01. 系统服务访问控制.pptxVIP

红帽企业linux网络服务和安全1单元 系统服务访问控制目标本单元你将学习到:理解如何管理服务理解服务的共性描述服务配置资源配置系统日志使用cron实现任务自动执行配置NTP,CUPS和VNC实施访问控制Selinux系统初始化和服务管理通常被成为 “System V” 或 “SysV“ 许多脚本都是用文件系统目录的格式来组织的 可启用或者禁用资源服务经常使用几个配置文件大多数服务启动一个或多个进程命令被“包裹”在脚本中服务由 /etc/init.d/目录中的脚本管理 例如:/etc/init.d/network statusservice network statuschkconfig管理运行级别中的服务定义在引导时启动 cups 服务: chkconfig cups on不会改变 System V 服务的当前运行状态用于独立的和瞬态的服务Xorg被其它应用程序调用，其中包括 system-config-services 命令要列出服务在运行级别中的分配情况，需运行 chkconfig –list命令初始化脚本的管理决定在系统引导时运行哪些服务chkconfig –list显示应该运行哪些服务只显示它管理的符号连接的状态xinetd管理服务 瞬太（Transient）服务被xinetd 进程所管理进入的请求首先被 xinetd 代理配置文件 /etc/xinetd.conf, /etc/xinetd.d/service与 libwrap.so文件连接用 chkconfig控制的服务:chkconfig?tftp?onxinetd的默认控制顶级的配置文件#?/etc/xinetd.confdefaults{enabled??????????=?yesinstances????????=?50per_source?=?10?v6only?????????????=?no?log_type?=?SYSLOG?daemon?infolog_on_failure?=?HOST?log_on_success?=?PID?HOST?DURATION?EXITcps??????????????=?50?10?banner?????????????=?/some/file}includedir?/etc/xinetd.d?xinetd的服务配置服务特有的配置/etc/xinetd.d/service/etc/xinetd.d/tftp:#?default:?off?service?tftp{disable????=?yes?socket_type?=?dgram?protocol??????????=?udp?wait??????????????=?yesuser??????????????=?root????server?=?/usr/sbin/in.tftpd?server_args?=?-c?s?/tftpboot?per_source?=?11?cps???????????????=?100?2flags?????????????=?IPv4}xinetd访问控制语法使用only_form=host_pattern来允许访问使用no_access=host_pattern来禁止访问将采用最精确的规范示例only_from = /24no_access = 主机模式访问控制xinetd 所采用的主机掩码可能是:数字式地址 ()网络名 (来自 /etc/networks)主机名或域名 (.)IP地址/掩码范围 (/24) 并发连接的数量语法: per_source = 2不能超过最大实例数量/etc/sysconfig文件有哪些服务配置的是它们的运行方式namedsendmaildhcpdsambainitsyslog系统日志集中化的日志守护进程: rsyslogd, auditd日志文件样本/var/log/dmesg: 内核引导信息/var/log/messages: 系统标准错误信息/var/log/maillog: 邮件系统信息/var/log/secure: 安全,认证和xinetd信息/var/log/audit/audit.log: 内核审计信息应用程序的日志文件也存放在/var/logrSyslog配置rSyslogd 在/etc/rc.d/init.d/System V初始化脚本控制着守护进程./etc/rsyslog.conf配置系统日志cron用于定时执行周期性任务使用 crontab 编辑, 安装, 和显示任务调度crontab [-u user] filecrontab [-l|-r|-e]限制 / 允许用户访问crond/etc/cron.allow/etc/cron.deny系统crontab文件例与用户cr