单元 2 — 系统服务访问控制 红帽RHCE中文课件.pptVIP

单元 2 — 系统服务访问控制 目标 学习了本单元后，你应该能够： ● 理解如何管理服务 ●了解服务的共性 ● 描述服务配置资源 ● 实施访问控制 ● SELinux总览 ● SELlinux管理 由INIT进程管理的系统资源 ● 监听串口协议连接的服务 ● 串口控制台 ● 调制解调器 ● 在/etc/iniittab中配置 ● 调用rc命令生成初始化脚本 ● 调用脚本来启动X11显示管理程序 ● 提供重新生成的能力 系统初始化和服务管理 ● 通常被称为“System V”（系统V）或“SysV” ● 许多脚本都是用文件系统目录的格式来组织的 ● 可启用或者禁用资源服务 ● 经常使用几个配置文件 ● 大多数服务启动一个或多个进程 ● 命令被“包裹”在脚本中 ● 服务由/etc/init.d/目录中的脚本管理 ● 例如： ● /etc/init.d/network status ● service network status chkconfig ● 管理运行级别中服务定义 ● 在引导时启动CUPS服务：chkconfig cups on ● 不会发变system V服务的当前运行状态 ● 用于独立的和瞬态的服务 ● 被其它应用程序调用，其中包括system-config-services命令 ● 要列出服务在运行级别中的分配情况，需运行chkconfig –list 命令 初始化脚本的管理 ● 决定在系统引导时运行哪些服务 ● chkconfig --list ● 显示应该运行那些服务 ● 只显示它管理的符号链接的状态 xinetd 管理的服务 ● 瞬态（Transient）服务被xinetd进程管理 ● 进入的请求被xinetd代理 ● 配置文件:/etc/xinetd.conf, /etc/xinetd.d/service ● 与libwrap.so文件链接 ● 用chkconfig控制的服务 chkconfig tftp on xinetd 的默认控制 ●顶级的配置文件 #/etc/xinetd.conf Defaults { instances =60 log_type =SYSLOG authpriv log_on_success =HOST PID log_on_failure =HOST cps = 25 30 } Includedir /etc/xinetd.d xinetd 服务配置 ● 服务特有的配置 ● /etc/xinetd.d/service /etc/xinetd.d/tftp: #default: off service tftp { disable = yes socket_type = dgam protocol = udp wait = yes user = root server = /usr/sbin/in.tftpd server_args = -c –s /tftpboot per_source = 11 cps = 100 2 flags = IPv4 } xinetd 访问控制 ● 语法 ● 使用only_from = host_pattern来允许访问 ● 使用only_access = host_pattern来禁止访问 ● 将采用最精确的规范 ● 示例 ● only_from = ./24 ● no_access = 主机模式访问控制 ● xinetd 所采用的主机掩码可能是： ● 数字式地址（） ● 网络名 (来自 /etc/networks) ● 主机名或域名 (.) ● IP地址/掩码范围 (/24) ● 并发连接的数量 ● 语法 : per_source = 2 ● 不能超过最大实例数量 /etc/sysconfig文件 ● 有些服务配置的是它们的运行方式 ● named ● sendmail ● dhcpd ● samba ● init ● syslog 服务和应用程序的访问控制 ● 服务特有的配置 ● 有些守护进程如 ht