Securing Services笔记

 一、Securing the Service
1、Service-specific configuration
比如httpd提供了自己的安全措施，在/etc/httpd/conf/httpd.conf文件中进行配置
2、General configuration
通过“ldd <可执行文件的全路径>”可以查看可执行文件用到的库文件。
若用到libwrap.so这个库文件，则会受到tcp_wrappers的安全性机制影响。

二、tcp_wrappers
1、tcp_wrappers为多种网络服务提供了host-base access control lists的安全服务。
2、tcp_wrappers的安全性机制通过/etc/hosts.allow与/etc/hosts.deny这两个配置文件进行配置。
3、以下服务都使用了libwrap.so文件，都受到tcp_wrappers的安全性机制影响
sendmail
sshd
xinetd
gdm
portmap
vsftpd
4、当网卡接到packet数据包后，先经过iptables过滤；若服务程序使用了libwrap.so这个库文件，则数据包再次经过libwrap.so过滤。若/etc/hosts.allow文件明文允许通过，则立即放行；若/etc/hosts.allow文件中并无明文允许通过，则看/etc/hosts.deny文件是否明文禁止通过，若明文禁止通过，则阻止通过，否则允许通过。

三、设定/etc/hosts.allow与/etc/hosts.deny时要用到的语法：daemon:client_list
1、daemon即应用程序的名称，此处要使用应用程序的文件名，如in.telnetd
2、daemon若有多个，使用逗号隔开。如in.telnetd,vsftpd:192.168.0.100
3、可以通过“ALL”关键字匹配所有的服务。如ALL:192.168.0.100
4、若本机上有两张网卡，则可以在应用程序名称后加“@<ip地址>”。如
[email protected]:192.168.0.0/255.255.255.0
[email protected]:10.0.1.0/255.255.255.0
5、client_list，即要存取本机服务的客户机ip，可以是以下三种形式：
通过“ip地址”，如“192.168.0.100”，“10.0.1.”。后者表示一个网段。
通过“网络号／掩码号”，如“192.168.0.0/255.255.255.0”。
通过“hostname"，如“www.redhat.com“，”.example.com“。后者表示整个域。
6、设置daemon与client_list时还可以通过其它扩展符号：
ALL：匹配所有
LOCAL：不包含域名的简短名称，即short name
UNKNOWN：匹配那些无法被名称解析的客户端
KNOWN：匹配所有能够被名称解析的客户端
PARANOID：匹配所有正向名称解析与反向名称解析不一致的客户端
7、还可以利用EXCEPT操作符排除个别的daemon或client_list
ALL EXCEPT in.telnetd:192.168.0.
ALL:192.168.0. EXCEPT 192.168.0.100
8、还可以在最后加上其它选项：daemon_list:client_list[:option1:option2]
spawn选项示例：“in.telnetd:ALL:spawn echo "login attempt from %c to %s"|mail -s waning root”。其中“%c”代表客户端信息（user@host）；“%s”代表服务器端信息（daemon@host）。
deny示例：在hosts.allow文件中也可以做禁止的功能“ALL:ALL:Deny”

四、增强基于xinetd服务的服务的安全性的方法
1、方法一：通过tcp_wrappers过滤
2、方法二：通过xinetd自身提供的两种访问控制功能，分别是“host-based”与“time-based”。配置文件在基于xinetd服务的程序的自身目录下，如/etc/xinetd.d/telnet。
3、允许通过的语法：only_from=host_pattern
如：only_from=192.168.0.100
4、禁止通过的语法：no_access=host_pattern
如：192.168.0.0/24
5、host_pattern的几种形式：
“数字形式”形式：如“192.168.1.0”等同于“192.168.1.*”
“主机名或域名”形式：如“station0.domain.com”，“.domain.com”
“ip地址/掩码”形式：如“192.168.0.0/24”，“192.168.0.0/255.255.255.0”
6、控制访问时间：如access_times=9:00-18:00
7、控制连线数量：
instances=60    表示同一时间内最多允许的客户端数量
per_source=5    表示同一时间同一ip最多允许的连接数