第 7 部分：网络

哦！被拒绝了！（这是人生中为数不多的几次经历：拒绝表示成功。）要重新启用来自自己网络的访问，可在 /etc/hosts.allow 中插入例外：

in.telnetd: .yourdomain.com

此刻我们就能够再次成功地用 telnet 访问系统了。而这仅仅触及了 tcp_wrappers 的能力的表面。在 tcpd(8) 和 hosts_access(5) 手册页中更有有关 tcp_wrappers 的更多信息。

xinetd：扩展的 inetd

尽管 inetd 是经典的因特网终极服务器，但最近对他进行了多次改写以试图添加特性和更多的安全性。xinetd 程式在许多新近的分发版（包括 Red Hat 和 Debian）中取代了 inetd。部分扩展的特性是：

• 访问控制（内置 TCP 封装器）
• 详尽的日志记录（连接持续时间和失败的连接等等）
• 来自另一个主机的服务重定向
• IPv6 支持
• 通过代码片段而不是个汇总文档进行配置

xinetd 配置

 
xinetd 的配置文档是 /etc/xinetd.conf。最常见的情况下，那个文档仅包含为其余服务配置缺省配置参数的几行：


# cat /etc/xinetd.conf

defaults

{

    instances      = 60

    log_type       = SYSLOG authpriv

    log_on_success = HOST PID

    log_on_failure = HOST RECORD

}

includedir /etc/xinetd.d



文档的最后一行指示 xinetd 从 /etc/xinetd.d 目录的文档代码片段读取额外的配置信息。我们快速地看看 telnet 代码片段：


# cat /etc/xinetd.d/telnet

service telnet

{

    flags          = REUSE

    socket_type    = stream        

    wait           = no

    user           = root

    server         = /usr/sbin/in.telnetd

    log_on_failure  = USERID

}



如您所见，配置 xinetd 并不困难，而且他比 inetd 更直观。您能够在 xinetd(8)、xinetd.conf(5) 和 xinetd.log(5) 手册页中获得有关 xinetd 的更多信息。
在 Web 上也有关于 inetd、tcp_wrappers 和 xinetd 的大量信息。请务必查看我们在本教程最后一章（参考资料）中给出的这些工具的一些链接；他们能让您更好地体会这些工具的能力和配置。
 
四。安全性概述
简介
维护一个完全安全的系统是不可能的。然而，只要勤奋，则有可能使 Linux 机器足够安全，并让大多数偶尔出现的骇客、脚本小子（script-kiddies）连同其他的“坏家伙”止步而去骚扰其他人。请记住：仅仅遵循本教程不会产生一个安全的系统。相反，我们希望您接触到主要主题的多个方面，并向您提供一些有关如何入门的有用示例。
Linux 系统安全性可分为两个部分：内部安全性和外部安全性。内部安全性指预防用户无意或恶意地破坏系统。外部安全性指防止未授权用户获得对系统的访问。
本章将首先介绍内部安全性，然后介绍外部安全性，最后介绍一些常规指导原则和技巧。
日志文档的文档权限 
内部安全性能够是很大的任务，这要看您对用户的信任程度。这里介绍的指导原则是设计用来防止偶然用户访问敏感信息和防止不公平地使用系统资源。
至于文档权限，您可能希望修改以下三种情况的权限：
首先，/var/log 中的日志文档无需是任何人都能够读取的。没有理由让非 root 用户窥视日志。为了创建具备适当权限的日志，请参阅 LPI 101 系列第 4 部分以获取有关 syslog 的更多信息，还请阅读 logrotate(8) 手册页以获取配置该程式的信息。
root 用户其他文档的文档权限
 
其次，root 用户的点文档对于普通用户应是不可读的。检查 root 用户主目录中的文档（ls -la）以确保他们受到适当的保护。甚至能够使整个目录仅对 root 用户可读：


# cd

# pwd

/root

# chmod 700 .

用户文档的文档权限
 
最后，用户文档在缺省情况下通常被创建为任何人可读。那可能不是用户所期望的，而且他当然不是最好的策略。应该使用和下面类似的命令在 /etc/profile 中配置缺省的 umask：


if [ "$UID" = 0 ]; then

  # root user; set world-readable by default so that

  # installed files can be read by normal users.

  umask 022

else

  # make user files secure unless they explicitly open them

  # for reading by other users

  umask 077

fi



应该查询 umask(2) 和 bash(1) 手册页以获取有关配置 umask 的更多信息。请注意：umask(2) 手册页涉及 C 函数，但他所包含的信息也适用于 bash 命令。请参阅 LPI 101 系列第 3 部分以获取有关 umask 的其他周详信息。
查找 SUID/SGID 程式


文章整理：西部数码--专业提供域名注册、虚拟主机服务

http://www.west263.com

以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!