连载：六脉神剑捍卫企业 Linux系统(三)

【前文说到：“我们可以监视这个日志文件来查看有多少调整是必需的；如果必要的话，增加这个命令的频率。”】

关冲剑─禁用基于xinetd的网络服务

本文第一节展示的lsof和netstat的输出结果确认了auth、telnet、vnc等服务是被xinetd互联网络服务进程所执行的。此进程是一个通用的网络进程，它等待那些在选定端口上进入的请求，并执行与那些端口相关联的服务。Xinetd与许多早期Linux和Unix系统中的inetd相似，但xinetd功能有所增强，并且更加安全和灵活。

最初引入到xinetd中的一个特性就是TCP封包。这是一个对终端用户的透明库，但却为系统管理员提供了主机能否访问特定网络及相关服务的详细控制。TCP封包库通过检查/etc/hosts.allow（允许） 和 /etc/hosts.deny（禁止）两个文件是否限制那些在连接建立之前就能访问某个服务的主机。TCP封包被证明是相当有用的，所以现在多数现代Linux系统发行版本，都将所有的网络进程用TCP封包库进行编译，这包括独立的进程（如sshd）和NFS进程（如portmap）。

所有被xinetd管理的进程配置文件位于/etc/xinetd.d目录。在Red Hat Enterprise Linux中，此目录包含如下的文件：

此目录中包含的文件是文本文件，这些文件包含了每个相关服务的启动指令。每一个文件都包含着一个登录项，用于确认相关的服务在目标计算机上是否被禁用。为了仔细检查哪一个服务被实际上启用了，可以启用如下的命令：

# cd /etc/xinetd.d
# grep disable * | grep no
auth:                disable = no
krb5-telnet:        disable = no
vnc:                  disable = no

你的系统的输出结果可能会与此不同，但应该看起来相似。这显示出auth进程，即telnet进程的Kerberos增强版本，以及vnc服务器都是由于响应进入相关端口的请求启动的。正如我们前面所指明的那样，我们需要禁用telnet 和 vnc服务程序，并修改auth进程的行为。本节只解释前者，下一节讲述修改auth进程的行为。