Red Flag Asianux Server 3系统管理:Xinetd

安全性是网络服务器可靠运行的基础。随着">通信技术和 Internet的广泛应用,服务器被攻击的情况可能经常发生,来自网络上的安全威胁是 Linux服务器安全问题的主要来源。

本章介绍如何在 Red Flag Asianux Server 3构建的服务器平台上,利用系统提供的安全工具,达到有效保护系统安全、减少成功入侵数量、检测和追踪入侵日志、降低危害程度并快速从攻击中恢复的策略。

有关物理和文件系统安全的知识请参考第 6章系统安全。

7.1Xinetd

7.1.1简介

xinetd提供了访问控制,改进的日志功能和资源管理,是 Red Flag Asianux Server 3系统中的 Internet标准超级守护进程。

Inetd被称作超级服务器,用来实现对主机网络连接的控制。当一个请求到达由 Inetd管理的服务端口, Inetd将该请求转发给名为 tcpd的程序。tcpd根据配置文件/etc/hosts.allow和/etc/hosts.deny来判断是否允许服务响应该请求。如果请求被允许则相应的服务器程序(如: telnetd)将被启动。这个机制也被称作 tcp_wrapper。

xinetd(eXtended InterNET services daemon)提供类似于 inetd + tcp_wrapper的功能,但是更加强大和安全。它具有以下特色:

支持对 tcp、udp、RPC 服务(但是当前对RPC 的支持不够稳定,可以启动protmap 与xinetd共存来解决这个问题)。
基于时间段的访问控制。
功能完备的 log 功能,即可以记录连接成功也可以记录连接失败的行为。
能有效的防止 DoS 攻击(Denial of Services)。
能限制同时运行的同一类型的服务器数目。
能限制启动的所有服务器数目。
能限制 log 文件大小。
将某个服务绑定在特定的系统接口上,从而能实现只允许私有网络访问某项服务。
能实现作为其他系统的代理。如果和 IP 伪装结合,可以实现对内部私有网络的访问。

7.1.2 Xinetd的配置

Xinetd的配置文件是/etc/xinetd.conf与/etc目录下的一个名为 xinetd.d的网络连接配置文件目录。配置文件中的语法和 /etc/inetd.conf完全不同且不兼容。它本质上是 /etc/inetd.conf和 /etc/hosts.allow, /etc/hosts.deny功能的组合。

以下所示为/etc/xinetd.d目录下的文件

其中每个文件代表一种网络服务器程序,文件中一般具有下列形式。

service service-name {

……

…….

}

其中 service是必需的关键字,每一项都定义了由 service-name定义的服务。例如下面给出的是文件 /etc/xinetd.d/telnet的内容;

Service-name是任意的,但通常是标准网络服务名,也可以增加其他非标准的服务,只要它们能通过网络请求激活,包括 localhost 自身发出的网络请求。

操作符可以是=,+=,或-=。所有属性都可以使用 =,其作用是分配一个或多个值,某些属性可以使用+=或-=形式,其作用分别是将该值增加到某个现存的值表中,或将其从现存值表中删除。

时间: 2024-12-09 11:00:47

Red Flag Asianux Server 3系统管理:Xinetd的相关文章

Red Flag Asianux Server 3系统管理:文件系统

对于任何一个成熟的操作系统而言,文件系统管理都是一个十分重要的部分.文件系统管理的好坏会直接影响到操作系统的性能和安全. 2.1文件系统 文件系统是操作系统在硬盘或分区上保存文件信息的方法和数据结构,也就是文件在硬盘或分区上的组织方式. 作为一种类 UNIX操作系统,大部分 Linux文件系统具有类似的通用结构,其关键概念有超级块(superblock).索引节点(inode).数据块(data block).目录块( directory block). 超级块中包含了关于该硬盘或分区上的文件系

Red Flag Asianux Server 3系统管理:交换空间

交换空间是系统从硬盘中划分的一部分空间,当物理内存( RAM)被充满时,内存中不活跃的页就会被移到交换空间.交换空间的大小一般设为物理 RAM的 1~2倍,但不能超过 http://www.aliyun.com/zixun/aggregation/9392.html">2048MB. 交换空间可以是一个或多个专用的交换分区(推荐的方式),也可以是一个或多个交换文件,或者是两者的组合. 安装 Red Flag Asianux Server 3系统时已经创建了一个 swap分区,即用来支持虚拟

