级守护进程。

inetd被称作超级服务器，用来实现对主机网络连接的控制。当一个请求到达由inetd管理的服务端口，inetd将该请求**给名为tcpd的程序。tcpd根据配置文件/etc/和/etc/来判断是否允许服务响应该请求。

如果请求被允许则相应的服务器程序（如：telnetd）将被启动。这个机制也被称作tcp_wrapper。

xinetd（extended internet services daemon）提供类似于inetd + tcp_wrapper的功能，但是更加强大和安全。它具有以下特色：

支持对tcp、udp、rpc服务（但是当前对rpc的支持不够稳定，可以启动protmap与xinetd共存来解决这个问题）。

基于时间段的访问控制。

功能完备的log功能，即可以记录连接成功也可以记录连接失败的行为。

能有效的防止dos攻击（denial of services）。

能限制同时运行的同一类型的服务器数目。

能限制启动的所有服务器数目。

能限制log文件大小。

将某个服务绑定在特定的系统接口上，从而能实现只允许私有网络访问某项服务。

能实现作为其他系统的**。如果和ip伪装结合，可以实现对内部私有网络的访问。

xinetd的配置文件是/etc/与/etc目录下的一个名为的网络连接配置文件目录。配置文件中的语法和/etc/完全不同且不兼容。它本质上是/etc/和/etc/功能的组合。

以下所示为/etc/目录下的文件。

其中每个文件代表一种网络服务器程序，文件中一般具有下列形式。

service service-name

其中service是必需的关键字，每一项都定义了由service-name定义的服务。例如下面给出的是文件/etc/的内容；

service-name 是任意的，但通常是标准网络服务名，也可以增加其他非标准的服务，只要它们能通过网络请求激活，包括 localhost 自身发出的网络请求。

操作符可以是=，+或－=。所有属性都可以使用=，其作用是分配一个或多个值，某些属性可以使用+=或－=形式，其作用分别是将该值增加到某个现存的值表中，或将其从现存值表中删除。

可使用的属性。

socket_type

使用的tcp/ip socket类型，值可能为stream（tcp），dgram（udp），raw和seqpacket（可靠的有序数据报）。

protocol

指定该服务使用的协议，其值必须是在/etc/protocols中定义的。如果不指定，使用该项服务的缺省协议。

server

要激活的进程，必须指定完整路径。

server_args

指定传送给该进程的参数，但是不包括服务程序名。

port定义该项服务相关的端口号。如果该服务在/etc/services中列出，它们必须匹配。

wait这个属性有两个可能的值。如果是yes，那么xinetd会启动新的进程并停止处理该项服务的请求直到该进程终止。这是个单线程服务。

如果是no，那xinetd会为每个请求启动的一个进程，而不管先前启动的进程的状态。这是个多线程服务。

user设置服务进程的uid。若xinetd的有效uid不是0，该属性无效。

group设置进程的gid。若xinetd的有效uid不是0，这个属性无效。

nice指定进程的优先级。

id该属性被用来唯一地指定一项服务。因为有些服务的区别仅仅在于使用不同的协议，因此需要使用该属性加以区别。默认情况下服务id和服务名相同。

如echo同时支持dgram和streama服务。设置 id=echo_dgram和id=echo_streams来分别唯一标识两个服务。

type可以是下列一个或多个值：rpc（对rpc服务），internal（由xinetd自身提供的服务，如echo），unlisted（没有列在标准系统文件如/etc/rpc或/etc/service中的服务）。

access_time

设置服务可用时的时间间隔。格式是hh：mm_hh：mm；如08:00-18:00意味着从到可使用这项服务。

banner

无论该连接是否被允许，当建立连接时就将该文件显示给客户机。

flags可以是以下一个或多个选项的任意组合：

rpc_version

指定rpc版本号或服务号。版本号可以是一个单值或者一个范围中。

rpc_number

如果rpc程序号不在/etc/rpc中，就指定它。

env用空格分开的var=value表，其中var是一个shell环境变量且value是其设置值。这些值以及xinetd的环境都在激活时传送给服务程序。这个属性支持=和+=操作符。

passenv

用空格分开的xinetd环境中的环境变量表，该表在激活时传递给服务程序。设置no就不传送任何变量。该属性支持所有操作符。

only_from

用空格分开的允许访问服务的客户机表。例如：only_from=172.

16.84.2。

如果不为该属性指定一个值，就拒绝访问这项服务。该属性支持所有操作符。

no_access

用空格分开的拒绝访问服务的客户机表。例如：no_access =172.16.84.3。该属性支持所有操作符。

instances

接受一个大于或等于1的整数或unlimited。设置可同时运行的最大进程数。unlimited意味着 xinetd 对该数没有限制。

log_type

指定服务log记录方式，可以为：

redirect

该属性语法为redirect=ipaddress port。它把tcp服务重定向到另一个系统。如果使用该属性，就忽略server属性。

bind把一项服务绑定到一个特定端口。语法是bind=ipaddress。这样有多个接口（物理的或逻辑的）的主机允许某个接口但不是其他接口上的特定服务（或端口）。

log_on_success

指定成功时登记的信息。可能值是：

缺省时不登记任何信息。该属性支持所有操作符。

log_on_failure

指定失败时登记的信息。总是登记表明错误性质的消息。可能值是attempt：记录一次失败的尝试。所有其他值隐含为这个值。

disabled

只可用于defaults项，指定被关闭的服务列表，是用空格分开的不可用服务列表来表示的。它和在/etc/文件中注释掉该服务项有相同的效果。

使配置生效。

完成对相关网络服务程序配置文件的修改后，可以使用如下命令重新启动xinetd守护进程使配置生效。

etc/ restart

使用身份验证的方法来验证用户身份从而为用户分配对系统访问权限的程序（即确定用户的身份）。pam使用一个可插入式的、模块化的结构。它为系统管理员设置用户身份验证政策提供了很大的灵活性。

RedFlag网络安全

网络安全与网络安全文化及网络安全防范

网络安全与网络安全文化

网络安全知识手册网络安全知识板报

其他用户还读了

RedFlag网络安全

网络安全与网络安全文化及网络安全防范

网络安全与网络安全文化

网络安全知识手册 网络安全知识板报

其他用户还读了

网络安全知识手册网络安全知识板报