linux网络服务器配置详解.txt

要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置。

            　　当机器启动时，在可以查询DNS以前，机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。 


            　　下面是一个“/etc/hosts”文件的示例： 


            　　最左边一列是主机IP信息，中间一列是主机名。任何后面的列都是该主机的别名。一旦配置完机器的网络配置文件，应该重新启动网络以使修改生效。使用下面的命令来重新启动网络： 

/etc/rc.d/init.d/network restart

            　　* /etc/inetd.conf 文件 

            　　众所周知，作为服务器来说，服务端口开放越多，系统安全稳定性越难以保证。所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，比如：一台作为www和ftp服务器的机器，应该只开放80和25端口，而将其他无关的服务如：finger 
            auth等服务关掉，以减少系统漏洞。 

            　　而inetd，也叫作“超级服务器”，就是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理连接请求。inetd.conf则是inetd的配置文件。inetd.conf文件告诉inetd监听哪些网络端口，为每个端口启动哪个服务。
            　　在任何的网络环境中使用Linux系统，第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好卸载掉，这样黑客就少了一些攻击系统的机会。 


            　　查看“/etc/inetd.conf”文件，了解一下inetd提供哪些服务。用加上注释的方法（在一行的开头加上#号），禁止任何不需要的服务，再给inetd进程发一个SIGHUP信号。 


            　　第一步：把文件的许可权限改成600。 


[root@deep]# chmod 600 /etc/inetd.conf

            　　第二步：确信文件的所有者是root。 
[root@deep]# stat /etc/inetd.conf

            　　第三步：编辑“inetd.conf”文件（vi /etc/inetd.conf），禁止所有不需要的服务，如：ftp、 telnet、 
            shell、 login、 exec、talk、ntalk、 imap、 pop-2、pop-3、finger、auth，等等。 

            　　如果你觉得某些服务有用，可以不禁止这些服务。但是，把这些服务禁止掉，系统受攻击的可能性就会小很多。改变后的“inetd.conf”文件的内容如下面所示：
# To re-read this file after changes, just do a 'killall -HUP inetd' 
# 
#echo stream tcp nowait root internal 
#echo dgram udp wait root internal 
#discard stream tcp nowait root internal 
#discard dgram udp wait root internal 
#daytime stream tcp nowait root internal 
#daytime dgram udp wait root internal 
#chargen stream tcp nowait root internal 
#chargen dgram udp wait root internal 
#time stream tcp nowait root internal 
#time dgram udp wait root internal 
# 
# These are standard services. 
# 
#ftp stream tcp nowait root
/usr/sbin/tcpd in.ftpd -l -a 
#telnet stream tcp nowait root
/usr/sbin/tcpd in.telnetd 
# 
# Shell, login, exec, comsat and talk are BSD protocols. 
# 
#shell stream tcp nowait root
/usr/sbin/tcpd in.rshd 
#login stream tcp nowait root 
/usr/sbin/tcpd in.rlogind 
#exec stream tcp nowait root 
/usr/sbin/tcpd in.rexecd 
#comsat dgram udp wait root 
/usr/sbin/tcpd in.comsat 
#talk dgram udp wait root 
/usr/sbin/tcpd in.talkd 
#ntalk dgram udp wait root 
/usr/sbin/tcpd in.ntalkd 
#dtalk stream tcp wait nobody 
/usr/sbin/tcpd in.dtalkd 
# 
# Pop and imap mail services et al 
# 
#pop-2 stream tcp nowait root 
/usr/sbin/tcpd ipop2d 
#pop-3 stream tcp nowait root 
/usr/sbin/tcpd ipop3d 
#imap stream tcp nowait root 
/usr/sbin/tcpd imapd 
# 
# The Internet UUCP service. 
# 
#uucp stream tcp nowait uucp 
/usr/sbin/tcpd /usr/lib/uucp/uucico -l 
# 
# Tftp service is provided primarily 
for booting. Most sites 
# run this only on machines acting as
"boot servers." Do not uncomment 
# this unless you *need* it. 
# 
#tftp dgram udp wait root
/usr/sbin/tcpd in.tftpd 
#bootps dgram udp wait root 
/usr/sbin/tcpd bootpd 
# 
# Finger, systat and netstat give out 
user information which may be 
# valuable to potential "system crackers."
Many sites choose to disable 
# some or all of these services to improve security. 
# 
#finger stream tcp nowait root 
/usr/sbin/tcpd in.fingerd 
#cfinger stream tcp nowait root 
/usr/sbin/tcpd in.cfingerd 

　　#systat stream tcp nowait guest 
/usr/sbin/tcpd /bin/ps -auwwx 

　　#netstat stream tcp nowait guest 
/usr/sbin/tcpd /bin/netstat -f inet 

　　# 

　　# Authentication 

　　# 

　　#auth stream tcp nowait nobody
/usr/sbin/in.identd in.identd -l -e -o 

　　# 

　　# End of inetd.conf

            　　注意：改变了“inetd.conf”文件之后，别忘了给inetd进程发一个SIGHUP信号（killall –HUP inetd）。 

[root@deep /root]# killall -HUP inetd

            　　第四步： 

            　　为了保证“inetd.conf”文件的安全，可以用chattr命令把它设成不可改变。把文件设成不可改变的只要用下面的命令： 
[root@deep]# chattr +i /etc/inetd.conf

            　　这样可以避免“inetd.conf”文件的任何改变（意外或是别的原因）。一个有“i”属性的文件是不能被改动的：不能删除或重命名，不能创建这个文件的链接，不能往这个文件里写数据。只有系统管理员才能设置和清除这个属性。如果要改变inetd.conf文件，你必须先清除这个不允许改变的标志： 

[root@deep]# chattr -i /etc/inetd.conf

            　　但是对于诸如sendmail，named，www等服务，由于它们不象finger，telnet等服务，在请求到来时由inet守护进程启动相应的进程提供服务，而是在系统启动时，作为守护进程运行的。 


            　　而对于redhat 
            linux，提供了一个linuxconfig命令，可以通过它在图形界面下交互式地设置是否在启动时运行相关服务。也可以通过命令来设置是否启动时启动某个服务，如：[root@deep]# 
            chkconfig –level 35 named off。
            源码之家收集整理 


                        阅读：317 次
                        录入：小伟



                  【 评论 】 【 推荐 】 【 打印 】 
                  上一篇：让linux系统支持ASP
                  下一篇：Webmin安装及配置 


            相关新闻 
              让linux系统支持ASP  (04月09日) Linux网关设置  (04月09日) Linux下FTP服务器配置  
              (04月09日) Linux web服务器分区方案  (04月09日) linux9.0+apache+php+mysql安装与配置 
               (04月09日) 

            本文评论 


            发表评论 


                  点评：  字数 
                  姓名：   

                    尊重网上道德，遵守中华人民共和国的各项有关法律法规 
                    承担一切因您的行为而直接或间接导致的民事或刑事法律责任 
                    本站管理人员有权保留或删除其管辖留言中的任意内容 
                    本站有权在网站内转载或引用您的评论 
                    参与本评论即表明您已经阅读并接受上述条款 



            新闻查询 

             
               标题 内容 作者 

             


      网站简介 - 广告服务 - 网站地图 - 帮助信息 - 联系方式
           Copyright © 2002 - 2006 源码之家 (MyCodes.Net)