计算机网络安全管理课件第5章节Linux网络操作系统安全管理课件幻灯片.ppt

§5.3 安全工具 5.3.1 tcp server tcpserver是一个inetd类型的服务程序，它监听进入的连接请求，为要启动的服务设置各种环境变量，然后启动指定的服务。 tcpserver允许限制同时连接一个服务的数量。当服务过忙时，inetd具有一种连接速率限制机制，以临时停止该服务。 1. tcpserver程序的语法 tcpserver [opts] [host] [port] [prog] opts是一系列的getopt格式选项。 host是服务器名称 port是服务器端口 tcpserver等待来自TCP客户端的连接，每个连接都运行prog程序，描述符0表示从网络读取数据，1表示写数据到网络。每个连接同时也建立若干环境变量（有关环境变量的资料可参阅http://cr.yp.to/ucspi-tcp/environment.html）服务器的地址由host加port唯一表示。port可以来自/etc/services或数字；若port为0，tcpserver将选择一个可用的TCP端口。主机可以是0，这时tcpserver允许来自本地任何IP的连接；host也可以是一个IP地址，这时tcpserver仅接受来自该IP地址的连接；host还可以是主机名，主机名使用dns_ip4认证反馈。当接收到SIGTERM时，tcpserver将退出服务。 §5.3.2 xinetd xinetd（eXtended InterNET services daemon）与inetd非常的相似，较之于inetd又更强大与安全。目前许多发行版本带有xinetd程序。如果提供的服务比较简单而且负担不重的话，那么xinetd是一个合适的选择。 xinetd具有下述特点： · 支持tcp、ucp、RPC服务 · 基于时间段的访问控制 · 功能完备的log功能，可以限制log文件的大小 · 有效的防止DoS（Denial of Services）攻击 · 可以限制同时运行的同类服务器数目 · 可以限制启动的所有服务器数目 · 在特定的系统端口绑定某个服务，从而实现只允许私有网络访问该服务 · 可以作为其他系统的代理 安装、配置、生成、样本说明和安全配置实例见书P141，142，146，149 §5.3.3 Sudo 1. Sudo简介 Sudo是一个用来允许系统管理员给予特定的普通用户（或者用户组）有限的超级用户特权，使其能够以超级用户或其他用户的身份运行一些（或者所有）命令并且记录其所有命令和参数的程序。最基本的原则是在普通用户可以完成工作的范围内给予尽可能少的特权。Sudo是自由软件，以BSD风格的许可证发布。 Sudo以命令的方式操作，它不是shell的替代品。Sudo具有以下特征： · 用户在每主机上运行的命令限制 · Sudo 对于每个命令都进行记录，可以清楚的审核谁做了什么 · Sudo为“通行证系统“提供标记日期的文件。比如每5分钟更新一次通行证就可以避免合法用户离开终端的时候他人的盗用 · Sudo配置文件是“sudoers“。同一个sudoers可以在多台机器上使用, 方便了定义用户特权的灵活性 如果想得到详细的sudo手册，可以访问： /sudo/man/sudoers.html §5.3.3 Sudo 1. Sudo简介 Sudo是一个用来允许系统管理员给予特定的普通用户（或者用户组）有限的超级用户特权，使其能够以超级用户或其他用户的身份运行一些（或者所有）命令并且记录其所有命令和参数的程序。最基本的原则是在普通用户可以完成工作的范围内给予尽可能少的特权。Sudo是自由软件，以BSD风格的许可证发布。 Sudo以命令的方式操作，它不是shell的替代品。Sudo具有以下特征： · 用户在每主机上运行的命令限制 · Sudo 对于每个命令都进行记录，可以清楚的审核谁做了什么 · Sudo为“通行证系统“提供标记日期的文件。比如每5分钟更新一次通行证就可以避免合法用户离开终端的时候他人的盗用 · Sudo配置文件是“sudoers“。同一个sudoers可以在多台机器上使用, 方便了定义用户特权的灵活性 如果想得到详细的sudo手册，可以访问： /sudo/man/sudoers.html 获取和安装、配置实例见书P151，152。 §5.3.4 安全检查工具nessus 1. Nessus简介 Nessus是一个的远程安全扫描器。它是自由软件，功能强大、更新极快、易于使用。安全扫描器的功能是对指定网络进行安全检查与弱点分析，确定是否有破坏者闯入或存在某种方式的误用，寻找导致对手攻击的安全漏洞。Nessus的安全检查由plug-ins插件完成。例如： “useless