第三节 linux服务安全.pdf

三节 服务器安全 龚关 gong.guan@ 服务器安全 n 服务器安全常识 n TCPD WRAPPERS AND XINETD n NFS安全 n APACHE安全 n FTP安全 n SENDMIAL安全 n (LISTEN)端口监听 服务器安全常识 n 受攻击对象 当系统被用作公共网络的服务器时，它就会成为攻击对象。正因此， 对于系统管理员来说，加强系统防御和封闭某些服务就显得至关重 要。在深入研究具体问题之前，回顾一下以下用来增强服务器安全 性的常识： n 更新所有的服务来防御最新出现的威胁。 n 尽量使用安全协议。 n 在每台机器上尽量只使用一种网络服务的类型。 n 密切监视所有服务器上的可疑活动。 TCP wrappers and xinetd n TCP wrappers and xinetd简述 TCP 会绕程序（TCP wrapp ers ）为多项服务提供访问控制。多数的网络 服务，如SSH、Telnet 和FTP，都使用TCP 会绕程序。该会绕程序位 于进入请求和被请求服务之间。当与xinetd 一起使用时，TCP 会绕程 序的优越性就更为显著。xinetd 是一种提供附加的访问、记录、关联、 重导向和资源利用控制的超级服务。 TCP Wrapper机制的主要目的在于，来自客户端的请求只被允许同一个独 立的守护进程（xinetd）直接通信，而它请求的目标服务被TCP Wrapper 包裹起来，这样就提高了系统的安全性和系统管理的方便性。 Tcp wrapper随着应用逐渐成为一种标准的Unix安全工具，成为unix守护 程序inetd的一个插件。通过Tcp wrapper，管理员可以设置对inetd提供 的各种服务进行监控和过滤，以保证系统的安全性。 主要linux发行版均以配置TCP wrappers和xinetd 件包；查询方法如下： [root@localhost ~]# rpm -qa |grep tcp_wrappers tcp_wrappers-7.6-37.2 [root@localhost ~]# rpm -qa |grep xinetd xinetd-2.3.13-4 TCP wrappers语法 n hosts.allow和hosts.deny语法 /etc/hosts.allow里面有一项与请求服务的主机地址项匹配，那么就允许该 主机获取该服务。否则，如果在/etc/hosts.deny里面有一项与请求服务的 主机地址项匹配，就禁止该主机使用该项服务。 语法格式： 1.一个以 .”起始的域名串，如.那么就和这一项匹配 成功 2. 以‘.’结尾的IP 串如202.37.152. 那么IP地址包括202.37.152. 的主机都与这一项 匹配 3.格式为n.n.n.n/m.m.m.m表示网络/掩码，如果请求服务的主机的IP地址与掩码 的位与的结果等于n.n.n.n 那么该主机与该项匹配。 4. ALL表示匹配所有可能性。 5. EXPECT表示除去后面所定义的主机。如:list_1 EXCEPT list_2 表示list_1主机 列表中除去List_2所列出的主机。 6. LOCAL表示匹配所有主机名中不包含‘.’的主机。 上面只是Linux提供的方式中的几种，对于一般应用来说是足够了。 TCP wrappers添加banners n 添加banners 给连接服务的客户发送一幅警戒性横幅是掩盖服务器所使用的系 统的好办法。同时，它也让潜在的攻击者知道系统管理员是相当 警惕的。要为某服务实现TCP 会绕程序横幅，请使用banner 选 项。 这个例子为telnet 实现了一个横幅。首先，创建一个横幅文件。 它可以位于系统上的任何地方，但是它的名称必须和守护进程相 同。在这里文件叫做/etc/banners/in.telnetd 。该文件的内容如下 所示： Hello, %c All activity on is logged. %c 代符提供了各类客户信息，如用户名和主机名，或用户名和 IP 地