系统服务访问控制

Xinetd 超级守护进程

/etc/xinetd.conf

  设置默认的非独立守护进程配置

/etc/xinetd.d/*

非守护进程的配置

Enabled  =yes

Instances  =20 最大并发连接数

Per_source =10 每个 IP 的链接数

V6only=no

Banner = /some/file 欢迎信息

Cps  =50 10 限制入栈连接速率 1 秒处理的连接数

 

 

 

Tcp _wrappers 服务访问控制

/etc/hosts.allow 首先读取

/etc/hosts.deny

格式是

Daemon1,daemon2:client1.client2

支持 except 的嵌套

 

 

Ldd 可以查看是否支持 tcp_wrappers 控制

含有 {libwrp.So}

 

 

 

 

 

Selinux

l       MAC 强制访问控制

l       DAC 自主访问控制（默认）

 

 

 

启用 selinux 系统首先给每个文件打标

然后使用策略进行管理

 

 

/etc/sysconfig/selinux

/etc/selinux/config

设置 selinux 的状态

l       enforcing

l       permissive

l       disable

enforing 表示 SELINUX 有效

permission 只进行警告

diable 不做处理

以上文件配置在重启后生效

 

Getenforce 查看当前 SELINUX 状态

Setenforce 进行 SELINUX 状态的修改 0 表示 permission 1 表示 enforcing

 

System-config-selinux 也可以进行设置

 

 

Ls �CZ 可以查看标签

Ps �CZ

 

Getsebool 可以查看策略

Setseboo XX 1/0 修改策略

加 -P 选项永久生效

 

Chcon �Ct 改变标签

-R 递归

--reference 引用 XX 的标签为标签

Restorecon 恢复默认标签

默认标签可以查看 /etc/selinux/targeted/context/XX