Linux服务器装机安全快速进阶指南.docxVIP

Linux服务器安装完成以后，应该马上采取哪些措施来增强服务器的安全性。对于其他的Linux发布或者版本，这些方法也是适用的。◆一、关闭不必要的服务Linux的服务分为两种，一种是由inetd超级服务器来启动的，如:ftp、telnet等；对于这些服务来说，系统并不总是运行telnetd、 ftpd等服务进程，而是由inetd进程监听这些服务的服务端口，一旦有服务请求到达就启动对应的服务进程(如:telnetd等)来提供服务。另外一种是独立的服务器，系统一直运行有对应的服务进程。关闭这两种服务的方法是不同的，对于inetd启动的进程：inetd超级服务器的配置文件为/etc/inetd.conf，该文件指示了inetd应该监听哪些服务请求，并在请求时启动对应的服务。因此只要通过编辑/etc/inetd.conf文件就可以实现关闭不需要的服务，例如希望关闭pop3服务，则在编辑/etc/inetd.conf文件以前文件中有如下的内容：Color=#cccccc cellSpacing=0 cellPadding=1 width=80% align=center bgColor=#ffffff border=1 heihgt= pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d ? ? ◆二、控制使用开放的服务的用户? ? 在上面提到的/etc/inetd.conf的配置文件中，我们看到pop3服务配置一行的最后两个字段为：? ? /usr/sbin/tcpd ipop3d ? ? 很显然，pop3的服务器程序为ipop3d，那么/usr/sbin/tcpd又是什么含义呢？这是一个称为Tcp wrapper的安全程序。该程序用来在启动某个服务以前查看两个配置文件来决定该用户是否允许使用该服务。在/etc目录下，有两个文件： hosts.deny hosts.allow。? ? 通过配置这两个文件，你可以指定哪些客户机允许使用这些服务。配置这两个文件是通过一种简单的访问控制语言来实现的，访问控制语句的基本格式为：程序名列表，主机名/IP地址列表。? ? 程序名列表指定一个或者多个提供相应服务的程序的名字，名字之间用逗号或者空格分隔，可以在inetd.conf文件里查看提供相应服务的程序名：如上面的文件示例中，pop所在行的最后一项就是所需的程序名：ipop3d。? ? 主机名/IP地址列表指定允许或者禁止使用该服务的一个或者多个主机的标识，主机名之间用逗号或空格分隔。程序名和主机地址都可以使用通配符，实现方便的指定多项服务和多个主机。当服务请求到达服务器时，访问控制软件就按照下列顺序查询这两个文件，直到遇到一个匹配为止：? ? 1、当在/etc/hosts.allow里面有一项与请求服务的主机地址项匹配，那么就允许该主机获取该服务? ? 2、否则，如果在/etc/hosts.deny里面有一项与请求服务的主机地址项匹配，就禁止该主机使用该项服务? ? 3、若均没有匹配，则允许使用该服务。若相应的配置文件不存在，访问控制软件就认为是一个空文件，所以可以通过删除或者移走配置文件实现对所有主机关闭所有服务。? ? 在文件中，空白行或者以#开头的行被忽略，你可以通过在行前加 # 实现注释功能。Linux提供了下面灵活的方式指定进程或者主机列表:? ? 1、一个以.起始的域名串，如 . 那么就和这一项匹配成功? ? 2、以.结尾的IP串如 202.37.152. 那么IP地址包括202.37.152.的主机都与这一项匹配? ? 3、格式为n.n.n.n/m.m.m.m表示网络/掩码，如果请求服务的主机的IP地址与掩码的位与的结果等于n.n.n.n 那么该主机与该项匹配。? ? 4、ALL表示匹配所有可能性? ? 5、EXPECT表示除去后面所定义的主机。如:list_1 EXCEPT list_2 表示list_1主机列表中除去List_2所列出的主机? ? 6、LOCAL表示匹配所有主机名中不包含.的主机? ? 上面的几种方式只是Linux提供的方式中的几种，但是对于我们的一般应用来说是足够了。我们通过举几个例子来说明这个问题：? ? 例一：我们只希望允许同一个局域网的机器使用服务器的ftp功能，而禁止互联网上面的ftp服务请求，本地局域网由 202.39.154. 、202.39.153. 和202.39.152. 三个网段组成。在hosts.deny文件中，我们定义禁止所有机器请求所有服务： ALL:ALL 在hosts.allow文件中，我们定义只允许局域网访问ftp功能：? ? in.ftpd: 202.39.154 202.39.153. 202.39.152. ? ? 这样，当非