Red Flag Asianux Server 3系统管理:命令行操作(一)

熟悉在命令行界面下工作对使用和管理 Linux操作系统意义重大,本章将介绍在 Red Flag Asianux Server 3系统中进行 shell操作的知识. 1.1http://www.aliyun.com/zixun/aggregation/22929.html">基础知识 以下关于 Linux shell及文件和目录的知识是学习本章的基础. 1.1.1文件命名 Linux下文件名的最大长度可以是 256个字符,通常由字母.数字. "."(点号)."_

Red Flag Asianux Server 3系统管理:系统安全

随着现代http://www.aliyun.com/zixun/aggregation/26684.html">通信技术的迅速发展,Internet使用范围不断扩大.用户人数也在不断增加,而 Internet上任何一台计算机都可能成为网络黑客试图攻击的对象.对于企业和关键应用领域的服务器系统来说,安全问题就显得更为重要.本章主要介绍 Red Flag Asianux Server 3的系统安全管理策略. 6.1系统安全概要 网络服务器作为 Internet/Intranet上的关键设备,往

Red Flag Asianux Server 3系统管理:常见问题

本部分包括了一些在 Red Flag Asianux Server 3系统管理过程中常见的问题,并给出它们的解决办法. 如何使ls不显示颜色 在/etc/bashrc文件中删除 alias ls="ls --color"的那些语句,把用户目录下的 .bashrc文件也做此处理. 当键入ls后,大量的信息从屏幕上卷过,如何才能清晰地阅读输出 要防止 ls命令的输出过快地从屏幕上卷过,可利用管道的方法.也可以使用 less来阅读/etc的内容,在 shell提示下键入下列命令: ls -a

Red Flag Asianux Server 3系统管理:流量控制

Red Flag Asianux Server 3系统中有一个成熟的带宽供给系统,称为 Traffic Control(流量控制),简称为 TC.流量控制支持以多种方式分类.排序.共享和限制出入流量. 7.5.1简介 在 Linux操作系统中,流量控制器( TC)主要是在输出端口处建立一个队列进行流量控制,控制的方式是基于路由,亦即基于目的 IP地址或目的子网的网络号的流量控制. TC的基本功能模块为队列.类和过滤器.Linux内核中支持的队列有:Class Based Queue,Token

Red Flag Asianux Server 3系统管理:Nmap扫描工具

Red Flag Asianux Server 3中提供了一个网络探索工具和安全扫描器--Nmap. 扫描器是一种自动检测远程或本地主机安全弱点的程序.使用扫描器,可以获得远程服务器的大量信息,通过这些信息,可以了解到远程主机存在的安全问题,从而能够及时修补系统的安全隐患.同时,扫描器也能够为攻击者提供很大的方便,可以大大简化他们的工作. 扫描器一般会先向远程 TCP/IP端口发出请求,记录目标给予的回答,然后对应答信息进行分析.通过这种方法,可以搜集到目标主机的各种有用信息,比如,端口是否开放

Red Flag Asianux Server 3系统管理:高级文件系统指南

Red Flag Asianux Server 3支持多种最新的日志文件系统,包括 XFS.REISERFS.EXT3等.本章将向您介绍这些日志文件系统的特性及简单的使用方法,以便您尽可能轻松.愉快地使用最新的文件系统技术. 在此之前,先介绍一些必要的基本知识,以帮助更好地理解. 3.1日志系统(Journaling) 日志是一项非常重要的技术,在 ReiserFS.XFS.ext3等文件系统中都会用到它,用以达到快速检查文件系统一致性的目的. 3.1.1 元数据(Meta-data) 文件系统

Red Flag Asianux Server 3系统管理:配置磁盘限额

为了防止某个用户或用户组占用过多的磁盘http://www.aliyun.com/zixun/aggregation/17325.html">存储空间,需要对用户或用户组的可用存储空间进行限制.磁盘限额的意义是强制使用者在大部分时间内保持他们对系统磁盘的占用在限额之下,取消其无限制地使用磁盘空间的能力. 在 Linux 系统中,限额是对文件系统设定的,设定之前需要启动文件系统的配额设置支持.磁盘限额服务目前可以支持ext2 和ext3 两种文件格式. Red Flag Asianux Se