zoukankan      html  css  js  c++  java

  • Securing Services笔记

     一、Securing the Service
    1、Service-specific configuration
    比如httpd提供了自己的安全措施,在/etc/httpd/conf/httpd.conf文件中进行配置
    2、General configuration
    通过“ldd <可执行文件的全路径>”可以查看可执行文件用到的库文件。
    若用到libwrap.so这个库文件,则会受到tcp_wrappers的安全性机制影响。

    二、tcp_wrappers
    1、tcp_wrappers为多种网络服务提供了host-base access control lists的安全服务。
    2、tcp_wrappers的安全性机制通过/etc/hosts.allow与/etc/hosts.deny这两个配置文件进行配置。
    3、以下服务都使用了libwrap.so文件,都受到tcp_wrappers的安全性机制影响
    sendmail
    sshd
    xinetd
    gdm
    portmap
    vsftpd
    4、当网卡接到packet数据包后,先经过iptables过滤;若服务程序使用了libwrap.so这个库文件,则数据包再次经过libwrap.so过滤。若/etc/hosts.allow文件明文允许通过,则立即放行;若/etc/hosts.allow文件中并无明文允许通过,则看/etc/hosts.deny文件是否明文禁止通过,若明文禁止通过,则阻止通过,否则允许通过。

    三、设定/etc/hosts.allow与/etc/hosts.deny时要用到的语法:daemon:client_list
    1、daemon即应用程序的名称,此处要使用应用程序的文件名,如in.telnetd
    2、daemon若有多个,使用逗号隔开。如in.telnetd,vsftpd:192.168.0.100
    3、可以通过“ALL”关键字匹配所有的服务。如ALL:192.168.0.100
    4、若本机上有两张网卡,则可以在应用程序名称后加“@<ip地址>”。如
    in.telnetd@192.168.0.144:192.168.0.0/255.255.255.0
    in.telnetd@10.0.1.144:10.0.1.0/255.255.255.0
    5、client_list,即要存取本机服务的客户机ip,可以是以下三种形式:
    通过“ip地址”,如“192.168.0.100”,“10.0.1.”。后者表示一个网段。
    通过“网络号/掩码号”,如“192.168.0.0/255.255.255.0”。
    通过“hostname",如“www.redhat.com“,”.example.com“。后者表示整个域。
    6、设置daemon与client_list时还可以通过其它扩展符号:
    ALL:匹配所有
    LOCAL:不包含域名的简短名称,即short name
    UNKNOWN:匹配那些无法被名称解析的客户端
    KNOWN:匹配所有能够被名称解析的客户端
    PARANOID:匹配所有正向名称解析与反向名称解析不一致的客户端
    7、还可以利用EXCEPT操作符排除个别的daemon或client_list
    ALL EXCEPT in.telnetd:192.168.0.
    ALL:192.168.0. EXCEPT 192.168.0.100
    8、还可以在最后加上其它选项:daemon_list:client_list[:option1:option2]
    spawn选项示例:“in.telnetd:ALL:spawn echo "login attempt from %c to %s"|mail -s waning root”。其中“%c”代表客户端信息(user@host);“%s”代表服务器端信息(daemon@host)。
    deny示例:在hosts.allow文件中也可以做禁止的功能“ALL:ALL:Deny”

    四、增强基于xinetd服务的服务的安全性的方法
    1、方法一:通过tcp_wrappers过滤
    2、方法二:通过xinetd自身提供的两种访问控制功能,分别是“host-based”与“time-based”。配置文件在基于xinetd服务的程序的自身目录下,如/etc/xinetd.d/telnet。
    3、允许通过的语法:only_from=host_pattern
    如:only_from=192.168.0.100
    4、禁止通过的语法:no_access=host_pattern
    如:192.168.0.0/24
    5、host_pattern的几种形式:
    “数字形式”形式:如“192.168.1.0”等同于“192.168.1.*”
    “主机名或域名”形式:如“station0.domain.com”,“.domain.com”
    “ip地址/掩码”形式:如“192.168.0.0/24”,“192.168.0.0/255.255.255.0”
    6、控制访问时间:如access_times=9:00-18:00
    7、控制连线数量:
    instances=60    表示同一时间内最多允许的客户端数量
    per_source=5    表示同一时间同一ip最多允许的连接数
  • 相关阅读:
    sqlserver查询表字段
    Lombok
    属性配置
    计时器与启动加载器
    banner
    互斥锁和条件变量
    System V消息队列
    命令行参数的处理函数getopt
    posix 消息队列
    不定参数
  • 原文地址:https://www.cnblogs.com/beta2013/p/3377395.html
Copyright © 2011-2022 走看看